Méthodologie du test d'intrusion
Pour atteindre n'importe quel objectif, il vous faut un plan d'action.
Ce plan d'action, on l'appelle méthodologie dans le milieu professionnel et dans le jargon du hacking et des tests d'intrusion.
Cette méthodologie, c'est la suite d'étapes que l'on va suivre pour atteindre notre objectif final, qui est de s'introduire dans le réseau de notre cible et, à la fin, d'essayer de la protéger.
Dans ce chapitre, nous allons découvrir ensemble les méthodologies que l'on peut utiliser en tant que testeurs d'intrusion et hackers éthiques.
Pour les méthodologies, il y en a plusieurs dans le milieu professionnel.
Il y a une méthodologie qui s'appelle PTES (Penetration Testing Execution Standard), une autre que l'on appelle NIST, une autre OSSTMM, et la plus célèbre est la méthodologie OWASP.
Toutes ces méthodologies ont été créées par des orgzackmes ou des entreprises bien établis dans le milieu et l'industrie de la sécurité informatique.
OWASP est très connu, c'est une association qui fait de la recherche dans le milieu de la sécurité informatique.
Le NIST également.
Mais pour faire simple, la méthodologie la plus accessible et que j'utilise dans mes tests d'intrusion est la méthodologie PTES, même si toutes ces méthodologies partagent à peu près la même logique.
Cependant, dans cette formation, je ne vais pas utiliser directement ces standards complexes, mais plutôt une méthodologie beaucoup plus simple qui va suivre les étapes suivantes.
Comme vous le voyez, nous avons 6 étapes.
Les méthodologies que nous avons vues précédement comportent chacune un nombre spécifique d'étapes.
Mais pour faire simple, nous allons suivre cet ordre chronologique pour procéder et exécuter nos tests d'intrusion.
Tout d'abord, la première étape consiste à commencer par la reconnaissance.
En réalité, il y a une étape préalable où vous allez négocier avec le client.
Cependant, vous travaillerez souvent en tant que pentesteur au sein d'une entreprise qui prend en charge la négociation et le processus de vente.
Vous n'aurez pas à vous soucier de ces aspects.
Mais il faut savoir qu'il y a une phase avant la phase de reconnaissance dans laquelle vous allez établir avec le client le scope, c'est-à-dire l'objectif, les cibles, les adresses IP et les serveurs que vous allez cibler, ce que vous pouvez faire et ce que vous ne pouvez pas faire.
Par exemple, le client va vous dire : « Vous n'êtes pas autorisé à scanner ce serveur spécifique de production. » Vous ne le scannerez donc pas.
Ou encore : « Vous n'êtes pas autorisé à faire de l'ingénierie sociale. » Il est très important de connaître les règles d'engagement.
Ensuite vient la reconnaissance, dans laquelle vous allez utiliser des outils (qu'ils soient open source ou développés par vous-même) pour récolter le maximum d'informations sur votre cible.
Il peut s'agir d'un serveur unique, d'une application, ou d'un réseau entier contenant plusieurs dizaines, voire plusieurs centaines de serveurs, fonctionnant sous Windows, macOS, etc.
Vous allez utiliser des outils, comme nous le verrons, qui vous permettront de récolter un maximum d'informations.
Nous verrons dans la leçon sur la reconnaissance qu'il existe plusieurs types de reconnaissance.
Mais ce qu'il faut savoir, c'est que vous avez besoin d'informations, et plus vous en aurez sur votre cible, plus votre test d'intrusion sera productif.
C'est la première étape.
La deuxième étape est le scanning.
En réalité, cela fait partie de la récolte d'informations, mais le scanning est une étape où vous allez être beaucoup plus agressif dans votre approche.
Nous allons utiliser des outils comme le célèbre Nmap pour obtenir des informations plus avancées et vitales sur les serveurs et les services de notre cible.
Ensuite, nous avons le gain d'accès (l'exploitation).
Dans cette phase, nous allons utiliser toutes les informations recueillies lors des première et deuxième étapes pour nous introduire et pénétrer le réseau ou le système de notre cible.
C'est la phase la plus excitante et la plus intéressante.
De là, nous passerons à la phase suivante : le maintien d'accès.
Une fois le réseau ou le système pénétré, nous allons essayer d'établir des méczackmes et de faire des manipulations qui nous permettront de rester à long terme sur le réseau.
Une fois cela effectué, nous passerons à la phase suivante : le nettoyage des traces.
Vous devez savoir que lorsque vous pénétrez un serveur ou le réseau de votre cible, vous laissez des traces (scripts, fichiers textes, logs).
Il faut tout supprimer pour ne pas laisser de traces derrière vous.
C'est un principe professionnel, partagé par les hackers éthiques et les pirates : tous nettoient leurs traces.
Cette phase est d'autant plus importante pour les pirates (les hackers black hat) car s'ils laissent des traces, ils risquent de se faire attraper et de finir en prison.
Ce n'est pas notre cas en tant que hackers éthiques, mais si vous laissez des traces, cela donnera une mauvaise impression professionnelle de votre test d'intrusion.
Il faut donc toujours être professionnel et nettoyer ses traces.
Enfin, notre test d'intrusion se terminera par un rapport détaillé sur ce que nous avons effectué tout au long du test : ce que nous avons trouvé lors de la reconnaissance et ce que nous recommandons au client de corriger ou de supprimer.
Par exemple, si nous trouvons des informations publiques sur l'infrastructure de notre client, nous lui recommanderons de les retirer car un pirate ou un hacker black hat pourrait les exploiter pour attaquer son réseau.
Il en va de même pour la phase de scanning : nous détaillerons ce que nous avons trouvé avec nos outils de scanning, ainsi que pour le gain d'accès.
Nous présenterons tout cela de manière simplifiée pour que notre client puisse comprendre notre démarche.
L'objectif ultime est de protéger l'infrastructure de notre client.
C'est donc la procédure, le plan de test ou la méthodologie que nous allons utiliser pour ce cours et pour vos futurs tests d'intrusion dans votre carrière.
À la fin de ce cours, je vous donnerai des ressources pour faire passer vos compétences au niveau supérieur, notamment des sites d'entraînement très importants, ainsi que des livres à lire en tant que testeur d'intrusion et passionné de cybersécurité.
Enfin, je vous proposerai des cours avancés qui vous permettront de découvrir des concepts très intéressants sur la sécurité, l'attaque et la défense des réseaux et des systèmes d'exploitation.