Une approche démystifiée du hacking

Le hacking est souvent perçu, dans l’imaginaire collectif, comme une activité obscure effectuée par des geeks qui ont une capacité innée en informatique et pour qui aucun système n’est impénétrable. Le hacking éthique a hérité de cette image or, dans ce domaine, les besoins portent avant tout sur la réalisation de tests de sécurité. De plus, la volonté d’effectuer ces tests dans les mêmes conditions qu’un hacker ne permet souvent que de mettre en avant la partie émergée des failles d’un système.

L’ingénierie du hacking

En effet, le plus souvent, le but n’est pas de savoir si un hacker serait capable de pénétrer un système d’information ou non, mais plutôt d’évaluer la possibilité de réalisation de ce risque, compte tenu des vulnérabilités techniques ou organisationnelles identifiées. C’est pourquoi notre approche est basée sur un savoir-faire et une méthodologie inspirée des projets d’ingénierie. Il ne suffit pas de trouver quelques moyens d’exploiter des failles de sécurité, mais d’effectuer cette recherche de la manière la plus exhaustive possible, quel que soit l’objet du mandat. Nous nous efforçons ainsi d’adapter intelligiblement les tests au contexte et aux besoins du mandant, expliquant notamment pourquoi il est préférable de ne pas tester deux types de vulnérabilités en même temps.

La protection leurrée de l’IPS

Lors des tests de pénétration frontaux, par exemple dans le cas d’un serveur d’application web, un système de prévention d’intrusion (IPS) existe souvent sur le réseau du client. Le rôle de ce dernier est notamment de détecter et bloquer certaines attaques. Naturellement, le client ayant installé une telle solution souhaite l’éprouver faces aux attaques de hackers, éthiques ou non. Cependant, nous recommandons vivement de ne pas tester la vulnérabilité d’un serveur web en même temps que la capacité d’un IPS à détecter une attaque. Afin de ne pas être black-listé par l’IPS, les scans et attaques sont effectués furtivement dans le temps ou de manière distribuée, approche qui nécessite beaucoup plus de temps pour la préparation et de déroulement des tests. D’autre part, la détection et le blocage de certains types d’attaques par l’IPS risque d’empêcher d’identifier des vulnérabilités pourtant existantes sur le serveur web. Ces vulnérabilités pourraient être exploitées de façon furtive,  contournant les mécanismes de détection de l’IPS. Enfin il ne sera pas possible de tester la réaction de l’IPS à différents types d’attaques pour lesquelles les vulnérabilités n’existent pas encore sur le serveur web. L’estimation objective du niveau de sécurité d’un serveur d’application ni de l’IPS ne sera donc pas possible. Nous recommandons donc d’effectuer les tests de vulnérabilité sans protection de l’IPS et de tester séparément la réactivité de l’IPS aux différents types d’attaques.

Le cheval de Troie et la sensibilisation

Un autre exemple pertinent est de conduire un test d’infection par des chevaux de Troie sur les postes d’employés, sans avertissement préalable, pour tester en même temps la vulnérabilité du système d’information aux différents types de chevaux de Troie et le comportement des utilisateurs. Prenons le cas d’un envoi d‘email à certains employés contenant un cheval de Troie. En cas d’échec de l’infection, il ne sera pas possible de mesurer s’il s’agit du contenu de l’email qui n’était pas assez attractif pour inciter les utilisateurs à ouvrir la pièce jointe ; s’il s’agit du système de filtrage d’email qui a détecter le contenu malicieux ; s’il s’agit de la sécurité du poste de travail ; ou si le cheval de Troie s’est installé mais n’a pas réussi à communiquer avec le hacker à cause d’un système de détection d’intrusion, par exemple. S’il est facile d’envoyer un email à  un grand nombre d’employés pour réussir à installer un cheval de Troie, nous ne pourrons pas estimer le niveau de sécurité du poste de travail ni du niveau de sensibilisation des employés. Nous recommandons de dissocier les tests de comportement de l’utilisateur des tests de vulnérabilité aux chevaux de Troie. Ce dernier s’effectue d’ailleurs en trois phases : vecteurs d’entrée, vulnérabilité d’installation, canaux de  communication.

Une équipe d’hackers éthiques

Notre équipe d’hackers éthiques est composée essentiellement d’ingénieurs en informatique passionnés de hacking. Tous employés de Kyos depuis plusieurs années, ils sont dotés d’un profond sens du service et partagent les valeurs de Kyos IT Security. Ils n’effectuent ainsi que des mandats de  hacking à la demande du client et ainsi en toute légalité et confidentialité.

Une méthodologie pragmatique

Kyos IT Security a une expérience de plus 8 ans dans les tests de vulnérabilité et de pénétration.  Notre équipe a ainsi pu réaliser plus d’une centaine de projets que ce soit dans le secteur bancaire ainsi que pour des administrations, organisations internationales, industries ou PME.

De part ces expériences, l’offre de tests de sécurité de Kyos au départ essentiellement axée dans les domaines des serveurs d’application des systèmes et des réseaux  s’est ainsi enrichie de projets de tests de chevaux de Troie, de comportement de l’utilisateur, de Smartphones, de réseau wifi, d’information publique ou audit de code. Nos clients ont notamment apprécié la technicité de nos experts, l’exhaustivité de nos tests, ainsi que la qualité de nos rapports.

Afin de répondre au mieux aux besoins de chaque client, notre approche se veut avant tout pragmatique et est basée sur une méthodologie empirique et adaptée au contexte.