Non le pentest n’est pas un test d’efficacité de votre crayon (pen) favori … pour peu que vous continuiez à en utiliser dans ce monde de plus en plus numérique.

Ce n’est donc pas un taille-crayon ! ✏️😅

Pentest ou Penetration test ou test de pénétration (si si) ou test d’intrusion, est une technique d’évaluation de la sécurité d’un système d’information, d’un système, d’une application, d’un objet connecté, désigné comme cible. 

Cette technique consiste à se mettre dans la peau de la menace, c’est-à-dire de l’attaquant.e, à tenter de s’introduire sur la cible et d’arpenter les chemins à même de conduire la « menace » vers les données qu’elles convoitent et/ou vers les niveaux de privilège qui lui permettraient de perturber le fonctionnement de la cible et des processus / activités métiers qu’elle sous-tend.

Un test d’intrusion est conduit par un pentester, une personne qui dispose des compétences et de la structure mentale lui permettant de se projeter dans la peau de la menace.

Un test d’intrusion a toujours un ou plusieurs point.s d’ancrage, à savoir une connectivité de départ qui conditionne à fortiori la visibilité dont dispose le pentester vis-à-vis de la cible.

👨‍💻 Dans la peau de l’attaquant.e 

On parle de test d’intrusion externe lorsque le pentester est n’importe où sur Internet.

On parle de test d’intrusion interne lorsque le pentester dispose d’une connexion interne au système d’information de l’entreprise concernée : cela peut être une connexion filaire ou sans fil dans une salle de réunion ou celle du multi-copieur ou encore celle de l’aquarium connecté (#truestory).

Vous imaginez donc facilement le nombre potentiel de points d’ancrage internes. 

La typologie du point d’ancrage peut refléter le type de menace que le « pentester » cherche à incarner. 

Depuis l’extérieur, on se met dans la peau d’un.e internaute lambda, d’un concurrent, d’un cybercriminel mandaté par
la concurrence, d’un.e client.e, d’un.e client.e mécontent.e, …

Depuis l’intérieur, on se met dans la peau d’un.e membre du personnel de l’entreprise, de prestataires ponctuels ou récurrents, de la personne qui se fait passer pour le ou la technicienne de maintenance du multi-copieur, d’un malware ou ransomware (en gros un méchant virus) qui s’est installé suite à un hameçonnage (ou phishing) réussi, …

⬛️🔳⬜️50 shades of grey

On entend souvent parler de boîtes et de couleurs dans les pentests : black box, grey box, white box. Pas d’inquiétude, c’est un jargon utilisé pour représenter le niveau de connaissances dont disposerait l’attaquant vis-à-vis de sa cible : si on part avec le seul nom de l’entreprise et rien de plus, on est en black box. Si on personnifie un (ex)membre du personnel de l’entreprise, on est en white box. Et vous l’aurez deviné, tout niveau de connaissances se situant entre le white et le black se retrouve dans les 50 nuances de gris (ou grey). 

Je vous vois d’ici esquisser un sourire et faire des raccourcis douteux 🙄

J’espère que ce billet vous a permis de mieux vous retrouver dans le jargon du pentesting, vos remarques / suggestions / objections sont les bienvenues.

La suite dans le prochain épisode !

Hadi, pour Knock Knock.