Document Technique

TEST DINTRUSION

Mars 2004

Commission Rseaux et Systmes Ouverts

CLUB DE LA SECURITE DES SYSTEMES DINFORMATION FRANAIS

30, Rue Pierre Semard
Tlphone : 01 53 25 08 80 Fax : 01 53 25 08 88
Mail : clusif@clusif.asso.fr Web : http://www.clusif.asso.fr

REMERCIEMENTS
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de ce
document, tout particulirement :

Julien

AIRAUD

ETUDIANT UNIVERSITE DE LIMOGES

Philippe

BOUVIER

THALES SECURE SOLUTION

Eric

CHASSARD

CSC - PEAT MARWICK FRANCE

Paul

CONSTANT

PAUL CONSTANT

Jean-Franois

GONEL

AGENCE FRANCE PRESSE

Xavier

GUILLOT

ETUDIANT UNIVERSITE DE LIMOGES

Vincent

MARET

ERNST & YOUNG AUDIT

Lazaro

PEJSACHOWICZ

CNAMTS

Paul

RICHY

FRANCE TELECOM

Herv

SCHAUER

HSC

Laurence

SELIGMANN

THALES SYSTEMES AEROPORTES

Tests dintrusion

-I-

CLUSIF 2004

TABLE DES MATIERES

INTRODUCTION................................................................................................................................................... 1

OBJECTIFS, AVANTAGES ET LIMITES DES TESTS DINTRUSION........................................................ 2

2.1
2.2
2.3

OBJECTIFS POUVANT ETRE SATISFAITS PAR DES TESTS DINTRUSION ................................................................ 2

TESTS DE VULNERABILITES .............................................................................................................................. 2
OBJECTIFS NE POUVANT ETRE SATISFAITS PAR DES TESTS DINTRUSION ........................................................... 3

ACTEURS DUN TEST DINTRUSION.............................................................................................................. 4

DEROULEMENT DUNE MISSION DE TEST DINTRUSION TYPE DEPUIS INTERNET ..................... 5

MESURES A PRENDRE DU COTE DU DEMANDEUR .................................................................................. 7

LE ROLE DES ASSURANCES DANS LE CADRE DES TESTS DINTRUSION........................................ 10

GLOSSAIRE ......................................................................................................................................................... 11

Tests dintrusion

- II -

CLUSIF 2004

1 INTRODUCTION
Lobjectif de ce document de synthse relatif aux tests dintrusion des accs Internet, est de fournir
des lments sur lintrt et les limites de cette dmarche dans le cadre dune politique de scurit
en entreprise.
La commission regroupant offreurs et utilisateurs a permis dtablir une premire approche de
langage commun autour du service tests dintrusion afin que les attentes des utilisateurs soient
correctement prises en compte par les pratiques des offreurs. Ce document vise aussi mettre en
exergue le niveau de maturit actuel dun test dintrusion dont la dmarche sinscrit pleinement
dans les plans de scurisation tablis par les RSSI.
Le caractre contractuel, mthodique, transparent, et lenvironnement lgislatif dans lesquels se
droulent ces tests dintrusion pratiqus par les vritables professionnels reconnus du domaine, ont
depuis longtemps maintenant, balay limage sulfureuse des tests pratiqus par quelques
bidouilleurs aviss linsu du fonctionnement officiel du SI.
Bien quil existe diffrents types de tests dintrusion, nous nous limiterons volontairement aux tests
permettant une intrusion depuis Internet.

Tests dintrusion

-1-

CLUSIF 2004

2 OBJECTIFS, AVANTAGES ET LIMITES DES TESTS

DINTRUSION
Les principes de ralisation des tests d'intrusion prsentent, par rapport d'autres mthodes
d'analyse de la scurit, des avantages, mais aussi des limites. Il convient donc de bien mesurer ces
insuffisances, et de les mettre en perspective avec les objectifs que lon veut atteindre.
2.1

2.1.1

Objectifs pouvant tre satisfaits par des tests dintrusion

Mettre l'preuve la scurit d'un environnement et qualifier sa rsistance un certain

niveau dattaque.

Les tests d'intrusion peuvent en effet tre compars certaines mthodes de qualification du monde
industriel (rsistance de coffre-forts, endurance de moteurs d'avions) o l'on vrifie que le
mcanisme test rsiste pendant un certain temps des attaques ou des agressions dun niveau
dfini. Dans le cas des tests d'intrusion, le rsultat se rduit savoir si l'environnement test a
rsist aux attaques pendant le laps de temps imparti (en gnral quelques jours). Si tel est le cas,
alors on peut supposer que la plupart des attaquants n'iront pas aussi loin.
Cette approche a lavantage de permettre de tirer des enseignements d'un test qui choue, c'est-dire pour lesquels aucune intrusion na pu tre ralise dans le laps de temps imparti. On peut donc
supposer que la scurit existante est adapte au niveau de risque accept. Il convient de dfinir trs
prcisment, avant le test, la dure du test et ce qui sera considr comme une intrusion afin de
pouvoir tirer prcisment des enseignements en matire de rsistance lintrusion.
2.1.2 Sensibiliser les acteurs (management, informaticiens, utilisateurs) au sein de lentreprise.
Les tests d'intrusions sont particulirement efficaces pour sensibiliser les acteurs. En effet, par
rapport des mthodes d'analyse de la scurit comme l'audit, le test d'intrusion, s'il "russit",
permet de disposer d'arguments de poids pour inciter les acteurs prendre conscience des risques. Il
peut mme tre envisag de rcolter des preuves pour convaincre les plus rcalcitrants. Les tests
d'intrusion permettent galement d'illustrer les problmes de scurit issus des interactions
complexes et non prvues, interactions qui sont parfois difficiles apprhender lors daudits de
scurit se focalisant sur des points de contrle atomiques .
Toutefois, il faut considrer le risque que les tests d'intrusion n'aboutissent pas des rsultats
concluants. Dans ce cas l, le pouvoir de sensibilisation des acteurs devient inexistant. Au contraire,
certains peuvent croire, la robustesse du systme.
2.2

Tests de vulnrabilits

Un test de vulnrabilits est un test d'identification de failles connues. Le rsultat du test de

vulnrabilits est un tableau synthtique, avec pour chaque faille, la liste des machines ou
quipements qui semblent vulnrables. Un test d'intrusion commence par une phase de recherche de
vulnrabilits. Celle-ci ne donne gnralement pas lieu la dlivrance d'un tableau des
vulnrabilits, car elle sert d'entre pour les phases suivantes du test d'intrusion. Lors d'un test
d'intrusion, l'quipe de test va tenter de mettre en oeuvre les vulnrabilits trouves, utiliser les
Tests dintrusion

-2-

CLUSIF 2004

inter-dpendances entre ces vulnrabilits, et essayer d'aller plus loin. Ce n'est pas le cas lors d'un
test de vulnrabilits. Le test de vulnrabilits est ralisable de manire automatique, et propos en
mode ASP par certains fournisseurs. Il est court et peu coteux, donc peut tre ralis avec une
frquence plus importante que les tests d'intrusion.
Enfin, le test d'intrusion ralis par une quipe permettra de dtecter des vulnrabilits qu'un test de
vulnrabilit ne verra pas.
2.3

2.3.1

Objectifs ne pouvant tre satisfaits par des tests dintrusion

Avoir l'assurance qu'un environnement informatique est scuris.

Un test dintrusion ne peut constituer la preuve de la scurit dun environnement. Si aucune

vulnrabilit significative n'est mise en vidence lors des tests, il est impossible de conclure que
l'environnement test est scuris. En effet, on ne peut exclure que les testeurs n'aient pas identifi
certaines vulnrabilits existantes, par manque de connaissance ou de moyens, ou parce que ces
vulnrabilits ne peuvent pas tre mises en vidence directement dans les conditions des tests
dintrusion. On ne peut pas non plus exclure que, dans le futur, des vulnrabilits apparaissent au
sein des briques logicielles constituant l'environnement ou que son paramtrage de scurit soit
modifi.
Pour obtenir un niveau d'assurance suffisant sur la scurit d'un environnement informatique, il est
plus lgitime de raliser un audit de scurit, qui prend notamment en compte les aspects
procduraux et organisationnels, en plus des questions techniques.
2.3.2

Identifier exhaustivement les vulnrabilits de scurit d'un environnement.

Comme les autres mthodes, un test dintrusion ne permet pas dtre certain que toutes les
vulnrabilits existantes au sein dun environnement seront identifies. Une fois une vulnrabilit
identifie sur un systme et utilise pour en prendre le contrle, une personne ralisant un test
dintrusion aura tendance soccuper dun autre systme, sans tenter didentifier dautres
vulnrabilits sur le systme dont elle vient de prendre le contrle. Or il est tout fait possible que
plusieurs vulnrabilits de scurit existent sur ce systme. Par ailleurs, un test dintrusion ne
permet en gnral pas de dtecter dventuelles vulnrabilits dans les couches de protection au del
de la premire couche prsentant un niveau de scurit suffisant.
Il faut galement noter que des tests d'intrusion ne permettent pas d'identifier directement les
faiblesses de scurit d'ordre organisationnel et procdural, et se limitent aux faiblesses techniques.

Tests dintrusion

-3-

CLUSIF 2004

3 ACTEURS DUN TEST DINTRUSION

On peut considrer quil y a deux grandes catgories dacteurs :

Les acteurs internes : lentreprise souhaitant effectuer ce test.

Les acteurs externes : le prestataire de service proposant cette prestation, les fournisseurs
daccs, les hbergeurs. Ce prestataire pourrait tre interne lentreprise sil dispose des
comptences et dune indpendance suffisante.

A priori, tous les acteurs internes lentreprise sont concerns par le test dintrusion, ce nest pas
le seul problme du RSSI ! . Afin de limiter au maximum les risques de perturbations
oprationnelles, des prcautions d'organisation sont prendre vis vis des intervenants lors du
droulement du test. Un des objectifs tant la sensibilisation du management et des utilisateurs,
aussi bien aux attaques venant de lextrieur que de lintrieur de lentreprise, le test dintrusion doit
faire lobjet a posteriori dune large communication en interne. Cette communication doit tre
cible et, bien sr, porter un message de scurit sans pour autant informer sur les vulnrabilits non
traites..

Dans un cadre plus technique, la direction informatique dans son ensemble est concerne par ces
tests ainsi que les filiales et/ou les socits rattaches dans le cas de rseaux WAN ou dintranet,
perspective qui peut tre tendue aux clients de lentreprise dans le cadre dun extranet

Les principaux acteurs externes lentreprise sont :

les socits de service proposant ce type de prestation. Lentreprise doit rechercher

des acteurs fiables et professionnels. Ces acteurs externes doivent attacher un intrt tout
particulier la confidentialit de leur acte et surtout rassurer lentreprise dsireuse de
raliser ce test qui pourrait les percevoir comme des pirates . Ils se doivent galement
doffrir toutes les garanties ncessaires lentreprise ; les spcialistes de ces socits sont
recenser individuellement avec leurs comptences spcifiques.

le propritaire ou le responsable lgal de la structure concerne par ce test dintrusion dans

le cas o lentreprise aurait externalis ses serveurs. Dans un tel cas, il convient de prvoir la
possibilit de ce type de test ds le dpart dans le contrat dexternalisation. Si la structure est
mutualise ou non visible directement, par exemple dans le cas dun serveur partag entre
plusieurs entreprises, le test dintrusion ne peut tre envisag de par cette structure
particulire.

Lentreprise, le prestataire de service et lventuel hbergeur doivent analyser avec une attention
toute particulire, le contexte organisationnel autour du systme dinformation objet du contrat des
tests dintrusion ; en particulier, les engagements doivent correspondre au primtre rel de
responsabilit des acteurs engags.

Tests dintrusion

-4-

CLUSIF 2004

4 DEROULEMENT DUNE MISSION DE TEST

DINTRUSION TYPE DEPUIS INTERNET
Lobjectif dune telle mission est dvaluer le risque quune personne malveillante puisse
sintroduire dans le rseau informatique interne de lentreprise (le demandeur) via son rseau
dinterconnexion Internet.
Une mission de ce genre est gnralement ralise par le prestataire depuis un environnement ddi,
comme par exemple un laboratoire de tests dintrusion.
Ce type de mission peut dbuter sans information pralable provenant du demandeur. De manire
gnrale, le droulement dune mission de test dintrusion de type en aveugle ou zero
knowledge depuis Internet comporte trois phases principales :

4.1

Phase 1 : Dcouvertes initiales

Lobjectif de cette phase est de rechercher des informations significatives permettant de dcouvrir
puis valider le primtre de lintrusion.
Dans un premier temps, le prestataire sattache cerner la connectivit Internet du
demandeur. Afin de mener bien cette recherche, il consulte diverses bases de donnes publiques
sur Internet (notamment les enregistrements Whois) pour identifier les plans de nommage,
dadressage et le ou les fournisseurs daccs utiliss par lentreprise. Il vrifie par ailleurs
lappartenance des adresses IP concernes par le test dintrusion. Il complte sa recherche via de
nombreuses sources de donnes publiques, sites Web du demandeur, les forums, les serveurs de
news, etc. Ces renseignements fournissent ventuellement des informations complmentaires sur les
lments rseaux et logiciels qui sont dtenus par lentreprise.
Le rsultat de cette phase permet didentifier la prsence de lentreprise perue depuis
Internet. Il est recommand de faire valider par le demandeur ces informations afin de poursuivre
cette phase dexploration. Cette validation, permet dengager le demandeur (face au contrat) et
dinformer le prestataire qui est ainsi certain que les lments quil va tester par la suite sont bien
des lments appartenant au demandeur et sont bien inclus dans la couverture du contrat.
Puis le prestataire passe lidentification de la topologie du rseau de lentreprise vue
depuis Internet. Pour cela, il identifie les machines accessibles partir dInternet laide doutils
faiblement intrusifs (type DNS et reverse DNS, transfert de zone, traceroute, ping, etc.). Ensuite il
dtermine les caractristiques et les rles de ces machines afin de comprendre la topologie du
rseau dinterconnexion Internet. Il aura ainsi une reprsentation graphique de cette topologie du
rseau et des lments cibles qui sont identifiables depuis Internet.
A la fin de cette phase il est recommand que le prestataire communique au demandeur les
rsultats de sa dcouverte du rseau (schma de la topologie du rseau vu dInternet). Le demandeur
valide ensuite le primtre couvrir par le prestataire en Phase 2.

Tests dintrusion

-5-

CLUSIF 2004

4.2

Phase 2 : Recherche dinformations et de vulnrabilits

Lobjectif de cette phase est de rechercher des vulnrabilits potentielles sur les machines
identifies dans le primtre de la phase 1.
Pour chacune des machines prsentes dans la topologie de raccordement Internet, le
prestataire complte sa recherche par des techniques plus intrusives qui permettent didentifier
lensemble des services actifs sur ces lments, danalyser les configurations des lments, etc.
Le rsultat de cette recherche permet de mettre en vidence un certain nombre de
vulnrabilits potentielles qui pourraient exister sur les machines cibles et qui pourraient tre
exploites pour sy introduire : version ou correctif non jour, configuration incomplte, etc.
Etape de validation : lorsque le prestataire dcouvre une vulnrabilit majeure pouvant
porter atteinte la disponibilit ou lintgrit des donnes de lentreprise, nous recommandons
quil en fasse part celle-ci. Sans un accord formel de cette dernire, le prestataire ne doit pas
exploiter ce type de vulnrabilit.
4.3

Phase 3 : Exploitation des vulnrabilits et intrusion

Lobjectif de cette phase est dexploiter les vulnrabilits identifies lors de la phase 2, dans le but
de sintroduire sur les machines de lentreprise partir de laccs Internet.
Cette phase est la plus technique. En effet, le prestataire teste et tente dexploiter les
vulnrabilits mises en vidence lors de la phase prcdente. Dans le cas dune intrusion logique sur
un serveur, il doit prouver lintrusion :

En fournissant au demandeur des informations confidentielles sur le Systme dInformation,

en accord avec les objectifs et les obligations contractuelles.

En dmontrant quil a pu crire ou modifier des donnes, par le dpt dun fichier particulier
par exemple.

Cette phase naboutit pas automatiquement la prise de contrle total dun ou de plusieurs
lments du systme dinformation. En effet, le prestataire peut simplement obtenir des privilges
lui permettant de rebondir et de poursuivre lintrusion vers le rseau interne condition de ne pas
sortir du primtre dfini contractuellement en reproduisant le schma utilis depuis Internet :
processus danalyse du nouvel environnement, dnumration puis dexploitation des vulnrabilits,
etc.

Tests dintrusion

-6-

CLUSIF 2004

5 MESURES A PRENDRE DU COTE DU DEMANDEUR

Il est recommand que le demandeur prenne en compte certaines bonnes pratiques qui permettent de
sassurer de la meilleure adquation des rsultats de la mission avec les objectifs de lentreprise.
Ces mesures ont notamment pour objectifs :

Danalyser lexprience professionnelle du prestataire.

De sassurer de la qualit du droulement et du rsultat de la prestation.

Dobtenir une bonne intgration des rsultats avec les objectifs de lentreprise.

Exemples des mesures prendre avant de lancer une mission de ce type :

Dfinir lobjectif et les conditions de validation de lobjectif.

Nommer un unique coordinateur interne afin dassurer la relation avec le prestataire. Ce

coordinateur peut tre accompagn par des personnes de diffrentes comptences
techniques.

Dfinir un coordinateur chez le prestataire afin de navoir quune seule personne contacter
en cas de ncessit (changer les numros de portable).

Informer les acteurs internes de lentreprise que des tests dintrusion sont parfois raliss au
cours de lanne.

Exiger un contrat sign avec le prestataire en incluant ventuellement la couverture des

risques par une socit dassurance.

Exiger un contrat sign entre le prestataire et les ventuels hbergeurs concerns par les
tests, en incluant ventuellement la couverture des risques par une socit dassurance.

Demander au prestataire de communiquer par crit la liste des adresses rseaux IP sources
qui seront utilises lors des tests dintrusion. La communication des adresses IP sources doit
tre perue comme un moyen pour le demandeur de faire la diffrence entre le test
dintrusion et les possibles relles intrusions.

Communiquer au prestataire par crit la liste des adresses rseaux IP incluses dans le
primtre de la mission. Cette communication peut tre ralise tout au long de la mission
en fonction des lments dcouverts par le prestataire. Par dfaut, il faut convenir avec le
prestataire quaucune adresse rseau ne peut tre la cible dun test sans accord formalis
pralable.

Eventuellement, inclure dans le contrat la destruction par le prestataire de lensemble des

informations recueillies dans le cadre de la mission. Notons que dans ce cas, le prestataire
pourra demander au demandeur de signer un Procs Verbal de fin de prestation dcrivant la
taille du rapport remis, les taches qui ont t effectues par le prestataire, le nom des
personnes ayant ralis la prestation et la dure de la prestation.

Faire valider le contrat reu du prestataire par le service juridique.

Recommander aux techniciens de ne pas modifier la configuration des lments du SI

pendant les tests : dune part cela fausse les rsultats et dautres part des modifications
ralises sans suivre les procdures internes peuvent gnrer des dysfonctionnements dans le
SI.

Tests dintrusion

-7-

CLUSIF 2004

Convenir avec le prestataire dun moyen dchange scuris des informations au cours de la
mission.

Exemples des mesures prendre pour sassurer de la comptence professionnelle du prestataire :

Demander si le prestataire possde un Code dEthique formalis et respect.

Demander la typologie des attaques qui seront ralises et la liste des outils potentiellement
utiliss.

Demander une liste de rfrences de mission prcdentes dans le domaine des tests
dintrusion.

Demander les CV des intervenants ainsi que leur rle dans la mission et le temps quils y
passeront.

Demander les moyens dont dispose le prestataire. Par exemple dans le cas dun laboratoire
de tests dintrusion, visiter ventuellement ce laboratoire.

Faire prciser au prestataire la manire dont sera gre la confidentialit des rsultats tout au
long de la mission et aprs la fin de la mission.

Exemples de mesures prendre pour cadrer la mission :

Dfinir les moyens auxquels le prestataire peut recourir.

Dfinir une date de dbut et de fin de la prestation.

Dfinir les tapes intermdiaires de validation des diffrentes phases de la prestation afin de
bien matriser le droulement de la prestation.

Prciser le respect de certaines dates et plages horaires lors des actions du prestataire suivant
la charge de certaines ressources du SI.

Assurer la traabilit (journalisation) des actions du prestataire en sassurant que le

prestataire fournira des enregistrements horodats de lensemble des actions quil a menes.

Exemples de mesures prendre pour prciser la rdaction du rapport :

Dfinir le contenu du rapport : par exemple la synthse doit tre comprhensible par la
Direction Gnrale, les descriptions techniques sont reportes en annexe, le corps du rapport
doit rappeler lensemble des vulnrabilit classes par niveau de risque, etc.

Dfinir le niveau de granularit de description des tests en prcisant notamment la mthode

utilise, le rsultat obtenu, les risques ventuels et les recommandations apporter.

Exiger une qualit de la rdaction en franais (ou en anglais) si la diffusion du rapport final
concerne des personnes non techniques.

Demander au prestataire de complter ventuellement les rapports de pr-validation

(change de fichiers non modifiables pdf, etc.) afin dexpliquer certaines parties puis valider
le rapport final du prestataire.

Tests dintrusion

-8-

CLUSIF 2004

Exemples de mesures prendre pour valoriser les rsultats de la mission :

Analyser les conclusions du rapport et rvaluer les risques en fonction des risques rels de
lentreprise : par exemple pour dclarer quun accs des donnes doit tre class critique
pour lentreprise il faut par avance avoir ralis une classification des donnes accdes et
avoir dfini un propritaire des donnes afin de lavertir.

Demander au prestataire de fournir un tableau de bord des rsultats des tests si ces tests
couvrent de nombreux points daccs dans le SI.

Mettre jour le tableau de bord de scurit du RSSI.

Communiquer ventuellement le rapport final au dpartement daudit interne

Prvoir une (ou plusieurs) runion de prsentation des rsultats par le prestataire : une
runion de synthse pour la Direction et une runion plus technique pour le personnel
oprationnel.

Les rapports de pr-validation et final doivent tre classifis "Confidentiel".

Dfinir et formaliser au sein du rapport final, la liste des destinataires du rapport.

Tests dintrusion

-9-

CLUSIF 2004

6 LE ROLE DES ASSURANCES DANS LE CADRE DES

TESTS DINTRUSION
Comme toute intervention externe sur un systme dinformation, la ralisation des tests dintrusion
peut avoir des consquences non prvues sur lintgrit, la disponibilit et mme la confidentialit
du systme et des informations qui y sont gres.
En principe, on pourrait penser que les incidents pouvant survenir dans ce cadre sont couverts soit
par les assurances normales de lentreprise propritaire du SI soit par lassurance responsabilit
civile du prestataire ralisant les tests (dont il convient de vrifier lexistence et le plafond).
Pourtant, dans de nombreuses situations ce raisonnement peut se rvler inexact.
Ainsi, les assurances couvrent normalement des accidents de nature fortuite or, peut on considrer
que sont fortuits des incidents comme :
-

indisponibilit du Web suite une saturation du point dentre rseaux consquent un

bouclage du logiciel de test

indisponibilit du rseau suite une reconfiguration sauvage et involontaire de certains de

ses lments

divulgation dune information confidentielle accde involontairement par le prestataire dans le

cadre des tests

Le fait que tous ces incidents arrivent dans le cadre des actions autorises et voulues par le
propritaire du SI, peuvent induire la compagnie dassurance refuser la couverture du sinistre.
Certes, les assurances (mesures de rcupration selon la mthode Mehari du Clusif)
ninterviennent quen dernire instance, aprs toutes les mesures prises par les excutants des tests
pour prvenir ce type dincident, en sinterdisant par exemple des actions dangereuses pour le SI.
Lexistence de ces risques doit toutefois tre prise en compte : ds lors que ces incidents peuvent
produire des sinistres fort impact pour lentreprise, cette dernire doit sassurer dune couverture
en terme dassurance.
Si au niveau dune entreprise, aprs avoir analys les mesures de prvention (celles qui prviennent
lincident) et de protection (celles qui lempchent de devenir grave) on peut dcider de courir le
risque en considrant suffisante la responsabilit civile du prestataire, le cas des hbergements
de sites Web est plus complexe.
En effet, les hbergeurs doivent non seulement prendre en compte les dommages pouvant tre
produits par un incident lors des tests dintrusion, mais les ventuels ddommagements pouvant tre
demands par les clients hbergs, autres que ceux ayant demand le test.
En particulier, les tests dintrusion faits vers des machines abritant plus dun client peuvent
conduire lhbergeur tre dans limpossibilit dautoriser ce type de test pour un seul client. Mais,
mme si le serveur est ddi, des incidents comme ceux dcrits ou dautres similaires, peuvent avoir
un impact sur la disponibilit ou limage de marque dautres clients, sils sont lorigine, par
exemple, dune indisponibilit dlments partags (routeurs, systmes de sauvegarde, etc) Il
convient donc de prendre en compte lventualit des rclamations venant dautres clients.
En tout tat de cause, le test dintrusion ralis sur un site hberg ne peut se faire que dans un
cadre tripartite avec des autorisations explicites et dlimitations des responsabilits prenant en
compte la responsabilit civile de chaque acteur face chaque type dincident.
Tests dintrusion

- 10 -

CLUSIF 2004

7 GLOSSAIRE
Attaque Informatique

Ralisation dune menace sur un systme dinformation.

Audit de Scurit SI

Vrification de la conformit dun systme dinformation ou dune

application par rapport sa Politique de Scurit et ltat de lart.

Audit de vulnrabilit

Vrification des vulnrabilits dun ou des systmes par rapport aux

vulnrabilits connues (par les Certs et les diteurs). Cette vrification peut
tre faite directement sur le systme (en boite blanche ) ou par des
automates externes (voir test de vulnrabilit).
Les audits internes de vulnrabilit peuvent tre automatiss par des
systmes de matrise de la vulnrabilit qui installent des agents de contrle
sur les diffrents systmes et remontent des tats de vulnrabilit selon
les gravits et priorits tablies par le propritaire du SI.
Les diteurs de ce type de logiciel ont tendance appeler cette
paramtrisation une politique de la scurit du SI , ce qui est pour le
moins abusif et rducteur.

Backdoor

Porte drobe. Programme introduit dans un systme ou une application

permettant l'ouverture d'accs privilgis au systme en passant outre les
systmes d'authentification rglementaires. Les pirates utilisent ces "portes
par derrire" aprs s'tre introduit sur une machine dans le seul but d'y
retourner plus facilement les fois suivantes.

CERT (Central Emergency Structure mutualise qui reoit et traite les alertes en matire de scurit
Response Team)
informatique. Le plus important est le Cert central amricain (cert.org). En
France, existent plusieurs Cert privs ou publics : CertA (Administration),
CertIST , Cert Renater, etc.
Cheval de Troie

Programme introduit illicitement dans un systme afin de fournir une entre

dans ce systme. Nom tir de la mythologie grecque lpoque dUlysse.

Cible dvaluation (target Systme dinformation ou produit qui est soumis une valuation de la
of evaluation, TOE)
scurit (ISO15408).
Cible de scurit (security Spcification de la scurit qui est exige dune cible dvaluation et qui sert
target)
de base pour lvaluation. La cible de scurit doit spcifier les fonctions
ddies la scurit de la cible dvaluation, les objectifs de scurit, les
menaces qui psent sur ces objectifs ainsi que les mcanismes de scurit
particuliers qui seront employs.
Dni de service (DoS)

Attaque qui, par des voies diverses, vise empcher un serveur ou un rseau
de serveurs continuer de rendre son service.

Dtection dintrusion

Mcanisme visant dtecter les tentatives de corruption de la scurit dun

rseau ou dun systme.

Filtrage des URL

Technique permettant laccs ou non dune requte HTTP un serveur selon

les caractristiques de lURL demande et dune liste des URL autorises.

Filtrage IP

Technique permettant laccs ou non dune trame un rseau selon les

Tests dintrusion

- 11 -

CLUSIF 2004

valeurs des adresses IP source et destination.

Gravit du risque

La gravit du risque exprime et la potentialit quil a de se raliser et

limportance de ses consquences (Mthode MEHARI).

IDS (Intrusion Detection Outil ou programme ralisant la dtection des intrusions informatiques.
System)
Imputabilit/Traabilit

Qualit dun systme dinformation permettant de retrouver le responsable

dune action sur une information.
On retrouve cette qualit aussi sous le nom de traabilit des actions
puisquelle sappuie sur des traces informatiques.

Ingnierie Sociale (Social Risque d'intrusion partir d'un ensemble dinformations obtenues sur la
Engineering)
victime potentielle puis partir delle.
Mascarade dadresse
(address spoofing)

Usurpation dune adresse autorise dans les accs un systme du rseau de

la part dun dispositif ou dun utilisateur ne devant pas avoir cette adresse.

Mcanismes de scurit Logique ou algorithme qui implmente par matriel ou logiciel une fonction
(security mechanism)
particulire ddie ou contribuant la scurit.
Menace (threat)

Action ou vnement susceptible de porter prjudice la scurit.

Mesures dissuasives

Mesures qui ont pour objet de dcourager les agresseurs humains de mettre
excution une menace potentielle. Pour tre efficaces, elles doivent reposer
sur une bonne connaissance des techniques et capacits des agresseurs
humains redouts (Mthode MEHARI).

Mesures palliatives

Mesures destines minimiser les consquences, au niveau de lactivit ou

de lentreprise, des dtriorations dues un sinistre (Mthode
MEHARI).

Mesures prventives

Mesures dont le rle de barrire est dempcher quune menace natteigne

des ressources du systme dinformation (Mthode MEHARI).

Mesures de protection

Mesures dont lobjet est de limiter lampleur des dtriorations ventuelles

consquences de lexcution dune menace (Mthode MEHARI).

Mesures structurelles

Mesures dont lobjectif est de minimiser les vulnrabilits du systme

dinformation en agissant sur sa structure mme, au niveau de ses
composants (matriels, immatriels, humains) comme sur lorganisation et
les mthodes qui les rgissent. A ces mesures pourront tre ajoutes, titre
de complment si ce nest de validation, des actions de sensibilisation,
information et formation (Mthode MEHARI).

Mesures de rcupration

Mesures visant rduire le prjudice subi par transfert des pertes sur des
tiers, assurances ou par attribution de dommages et intrts conscutifs des
actions de justice (Mthode MEHARI).

Potentialit du risque

La capacit pour un tel vnement adverse de se produire se traduit par la

notion de potentialit du risque (Mthode MEHARI).

Rpudiation

Fait pour une personne ou une entit engage dans une communication de
nier avoir particip tout ou partie des changes.

Tests dintrusion

- 12 -

CLUSIF 2004

Risque

Le risque exprime le fait quune entit, action ou vnement, puisse

empcher de maintenir une situation ou datteindre un objectif dans les
conditions fixes, ou de satisfaire une finalit programme (Mthode
MEHARI).

Sinistre Informatique

Consquence dune attaque russie sur un systme dinformation produisant

des pertes importantes (concept large incluant laccident).

Sniffer

Outil d'coute et visualisation de la structure des trames Ethernet qui

circulent sur un rseau. C'est un programme capable de lire les paquets
transitant sur un rseau et permettant de rcuprer login et mot de passe. Cet
outil, aussi appel analyseur de rseau, fait galement l'objet d'utilisation
malveillante par les pirates afin de rcuprer toutes les informations
confidentielles pouvant circuler en clair sur leur brin Ethernet (exemple: mot
de passe POP3).

Test dintrusion

Batterie de tests, automatiss ou pas, excuts depuis lextrieur dun

Systme dInformation afin de dtecter la prsence de failles permettant la
pntration dun utilisateur ou agent non habilit dans le SI.

Test de vulnrabilit

Batterie de tests, automatiss au pas, excuts depuis lextrieur dun

Systme dInformation afin de dtecter la prsence de vulnrabilits dans les
composants techniques du SI

Ver

Programme qui peut s'auto-reproduire et se dplacer travers un rseau en

utilisant les mcanismes rseau, ils n'ont pas rellement besoin d'un support
physique ou logique (disque dur, programme hte, fichier ...) pour se
propager ; un ver est donc un virus rseau.

Virus

Programmes qui se propagent de faon autonome par le biais de fichiers

excutables, de secteurs de dmarrage, ou de macro commandes. Un virus
est un petit programme, situ dans le corps d'un autre, qui, lorsqu'on
l'excute, se met dans la mmoire et excute les instructions que son auteur
lui a donnes. La dfinition d'un virus est: "tout programme d'ordinateur
capable d'infecter un autre programme d'ordinateur en le modifiant de faon
ce qu'il puisse son tour se reproduire".

Vulnrabilit
(vulnerability)

Faiblesse de la scurit dun systme.

Tests dintrusion

- 13 -

CLUSIF 2004