L'importance d'effacer les traces dans un test d'intrusion

Une fois que vous avez terminé votre test d'intrusion, il est primordial de supprimer toute trace indiquant que vous avez pénétré le réseau ou le système cible.

C'est pour cette raison que votre documentation est essentielle : elle doit lister toutes les actions que vous avez effectuées tout au long de votre pentest.

Vous devez maintenant repasser sur chaque système pour effacer vos traces : modifications de la base de registre, fichiers de logs générés, ou encore fermeture des ports réseau que vous auriez ouverts durant vos tests.

Si vous avez envoyé des e-mails depuis les machines victimes, il faut les supprimer.

Si vous avez téléversé (uploader) des outils ou des exécutables, comme nous l'avons fait précédemment, il est impératif de les supprimer et d'arrêter les processus correspondants en cours d'exécution.

Si vous avez configuré des méczackmes de persistance, comme des tâches planifiées dans le Planificateur de tâches (Task Scheduler) sur Windows ou des cron jobs sur Linux, veillez également à les retirer.

En procédant ainsi, vous garantissez un test d'intrusion propre et professionnel, et les équipes de défense (la Blue Team) du réseau audité apprécieront grandement votre professionnalisme.