Pentesting
Ou test d’intrusion en Français est un audit de sécurité d’un système d’information ou d’un réseau informatique qui est réalisé par une personne physique. Bien qu’il puisse comprendre des parties automatisées, il y aura toujours un testeur qui fera des tâches manuelles.
Les méthodes
Il y a plusieurs méthodes d’audit, la première est en black-box (en boîte noire) qui met le testeur dans la position d’un attaquant potentiel qui n’a pas de connaissance en amont de l’architecture du système et de ce qui le compose. Mais il a un point faible, le fait que le testeur a un temps limité pour réaliser les tests alors qu’un attaquant n’a pas de limite ce qui entraîne souvent qu’un test en black-box peut passer à côté de failles évidentes à la lecture du code, mais qui ne seront jamais connues lors du test étant donné que le testeur n’y a pas accès. La deuxième technique dite de la gray-box (boîte grise) permet au testeur d’avoir des connaissances sur le réseau interne du système ainsi que des accès utilisateur plus ou moins élevés en fonction du périmètre accordé au testeur, mais il n’a pas accès à toutes les documentations techniques ni au code source. La troisième est le white-box (boîte blanche) dans ce cas-là le testeur à accès à toutes les documentations techniques ainsi que l’accès au code source. Cela permet au testeur de pouvoir pratiquer des analyses statiques du code et ainsi pouvoir voir de potentielles failles qui sont difficilement visibles sans le code source. Il existe une dernière méthode qui permet de tester le niveau de sécurité d’une entreprise. Contrairement aux autres méthodes qui durent en moyenne une ou deux semaines, une red team va passer plusieurs mois sur un test en commençant avec seulement un nom d’entreprise et en ayant peu, voire, aucun périmètre. C’est la plus complète de toutes, mais elle a un coût temporel et monétaire considérable qui n’est pas accessible à toutes les entreprises.
Durant alternance
Durant mon alternance j’ai pu pratiquer des pentest en black-box et white-box pour des projets internes, mais aussi pour des projets clients. Je suis reconnaissant d’avoir pu faire des missions alors que je n’étais qu’alternant et j’ai conscience de ma chance. Mais ça ne suffit pas pour que je puisse me qualifier comme pentesteur il me reste beaucoup de choses à apprendre et des logiques à prendre. Mais je continue de m'entraîner quotidiennement afin de toujours apprendre et découvrir de nouvelles méthodes que ce soit sur Hack the box, Vuln Hub, Pentester Academy ou encore root-me.
Auourd’hui
J’ai pu passer la certification Offensive Security Certified Professional (OSCP), durant 24h j’ai dû prouver mes compétences en prenant le contrôle de 5 machines afin d’en faire un rapport professionnel en anglais. Mais je ne compte pas en rester à l’OSCP, la prochaine est l'Offensive Security Web Expert (OSWE) afin de pouvoir lier deux de mes centres d’intérêt, la programmation et l’exploitation de failles de sécurité.
Voir aussi
