Retour

Bretagne : Recourir à des Ethical Hackers... pour se défendre !

Le terme de “hacker”, a pris au fil du temps, une connotation péjorative. Car selon Wikipedia, “un hacker désigne un virtuose pouvant intervenir dans différents domaines comme la programmation, l'architecture matérielle d'un ordinateur, l'administration système, l'administration réseau, la sécurité informatique ou tout autre domaine de l'informatique ; les médias grand public utilisent à tort le terme « hacker » dans le sens de cracker, black hat (« chapeau noir »), c'est-à-dire un « hacker » opérant de façon illégale ou non éthique. Les hackers sont parfois confondus avec les script kiddies, cyber-délinquants à la recherche de cibles faciles ne demandant pas de connaissance particulière en informatique. “

Les “Ethical Hackers”, (“white hat ou chapeau blanc”) en référence aux hackers, sont les professionnels de la sécurité informatique, qui tentent de pénétrer dans les systèmes d’information de leurs clients, avec leur autorisation préalable. En effet, l’éthique est un des éléments clés de ce métier encore assez peu connu, et qui génère parfois beaucoup de fantasmes.

 

Les E.H. utilisent leurs compétences pour s'introduire dans les systèmes de leurs clients, découvrir les vulnérabilités et les exploiter afin d’en informer les clients. Ces derniers peuvent ainsi prendre des mesures correctrices et combler ces failles, avant que d’autres n’en fassent mauvais usage... Les E.H. utilisent pour cela des outils existants (par exemple des distributions Linux spécialisées comme Kali qui propose un ensemble d’outils de hacking pré-installés) et leurs propres “armes” développées au cours du temps selon les besoins et les environnements, ainsi qu’une méthodologie stricte et procédurale, permettant de garantir une certaine exhaustivité dans les tests (et ne pas rater une grosse faille !).

 

La rigueur et la curiosité, la patience et l’astuce sont autant de qualités qu’un bon E.H. doit posséder, le tout serti d’une éthique irréprochable : lorsqu’une banque demande qu’on essaie de la pirater et lui voler de l’argent, il faut le rendre à la fin de la mission, si celle-ci est un "succès" !

 

Les E.H. réalisent des tests d’intrusion, “penetration testing ou pentest” en anglais. On distingue plusieurs typologies de pentests : externes (depuis internet), internes (depuis le réseau de l’entreprise), en mode black box (sans information) ou grey box (avec un login de test par exemple) pour n’en citer que quelques-uns.

 

Lors d’un pentest externe en blackbox, le E.H. n’a aucune information technique ou très peu (une adresse IP par exemple ou une URL de site web) sur l’environnement qu’il doit attaquer. À partir de là, il utilise les mêmes stratégies qu’un pirate pour arriver à ses fins. Il va récolter de l’information sur sa cible (le nom de domaine, les services qui sont actifs sur le serveur visé, les technologies utilisées...). Ensuite, il va tester les vulnérabilités connues sur les services découverts à l’aide de scanner de vulnérabilités. Et si elles existent, il va tenter de les exploiter pour s’introduire dans le système pour potentiellement obtenir le “graal” : les droits d’administrateur lui permettant un contrôle total de la machine compromise. Et de fil en aiguille, de rebond de machine en machine et de réseaux en réseaux, il va pouvoir étendre son méfait sur la cible et potentiellement accéder à des infos confidentielles, arrêter des systèmes et contrôler tout ou partie du Système d’Informtion du client à sa guise. Et c’est là où l’éthique fait toute la différence, là où le E.H./consultant sécurité va écrire son rapport de tests, sans porter préjudice au client, comme aurait pu le faire un pirate.

 

Les tests d'intrusion internes, quant à eux, ont pour but de tester ce qu’un employé malintentionné pourrait faire comme dégât dans l’entreprise, simplement en se procurant des outils et en suivant des tutoriels disponibles sur internet (cf. Scripts kiddies de wikipedia) ! Le cloisonnement des réseaux et de l’information, l’escalade de privilèges, la force des mots de passe, sont autant d’éléments qui sont testés en réel lors du pentest interne et qui permettent souvent de mettre en évidence des lacunes dans ces domaines.

 

Ainsi, les mots de passe faibles sont généralement découverts très vite, grâce à des outils de “force brute” qui permettent de tester toutes les combinaisons de caractères possibles dans un temps record (*). Les “azerty”, “12345678”, ... n’y résistent pas, ouvrant la porte aux intrusions internes, dans les répertoires et/ou les applications informatiques non autorisés en temps normal.

 

Outre la technique, d’autres attaques peuvent être utilisées par le E.H. pour arriver à ses fins. Dans un cadre contractuel précis et avec l’accord du client, il pourra mettre en œuvre des techniques de social engineering pour piéger les utilisateurs. Par exemple, il va téléphoner au gens du service comptable et se faire passer pour M. X du service informatique (en ayant préalablement confirmé sur les réseaux sociaux que ce M. X travaille bien au service informatique de l’entreprise pour étayer ses dires), et va demander au collaborateur de lui fournir des informations confidentielles prétextant telle ou telle intervention informatique nécessitant par exemple la création d’un nouveau mot de passe. La plupart des utilisateurs se font piéger, ne soupçonnant pas une seule seconde que ce type d’attaques existe (d’où l‘importance de la sensibilisation à la cyber-sécurité) !

 

À la fin de sa mission, le E.H. va remettre son rapport au client, pointant du doigts les faiblesses du système et la totalité des failles découvertes, mais aussi ses forces, car le E.H. agit toujours dans le but d’élever le niveau de sécurité, et en aucun cas, dans le but de dénigrer le travail des adminsys.

 

Ainsi, après y avoir remédier, l’entreprise n’est que mieux protégée des tentatives de piratages. Sachant que les pirates vont le plus souvent là où c’est le plus facile, ils renoncent en général si leurs tentatives sont infructueuses pendant un certain temps, comme le ferait un voleur ne s’acharnant pas sur une porte blindée.

 

Vous souhaitez recevoir nos prochains articles sur la cybersécurité ? Abonnez-vous à notre blog ! 

abonner blog exodata