 |
Emploi
|
|
Start-up
|
|
Evénements 01 | |
Avis d'expert | |
Vidéos | |
Indicateurs
|
|
Distribution
|
|
Telecharger Pro
|
|
Livres blancs | |||||||||||||||||||||
Test d'intrusion : quelles sont les méthodes ?
par mail
l'article
01net. : Comment procédez-vous pour effectuer des tests d’intrusion ?
Philippe Humeau : Il y a plusieurs points d’entrée permettant de pénétrer dans une entreprise pour y chercher des informations. Il y a d’abord tout ce qui est exporté et visible depuis l’extérieur par le biais d’Internet, comme le serveur d'e-mails et le serveur Web. Il y a également le service informatique interne, que l’on va essayer de compromettre par d’autres méthodes. On va dans un premier temps essayer de trouver des failles sur le site Web de l’entreprise, trouver des informations sur elle, sur sa hiérarchie et sur ce qu’elle utilise comme système, afin de l'attaquer de manière spécifique.
Concrètement, qu’utilisez-vous comme logiciels et comme techniques ?
Dans un premier temps, on recherche l’information gratuite, celle que l’on peut trouver facilement, car elle peut être très intéressante. On cherche par exemple à connaître la taille de l’entreprise, à savoir dans quels milieux elle évolue, quels sont ses dirigeants, quels sont ses clients, les personnes qui ont été nommées à tel ou tel poste, etc. Ce type d’informations peut être trouvé sur Sociétés.com et Google, entre autres. On va donc, petit à petit, récupérer de l’information et trouver les technologies puis, une fois que l’on aura fait un tour d’horizon, on va regarder sa surface externe : ses classes d’adresses IP et ce que l’on va trouver sur ces dernières. Pour résumer, on essaie d’accumuler le plus d’informations possible sur l’entreprise afin d’élaborer un scénario d’attaque.
Avez-vous des logiciels spécifiques pour effectuer vos tests ?
Oui. Il y a de bons logiciels qui sont mis à disposition gratuitement, comme par exemple MBSA de Microsoft. Il interroge la base pour savoir si vous êtes à jour et si vos mots de passe sont suffisamment forts.
Quel est le prix d’un test d’intrusion ?
Pour ce qui nous concerne, le plus petit que nous ayons facturé se montait à 4 000 euros, et le plus gros à près de 100 000 euros, pour un test qui à duré presque trois mois sur plusieurs pays.
Combien de temps mettez-vous à pénétrer un réseau ?
Entre 24 heures et 72 heures. Rarement plus, parfois moins. Notre record s’établit à 1 h 30 min. Pour la résistance la plus forte, cela est monté à plus de 14 jours, à cinq personnes. Mais l’effort était à la hauteur de l’enjeu, puisque la faille que nous avons trouvée aurait pu coûter plusieurs dizaines de millions d’euros à cette entreprise. Le test leur a coûté 20 000 ou 30 000 euros, mais c’est dans la logique, car c'était en rapport avec leurs besoins. Cela a un coût, bien sûr, mais on protège les entreprises et on leur évite de perdre de l’argent par exemple en se faisant détourner des centaines de millions d’euros ou voler un fichier de clientèle.
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM