Photobank - Fotolia
Pourquoi le test d’intrusion est indispensable
Chercher les vulnérabilités, qu’elles soient embarquées dans les systèmes ou liées à leur configuration, est essentiel. Et l’exercice nécessite d’être mené régulièrement. L’expérience n’en fait que trop régulièrement la démonstration.
C’était en 2011. Don Goff, Pdg du cabinet de conseil Cstar Systems, lançait un appel lors de la conférence GovSec : les gestionnaires [de la sécurité] « doivent être proactifs plutôt que réactif, car une fois que le problème est dans la nature, il est beaucoup trop tard ». Et dans cette approche, le test d’intrusion occupait une place essentielle, au-delà de la seule recherche de vulnérabilités.
En six ans, les révélations de brèches et autres intrusions plus tonitruantes les unes que les autres se sont multipliées. Et il faut croire que Don Goff n’a pas été entendu. La seconde édition du tableau de bord de Wavestone sur la sécurité des sites Web en France, dévoilée début octobre à l’occasion des Assises de la Sécurité, ne manque pas de le confirmer.
Les efforts, en termes de contrôle des failles, n’ont pourtant pas manqué, au-delà des solutions traditionnelles et bien connues de recherche de vulnérabilités, avec par exemple les approches de CloudSek, de Sqreen, de SecludIT, ou encore de SafeBreach. En parallèle, les offres de test d’intrusion – ou pentest – se sont développées. C’était l’activité de base du français iTrust, mais F-Secure s’y est lancé, avec le rachat en 2015 de nSense. T-Systems le propose également en France. Et il est donc loin d’être le seul. Et le besoin apparaît plus grand que jamais.
Un échange entre experts du sujet, sur Twitter, pourrait bien convaincre ceux qui doutent encore, tant les témoignages sont édifiants. Jake Williams, de Rendition Infosec, se rappelle ainsi d’un audit au cours duquel il a découvert rien moins que 3 To de films piratés dans le centre opérationnel de sécurité (SOC). Et Dan Tentler d’évoquer les instructions d’un ingénieur : ne pas lancer l’outil d’analyse réseau nmap sur le réseau local ICS/Scada… « parce que cela pourrait provoquer l’explosion de turbines pour gaz naturel ».
favorite blue team finding? Finding an anonymous FTP server full of loot from an APT campaign.
— da_667 (@da_667) November 6, 2017
Et c’est sans compter avec un autre expert ayant découvert une application de gestion de mots de passe pour employés qui souffrait d’une vulnérabilité d’injection LDAP : « n’importe qui pouvait réinitialiser le mot de passe de n’importe qui avec % ».
Que dire aussi de celui qui est tombé sur le butin d’une campagne APT en cours – visant une entreprise de l’aérospatiale en Chine et une compagnie pétrolière au Moyen-Orient – « sur un serveur FTP anonyme ». Et cet autre ayant découvert plusieurs installations de Widnows Server piraté, pré-équipées d’une porte dérobée accessible sans authentification par Telnet…
Pre-backdoored Pirated Windows Server installs. Multiple of them. Just telnet right to the port, no password needed.
— Cyb3r C4t (@cyb3r_c4t) November 6, 2017
L’inventaire est long et impressionnant… David Shuetz raconte ainsi comment un administrateur de système a changé son mot de passe quelques instants après qu’il s’y soit connecté avec l’outil xhost. Et cet autre expert, comment un « employé avec droits d’administration avait installé un logiciel de gestion de photos obsolète sur un système de production exposé au public », avec de nombreuses photos de famille à la clé.
L’exemple d’une entreprise très attachée à la sécurité physique, mais dont le système de gestion des badges d’accès permettait de s’octroyer le droit de passage dans les moindres recoins des installations, n’est pas moins édifiant.
Php myadmin clone exposed behind auth. File retrieval bug, used to pull .php source to get db creds. Massive amount of health care info 😬
— Lizzie (@glitchliz) November 6, 2017
Et c’est sans compter avec ces dix comptes d’administration d’annuaire aux mots de passe « très robustes »… inscrits dans les champs de description. Ou encore avec ces feuilles de calcul où un directeur financier stockait tous ses mots de passe et les détails des cartes de crédit de l’entreprise. Plus original : une application bancaire en ligne avec laquelle il était possible « d’ordonner des transferts négatifs pour voler de l’argent au destinataire ». Que dire aussi de cette « application financière extrêmement sûre, bien développée, qui souffrait d’un point de terminaison où il était possible de soumettre n’importe quelle commande SQL » ?
HP printer configured to send emails had DA creds in clear text in the source code of the page. Game over.
— Nico (@nijagaw) November 7, 2017
Bien sûr, on ne passe pas à côté des cas où le compte admin est protégé par le mot de passe… admin, ni de ceux où les identifiants des utilisateurs sont inscrits sur leurs machines. Ou encore ceux où l’accès au réseau industriel est possible via le réseau bureautique alors qu’une segmentation est théoriquement en place.
L’un des épisodes à la fois les plus atterrants et impressionnants ? Cet expert qui découvre « le précédent rapport réalisé par des pentesters avant moi, qui avaient fait un mauvais travail, passant à côté d’exploits critiques présents depuis des années ». De quoi rappeler, si besoin était, que les tests d’intrusion ne doivent pas être simplement ponctuels et isolés…