Introduction
La cybercriminalité est aujourd’hui une activité massive. Les dommages prévus pour l’année 2021 s’élèvent à 6 000 milliards USD au niveau mondial (pour rappel, un billion représente un million de millions — oui, c’est énorme). Pour mettre les choses en perspective, en termes de revenus, la cybercriminalité fait honte à des géants tels que Tesla, Facebook, Microsoft, Apple, Amazon et Walmart. Leur chiffre d’affaires annuel combiné ne totalise « que » 1,28 trillion USD.
La vérité simple que l’information équivaut au pouvoir à notre époque est plus vraie que jamais. Les entreprises et même les vies sont menacées en raison de données numériques précieuses et sensibles accessibles aux pirates informatiques. Rien ne peut complètement prévenir les cyberattaques. Heureusement, vous pouvez renforcer votre système de sécurité. Prenez les devants ! Engagez une équipe de pentesters professionnels pour attaquer votre système dans des conditions contrôlées et détecter ses faiblesses afin de vous assurer qu’il résiste aux intrusions malveillantes.
Les cyberattaques éthiques préventives sont des tests de pénétration bien orchestrés, et dans cet article, nous allons révéler tous les détails et spécificités, les risques potentiels qui leur sont associés, et souligner une fois de plus l’importance de la détection rapide des vulnérabilités informatiques.
Qu’est-ce que le test de pénétration ?
Le test de pénétration, également connu sous le nom de pen testing, test de sécurité ou hacking éthique, est une approche très efficace pour évaluer la posture de sécurité actuelle d’un système. Par pénétration, nous entendons le degré auquel un utilisateur malveillant hypothétique (pirate) peut pénétrer les mesures et protocoles de cybersécurité. Ainsi, le test de pénétration est une tentative autorisée d’obtenir un accès non autorisé — en termes simples — le pirater.
Qu’est-ce qui vous expose le plus au piratage ?
Ci-dessous, nous avons établi une liste des cibles les plus courantes des attaques malveillantes ainsi que des principales cybermenaces. Voici notre liste « Ce qui vous expose le plus au piratage » :
Applications mobiles
-
Absence de protection binaire — se caractérise par l’absence de mécanismes empêchant qu’un binaire d’application soit soumis à rétro-ingénierie et modifié. Sans protection binaire adéquate, il est possible de décompiler une application et d’en consulter le code source.
Exemple : Android exige que toutes les applications soient signées numériquement avec un certificat avant de pouvoir être installées. Android utilise ce certificat pour identifier l’auteur d’une application, et le certificat n’a pas besoin d’être signé par une autorité de certification. Les applications Android utilisent souvent des certificats auto-signés. Par conséquent, un utilisateur malveillant peut mettre n’importe quelle information dans le certificat pour signer son application — aucune autorité ne valide l’authenticité des certificats.
-
Chiffrement faible — ce type d’attaque basé sur les vulnérabilités cible les algorithmes de chiffrement obsolètes, faibles ou souffrant de vulnérabilités importantes.
Exemple : La chaîne de supermarchés américaine Wegmans Food Markets a annoncé avoir subi une violation de données après que deux bases de données soient devenues accessibles en ligne. Généralement, une telle formulation correspond à des problèmes de chiffrement faible.
-
Stockage de données non sécurisé — les systèmes de fichiers sont généralement une cible facile pour les utilisateurs malveillants. Une protection insuffisante peut entraîner des fuites de données.
Exemple : Tinder a révélé que les emplacements des utilisateurs de l’application n’étaient pas correctement chiffrés. En 2013, les emplacements des utilisateurs de Tinder étaient partagés, permettant aux destinataires de trianguler rapidement les emplacements exacts. Tinder a répondu en corrigeant la vulnérabilité.
Sites web et API web
-
Failles d’authentification et d’autorisation — étonnamment, ce sont les failles de sécurité des API les plus courantes, prolifiques et dangereuses. L’exploitation de ces vulnérabilités donne aux attaquants un accès facile pour abuser des mots de passe, des clés ou des jetons de session.
Exemple : Un ancien employé de Cisco a obtenu un accès non autorisé à l’infrastructure cloud de l’entreprise et a déployé du code malveillant, qui a perturbé 16 000 comptes clients WebEx pendant des semaines. Cela a coûté à Cisco 1,4 million USD en temps employé pour auditer leur infrastructure et réparer les dommages. Apparemment, l’accès aux ressources sensibles n’était pas protégé par une authentification à deux facteurs ou d’autres outils de gestion des accès.
-
Failles d’injection — les injections SQL, NoSQL, OS et LDAP se produisent lorsque des données non fiables sont envoyées dans le cadre d’une commande ou d’une requête. Ce type de vulnérabilité résulte d’une défaillance dans le filtrage des entrées provenant de sources non fiables.
Exemple : Le collectif RedHack a utilisé l’injection SQL pour pirater le site web du gouvernement turc et effacer des dettes envers des agences gouvernementales.
-
Mauvaise configuration de sécurité — une vulnérabilité assez répandue qui se manifeste par une mise en œuvre défectueuse des contrôles de sécurité. Une mauvaise configuration ou des options de configuration non sécurisées rendent une application susceptible aux attaques ciblant n’importe quelle partie de la pile applicative.
Exemple : En-têtes HTTP mal configurés sur la page web du Département de la Défense américain (https://www.sfl-tap.army.mil/). Bien que l’en-tête X-XSS-Protection axé sur la sécurité ait été inclus, il était configuré avec la valeur DENY, qui devrait être utilisée pour l’option X-Frame. Le chercheur a recommandé à juste titre que cela soit changé en 1 ; mode=block.
Scripts
-
Cross-Site Scripting (XSS) — ce type de faille se produit en raison de scripts malveillants dans le navigateur web de la victime, résultant d’un code malveillant implanté dans une page web ou une application web légitime.
Exemple : En raison d’un manque de validation des entrées depuis le champ de recherche sur lert.uber.com, il était possible d’obtenir un XSS réfléchi depuis le chemin URL, par ex.
https://lert.uber.com/s/search/All/Home”>PAYLOAD. -
Désérialisation non sécurisée — cette vulnérabilité se produit lorsque des données non fiables sont utilisées pour abuser de la logique d’une application, infliger une attaque par déni de service (DoS) ou même exécuter du code arbitraire lors de la désérialisation.
Exemple : En septembre 2018, des informations sur une vulnérabilité de désérialisation non sécurisée dans Vanilla Forums sont apparues sur HackerOne. La vulnérabilité permettait à un attaquant déterminé d’exécuter du code à distance.
-
Entités externes XML (XXE) — ce type d’attaque utilise des entités externes pour divulguer des fichiers internes en utilisant le gestionnaire d’URI de fichiers, les partages de fichiers internes, l’analyse de ports internes, l’exécution de code à distance et les attaques par déni de service.
Exemple : Divulguée en 2018, une vulnérabilité XXE a conduit à un exploit dans l’éditeur d’emblèmes de Rockstar Games. Consultez le rapport divulgué publiquement qui comprend des extraits de code et des explications détaillées de l’attaque.
Applications logicielles
-
Contrôle d’accès défaillant — les faiblesses du contrôle d’accès sont assez courantes. Elles se produisent lorsque des mauvaises configurations d’autorisations accordent aux attaquants l’accès et/ou la capacité de modifier des données/fichiers/comptes auxquels ils ne devraient pas pouvoir accéder. Le pentesting est le moyen le plus sûr de détecter un contrôle d’accès manquant ou inefficace, y compris la méthode HTTP (GET vs. PUT, etc.), le contrôleur, les références directes aux objets, etc.
Exemple : Un bug permettait le téléchargement de toutes les clés d’activation (également connues sous le nom de clés CD) via la plateforme de jeux Steam, pour chaque jeu.
-
Utilisation de composants avec des vulnérabilités connues — la prévalence de ce problème est assez répandue. Les composants, qui comprennent des bibliothèques, des frameworks et d’autres modules logiciels, fonctionnent souvent avec les mêmes privilèges qu’une application. Ainsi, si un composant est vulnérable, ces faiblesses peuvent être exploitées pour attaquer une application.
Exemple : Un rapport approprié a été divulgué en 2016 concernant la société Uber. Uber utilisait une version obsolète de WordPress, ainsi qu’un plugin q-and-a qui avait depuis été supprimé de WordPress en raison d’une vulnérabilité de divulgation de chemin complet.
-
Références directes non sécurisées aux objets — cette vulnérabilité permet à un utilisateur autorisé d’accéder aux informations d’autres utilisateurs. Avec le nombre croissant d’applications qui collectent des informations personnelles, les mesures préventives contre cette vulnérabilité gagnent en importance.
Exemple : En février 2014, cette vulnérabilité a été trouvée dans Yahoo !. Un pirate a repéré la vulnérabilité dans un sous-domaine ’suggestions.yahoo.com’. Cela permettait à un attaquant d’effectuer des modifications sur l’objet, comme la suppression de tous les fils de discussion et commentaires publiés sur le site Yahoo’s Suggestion Board, soit plus d’un million et demi d’enregistrements.
Équipements réseau et serveurs
-
Absence de chiffrement — les données non chiffrées peuvent être collectées via le réseau ou à partir d’appareils volés contenant des données non chiffrées enregistrées directement dessus.
Exemple : En février 2018, un incident au Bureau de l’administration de Pennsylvanie a permis l’accès aux informations personnelles appartenant à près de 360 000 utilisateurs, notamment des enseignants, du personnel des districts scolaires et du Département de l’Éducation. Le chiffrement de l’accès aux informations vitales et la gestion rigoureuse des identités des machines qui les hébergent permettent de prévenir les violations de données.
-
Ransomware — ce type d’attaque est assez répandu. Lorsqu’il frappe des serveurs et des équipements réseau vulnérables, il entraîne de graves problèmes, souvent à l’origine de pannes des systèmes et des communications réseau.
Exemple : Le ransomware connu sous le nom de « Cring » exploite une vulnérabilité dans les serveurs VPN Fortigate (CVE-2018-13379). Fortinet a publié un correctif de sécurité pour corriger la vulnérabilité en 2019, mais les cybercriminels peuvent toujours déployer l’exploit contre les réseaux qui n’ont pas encore appliqué la mise à jour de sécurité.
-
Vol d’identité (usurpation d’adresse MAC) — se produit lorsque l’imposteur recherche sur le réseau des adresses MAC valides et originales pour se faire passer pour l’une d’elles. En théorie, chaque adaptateur réseau intégré à un appareil connecté devrait avoir une adresse de contrôle d’accès aux médias (MAC) unique qui ne sera pas rencontrée ailleurs. En pratique, cependant, un piratage habile peut bouleverser cet état des choses.
Exemple : L’étude 2021 sur la fraude à l’identité, publiée par Javelin Strategy & Research, montre que les escroqueries à la fraude à l’identité ont entraîné des pertes de 43 milliards USD pour les consommateurs américains. Les escroqueries à la fraude à l’identité sont relativement faciles à orchestrer, offrant aux criminels la possibilité de contourner les barrières de détection des fraudes maintenues par les prestataires de services financiers.
Réseaux filaires et sans fil
-
Association malveillante — une menace qui se présente lorsqu’un réseau sans fil est accessible via un appareil sans fil tel qu’un ordinateur portable de piratage au lieu d’un point d’accès (AP) de l’entreprise. Lorsqu’un attaquant accède au réseau sans fil, il peut voler des mots de passe ou implanter des chevaux de Troie.
Conseil : Ce type d’attaque est généralement effectué en combinaison avec d’autres approches pour briser la sécurité des systèmes. Assurez-vous de respecter les stratégies éprouvées pour la sécurité des réseaux filaires et sans fil.
-
Attaque de l’homme du milieu (Man-in-the-Middle) — ce type d’attaque est caractérisé par l’interception d’une communication entre deux systèmes ou personnes par une partie non autorisée.
Exemple : En 2017, la société de notation de crédit Equifax a retiré ses applications mobiles de Google Play et de l’App Store d’Apple après une violation qui a entraîné la fuite de données sensibles des utilisateurs. Les deux versions de l’application n’utilisaient pas systématiquement HTTPS, ce qui les rendait vulnérables à l’interception.
Conseil : regardez la saison 2, épisode 6 de la série télévisée Mr. Robot pour une nouvelle perspective sur les attaques Karma.
-
Attaque par déni de service — se produit lorsque le système est intentionnellement surchargé de requêtes redondantes, perturbant le flux normal d’utilisation légitime.
Exemple : Une attaque DDoS majeure contre Dyn DNS a mis hors service Spotify, Twitter, Github et PayPal en inondant les sites d’une quantité écrasante de trafic internet en octobre 2016. Il a été prouvé que le malware Mirai était derrière l’attaque.
Systèmes d’exploitation
-
Exécution de code à distance — les vulnérabilités du système peuvent fournir à un attaquant la capacité d’exécuter du code malveillant et d’acquérir des privilèges utilisateur. L’exécution de code à distance est l’une des vulnérabilités les plus courantes trouvées dans les systèmes d’exploitation aujourd’hui, ouvrant la voie à d’autres attaques.
Exemple : Blueborne, une vulnérabilité de sécurité qui pourrait potentiellement exposer chaque appareil de la planète disposant du Bluetooth (estimé à plus de 8 milliards) à une attaque RCE.
-
Élévation de privilèges — donne à un attaquant la possibilité d’acquérir des capacités (au-delà de celles initialement accordées) sans autorisation appropriée. Généralement, l’élévation de privilèges est exploitée en combinaison avec d’autres vulnérabilités, par ex., l’exécution de code à distance.
Exemple : Metasploit est un framework de piratage bien connu. Il contient des attaques d’élévation de privilèges contre des appareils Android rootés. Une fois l’appareil rooté, il crée un fichier exécutable connu sous le nom de binaire superutilisateur (SU) qui permet à l’attaquant d’exécuter des commandes avec un accès root. L’attaquant peut alors exécuter des commandes comme « show advanced » et « show options » en tant que root.
-
Divulgation d’informations — ce type d’attaque se produit lorsque des bugs logiciels sont exploités pour obtenir des données personnelles. Les données obtenues servent souvent de base à de futures cyberattaques.
Exemple : Les numéros de téléphone et les données personnelles de 533 millions d’utilisateurs de Facebook ont été divulgués en ligne en avril 2021.
Quelles sont les différentes approches des tests de pénétration ?
Tout pentester décide d’une approche particulière pour les tests de sécurité, en basant ce choix sur le timing, les exigences de sécurité et, surtout, le niveau de données fourni. Permettez-nous d’expliquer : l’exploitation des faiblesses d’un système peut réussir avec ou sans données sur le système cible — par exemple, un pentester peut avoir connaissance de la façon dont un réseau est cartographié, ou la découverte de ces informations peut très bien faire partie de la tâche. Le niveau d’informations fournies détermine l’approche.
Voici les trois approches du pentesting ainsi que les avantages et inconvénients de chacune d’elles :
Quel est l’objectif des tests de pénétration ?
L’idée principale derrière tout test de pénétration est de simuler une attaque de la part d’individus malveillants extérieurs afin d’identifier les scénarios d’attaque possibles et les vulnérabilités du système. Ainsi, l’objectif du pentesting est d’exposer les vulnérabilités et d’exploiter les faiblesses du système en question.
Les tests de cybersécurité fournissent des informations précieuses sur les forces et les faiblesses de la sécurité existante. Il convient cependant de mentionner que l’objectif principal de chaque cas de pentesting est lié à un cas d’affaires particulier, il existe donc de nombreux vecteurs de test qui ne relèvent pas d’une généralisation unique.
Connaissez-vous la fréquence prévue des attaques de ransomware contre les entreprises d’ici la fin de 2021 ? Il y aura une tentative de violation de sécurité toutes les 11 secondes. C’est en hausse par rapport à une estimation d’une toutes les 40 secondes en 2016. Les évaluations des vulnérabilités et les améliorations qui en découlent sont une mesure éprouvée pour prévenir les intrusions numériques réelles.
Quels sont les risques des tests de pénétration ?
Les coûts cachés et les risques liés à la recherche de failles dans les systèmes de sécurité avant que les vrais pirates ne puissent s’introduire peuvent être assez importants. Les risques significatifs à considérer avant de sonder les voies possibles pour pénétrer un système seront discutés sans plus tarder.
-
Conditions irréalistes = résultats sans objet. L’objectif de toute évaluation de sécurité est d’obtenir une vérification de la réalité et de prioriser les améliorations futures. Si le pentesting est conduit dans un environnement irréaliste, il y a peu d’espoir pour des résultats significatifs. Une cyberattaque simulée peut donner des résultats biaisés qui ne reflètent pas les perspectives réelles des pirates potentiels. Il y a cependant de nombreuses variables à prendre en compte pour obtenir des résultats utiles, tels que le niveau d’expertise du pentester, les outils qu’il utilise et l’approche de pentesting qu’il suivra.
-
Plus de dommages que de bénéfices. Les tests de sécurité peuvent entraîner une exposition involontaire d’informations confidentielles et des incidents de données s’ils ne sont pas menés correctement. Des erreurs lors des tests peuvent potentiellement entraîner des pannes de serveurs et exposer des données sensibles. Votre système doit être protégé contre ce risque de sécurité avec les ressources humaines et techniques appropriées.
-
Perte de productivité. Les tests de pénétration peuvent et vont interférer avec les performances d’un système cible. Les tests doivent être bien orchestrés, et l’équipe de pentesters doit rester en contact avec les employés concernés.
-
Fausse confiance. Les vulnérabilités manquées sont une autre menace potentielle. Des tests de sécurité réussis inspirent confiance dans la sécurité du système. Cependant, comme nous l’avons mentionné dans la description des différentes approches de test, chacune présente le risque de négliger des menaces de différente gravité, de faible à critique. Il n’y a jamais de garantie que tous les inconvénients seront détectés dans le délai du test. Une chose importante à garder à l’esprit : ne pas supposer une immunité à une vulnérabilité simplement parce qu’elle n’a pas été trouvée est ce qui s’approche le plus de l’immunité.
Pourquoi les tests de pénétration sont-ils importants ?
La valeur des tests de cybersécurité professionnels ne peut être sous-estimée pour aucune entreprise, quelle que soit son activité. Faire confiance à une équipe de pentesters pour identifier les vulnérabilités d’un système comporte ses risques, mais opter pour des experts compétents aidera à les minimiser, en augmentant plutôt les bénéfices. Les pentesters de QAwerk fournissent les services de pénétration à distance suivants :
- Détection des fuites de données
- Prévention des menaces internes
- Audit de sécurité de sites web
- Tests de pénétration web
- Tests de sécurité statiques des applications (SAST)
- Audit de sécurité des réseaux externes
- Informatique légale à distance
Les vulnérabilités et menaces informatiques émergent chaque jour. De nouveaux types d’attaques sont utilisés qui peuvent différer énormément des existants, et même certaines anciennes vulnérabilités peuvent être réutilisées avec le temps. C’est pourquoi, pour que votre entreprise fonctionne de manière fluide et sécurisée, il est crucial de garder le doigt sur le pouls de sa cybersécurité avec des piratages éthiques réguliers, ne laissant aucune pierre non retournée pour découvrir les failles dans les protocoles de sécurité pour les réseaux, les systèmes et les applications web.
Conclusion
Le nombre de nouvelles cybermenaces est maintenant à son maximum historique, avec une augmentation quotidienne de 50 à 100. Tester la pénétration de votre infrastructure, de vos logiciels et de votre réseau est une mesure de sécurité fiable qui est devenue une nécessité pour les entreprises aujourd’hui. Rappelez-vous que 95 % des violations de cybersécurité sont dues à des erreurs humaines. Protégez-vous en engageant des professionnels pour effectuer des tests de sécurité de routine qui réduisent considérablement la possibilité d’attaques de la part d’intrus informatiques. Nos clients évitent les temps d’arrêt ainsi que les pertes de données et financières.