Professional Documents
Culture Documents
TEST DINTRUSION
Mars 2004
REMERCIEMENTS
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de ce
document, tout particulirement :
Julien
AIRAUD
Philippe
BOUVIER
Eric
CHASSARD
Paul
CONSTANT
PAUL CONSTANT
Jean-Franois
GONEL
Xavier
GUILLOT
Vincent
MARET
Lazaro
PEJSACHOWICZ
CNAMTS
Paul
RICHY
FRANCE TELECOM
Herv
SCHAUER
HSC
Laurence
SELIGMANN
Tests dintrusion
-I-
CLUSIF 2004
INTRODUCTION................................................................................................................................................... 1
GLOSSAIRE ......................................................................................................................................................... 11
Tests dintrusion
- II -
CLUSIF 2004
1 INTRODUCTION
Lobjectif de ce document de synthse relatif aux tests dintrusion des accs Internet, est de fournir
des lments sur lintrt et les limites de cette dmarche dans le cadre dune politique de scurit
en entreprise.
La commission regroupant offreurs et utilisateurs a permis dtablir une premire approche de
langage commun autour du service tests dintrusion afin que les attentes des utilisateurs soient
correctement prises en compte par les pratiques des offreurs. Ce document vise aussi mettre en
exergue le niveau de maturit actuel dun test dintrusion dont la dmarche sinscrit pleinement
dans les plans de scurisation tablis par les RSSI.
Le caractre contractuel, mthodique, transparent, et lenvironnement lgislatif dans lesquels se
droulent ces tests dintrusion pratiqus par les vritables professionnels reconnus du domaine, ont
depuis longtemps maintenant, balay limage sulfureuse des tests pratiqus par quelques
bidouilleurs aviss linsu du fonctionnement officiel du SI.
Bien quil existe diffrents types de tests dintrusion, nous nous limiterons volontairement aux tests
permettant une intrusion depuis Internet.
Tests dintrusion
-1-
CLUSIF 2004
2.1.1
Les tests d'intrusion peuvent en effet tre compars certaines mthodes de qualification du monde
industriel (rsistance de coffre-forts, endurance de moteurs d'avions) o l'on vrifie que le
mcanisme test rsiste pendant un certain temps des attaques ou des agressions dun niveau
dfini. Dans le cas des tests d'intrusion, le rsultat se rduit savoir si l'environnement test a
rsist aux attaques pendant le laps de temps imparti (en gnral quelques jours). Si tel est le cas,
alors on peut supposer que la plupart des attaquants n'iront pas aussi loin.
Cette approche a lavantage de permettre de tirer des enseignements d'un test qui choue, c'est-dire pour lesquels aucune intrusion na pu tre ralise dans le laps de temps imparti. On peut donc
supposer que la scurit existante est adapte au niveau de risque accept. Il convient de dfinir trs
prcisment, avant le test, la dure du test et ce qui sera considr comme une intrusion afin de
pouvoir tirer prcisment des enseignements en matire de rsistance lintrusion.
2.1.2 Sensibiliser les acteurs (management, informaticiens, utilisateurs) au sein de lentreprise.
Les tests d'intrusions sont particulirement efficaces pour sensibiliser les acteurs. En effet, par
rapport des mthodes d'analyse de la scurit comme l'audit, le test d'intrusion, s'il "russit",
permet de disposer d'arguments de poids pour inciter les acteurs prendre conscience des risques. Il
peut mme tre envisag de rcolter des preuves pour convaincre les plus rcalcitrants. Les tests
d'intrusion permettent galement d'illustrer les problmes de scurit issus des interactions
complexes et non prvues, interactions qui sont parfois difficiles apprhender lors daudits de
scurit se focalisant sur des points de contrle atomiques .
Toutefois, il faut considrer le risque que les tests d'intrusion n'aboutissent pas des rsultats
concluants. Dans ce cas l, le pouvoir de sensibilisation des acteurs devient inexistant. Au contraire,
certains peuvent croire, la robustesse du systme.
2.2
Tests de vulnrabilits
-2-
CLUSIF 2004
inter-dpendances entre ces vulnrabilits, et essayer d'aller plus loin. Ce n'est pas le cas lors d'un
test de vulnrabilits. Le test de vulnrabilits est ralisable de manire automatique, et propos en
mode ASP par certains fournisseurs. Il est court et peu coteux, donc peut tre ralis avec une
frquence plus importante que les tests d'intrusion.
Enfin, le test d'intrusion ralis par une quipe permettra de dtecter des vulnrabilits qu'un test de
vulnrabilit ne verra pas.
2.3
2.3.1
Comme les autres mthodes, un test dintrusion ne permet pas dtre certain que toutes les
vulnrabilits existantes au sein dun environnement seront identifies. Une fois une vulnrabilit
identifie sur un systme et utilise pour en prendre le contrle, une personne ralisant un test
dintrusion aura tendance soccuper dun autre systme, sans tenter didentifier dautres
vulnrabilits sur le systme dont elle vient de prendre le contrle. Or il est tout fait possible que
plusieurs vulnrabilits de scurit existent sur ce systme. Par ailleurs, un test dintrusion ne
permet en gnral pas de dtecter dventuelles vulnrabilits dans les couches de protection au del
de la premire couche prsentant un niveau de scurit suffisant.
Il faut galement noter que des tests d'intrusion ne permettent pas d'identifier directement les
faiblesses de scurit d'ordre organisationnel et procdural, et se limitent aux faiblesses techniques.
Tests dintrusion
-3-
CLUSIF 2004
Les acteurs externes : le prestataire de service proposant cette prestation, les fournisseurs
daccs, les hbergeurs. Ce prestataire pourrait tre interne lentreprise sil dispose des
comptences et dune indpendance suffisante.
A priori, tous les acteurs internes lentreprise sont concerns par le test dintrusion, ce nest pas
le seul problme du RSSI ! . Afin de limiter au maximum les risques de perturbations
oprationnelles, des prcautions d'organisation sont prendre vis vis des intervenants lors du
droulement du test. Un des objectifs tant la sensibilisation du management et des utilisateurs,
aussi bien aux attaques venant de lextrieur que de lintrieur de lentreprise, le test dintrusion doit
faire lobjet a posteriori dune large communication en interne. Cette communication doit tre
cible et, bien sr, porter un message de scurit sans pour autant informer sur les vulnrabilits non
traites..
Dans un cadre plus technique, la direction informatique dans son ensemble est concerne par ces
tests ainsi que les filiales et/ou les socits rattaches dans le cas de rseaux WAN ou dintranet,
perspective qui peut tre tendue aux clients de lentreprise dans le cadre dun extranet
Lentreprise, le prestataire de service et lventuel hbergeur doivent analyser avec une attention
toute particulire, le contexte organisationnel autour du systme dinformation objet du contrat des
tests dintrusion ; en particulier, les engagements doivent correspondre au primtre rel de
responsabilit des acteurs engags.
Tests dintrusion
-4-
CLUSIF 2004
4.1
Lobjectif de cette phase est de rechercher des informations significatives permettant de dcouvrir
puis valider le primtre de lintrusion.
Dans un premier temps, le prestataire sattache cerner la connectivit Internet du
demandeur. Afin de mener bien cette recherche, il consulte diverses bases de donnes publiques
sur Internet (notamment les enregistrements Whois) pour identifier les plans de nommage,
dadressage et le ou les fournisseurs daccs utiliss par lentreprise. Il vrifie par ailleurs
lappartenance des adresses IP concernes par le test dintrusion. Il complte sa recherche via de
nombreuses sources de donnes publiques, sites Web du demandeur, les forums, les serveurs de
news, etc. Ces renseignements fournissent ventuellement des informations complmentaires sur les
lments rseaux et logiciels qui sont dtenus par lentreprise.
Le rsultat de cette phase permet didentifier la prsence de lentreprise perue depuis
Internet. Il est recommand de faire valider par le demandeur ces informations afin de poursuivre
cette phase dexploration. Cette validation, permet dengager le demandeur (face au contrat) et
dinformer le prestataire qui est ainsi certain que les lments quil va tester par la suite sont bien
des lments appartenant au demandeur et sont bien inclus dans la couverture du contrat.
Puis le prestataire passe lidentification de la topologie du rseau de lentreprise vue
depuis Internet. Pour cela, il identifie les machines accessibles partir dInternet laide doutils
faiblement intrusifs (type DNS et reverse DNS, transfert de zone, traceroute, ping, etc.). Ensuite il
dtermine les caractristiques et les rles de ces machines afin de comprendre la topologie du
rseau dinterconnexion Internet. Il aura ainsi une reprsentation graphique de cette topologie du
rseau et des lments cibles qui sont identifiables depuis Internet.
A la fin de cette phase il est recommand que le prestataire communique au demandeur les
rsultats de sa dcouverte du rseau (schma de la topologie du rseau vu dInternet). Le demandeur
valide ensuite le primtre couvrir par le prestataire en Phase 2.
Tests dintrusion
-5-
CLUSIF 2004
4.2
Lobjectif de cette phase est de rechercher des vulnrabilits potentielles sur les machines
identifies dans le primtre de la phase 1.
Pour chacune des machines prsentes dans la topologie de raccordement Internet, le
prestataire complte sa recherche par des techniques plus intrusives qui permettent didentifier
lensemble des services actifs sur ces lments, danalyser les configurations des lments, etc.
Le rsultat de cette recherche permet de mettre en vidence un certain nombre de
vulnrabilits potentielles qui pourraient exister sur les machines cibles et qui pourraient tre
exploites pour sy introduire : version ou correctif non jour, configuration incomplte, etc.
Etape de validation : lorsque le prestataire dcouvre une vulnrabilit majeure pouvant
porter atteinte la disponibilit ou lintgrit des donnes de lentreprise, nous recommandons
quil en fasse part celle-ci. Sans un accord formel de cette dernire, le prestataire ne doit pas
exploiter ce type de vulnrabilit.
4.3
Lobjectif de cette phase est dexploiter les vulnrabilits identifies lors de la phase 2, dans le but
de sintroduire sur les machines de lentreprise partir de laccs Internet.
Cette phase est la plus technique. En effet, le prestataire teste et tente dexploiter les
vulnrabilits mises en vidence lors de la phase prcdente. Dans le cas dune intrusion logique sur
un serveur, il doit prouver lintrusion :
En dmontrant quil a pu crire ou modifier des donnes, par le dpt dun fichier particulier
par exemple.
Cette phase naboutit pas automatiquement la prise de contrle total dun ou de plusieurs
lments du systme dinformation. En effet, le prestataire peut simplement obtenir des privilges
lui permettant de rebondir et de poursuivre lintrusion vers le rseau interne condition de ne pas
sortir du primtre dfini contractuellement en reproduisant le schma utilis depuis Internet :
processus danalyse du nouvel environnement, dnumration puis dexploitation des vulnrabilits,
etc.
Tests dintrusion
-6-
CLUSIF 2004
Dobtenir une bonne intgration des rsultats avec les objectifs de lentreprise.
Dfinir un coordinateur chez le prestataire afin de navoir quune seule personne contacter
en cas de ncessit (changer les numros de portable).
Informer les acteurs internes de lentreprise que des tests dintrusion sont parfois raliss au
cours de lanne.
Exiger un contrat sign entre le prestataire et les ventuels hbergeurs concerns par les
tests, en incluant ventuellement la couverture des risques par une socit dassurance.
Demander au prestataire de communiquer par crit la liste des adresses rseaux IP sources
qui seront utilises lors des tests dintrusion. La communication des adresses IP sources doit
tre perue comme un moyen pour le demandeur de faire la diffrence entre le test
dintrusion et les possibles relles intrusions.
Communiquer au prestataire par crit la liste des adresses rseaux IP incluses dans le
primtre de la mission. Cette communication peut tre ralise tout au long de la mission
en fonction des lments dcouverts par le prestataire. Par dfaut, il faut convenir avec le
prestataire quaucune adresse rseau ne peut tre la cible dun test sans accord formalis
pralable.
Tests dintrusion
-7-
CLUSIF 2004
Convenir avec le prestataire dun moyen dchange scuris des informations au cours de la
mission.
Demander la typologie des attaques qui seront ralises et la liste des outils potentiellement
utiliss.
Demander une liste de rfrences de mission prcdentes dans le domaine des tests
dintrusion.
Demander les CV des intervenants ainsi que leur rle dans la mission et le temps quils y
passeront.
Demander les moyens dont dispose le prestataire. Par exemple dans le cas dun laboratoire
de tests dintrusion, visiter ventuellement ce laboratoire.
Faire prciser au prestataire la manire dont sera gre la confidentialit des rsultats tout au
long de la mission et aprs la fin de la mission.
Dfinir les tapes intermdiaires de validation des diffrentes phases de la prestation afin de
bien matriser le droulement de la prestation.
Prciser le respect de certaines dates et plages horaires lors des actions du prestataire suivant
la charge de certaines ressources du SI.
Dfinir le contenu du rapport : par exemple la synthse doit tre comprhensible par la
Direction Gnrale, les descriptions techniques sont reportes en annexe, le corps du rapport
doit rappeler lensemble des vulnrabilit classes par niveau de risque, etc.
Exiger une qualit de la rdaction en franais (ou en anglais) si la diffusion du rapport final
concerne des personnes non techniques.
Tests dintrusion
-8-
CLUSIF 2004
Analyser les conclusions du rapport et rvaluer les risques en fonction des risques rels de
lentreprise : par exemple pour dclarer quun accs des donnes doit tre class critique
pour lentreprise il faut par avance avoir ralis une classification des donnes accdes et
avoir dfini un propritaire des donnes afin de lavertir.
Demander au prestataire de fournir un tableau de bord des rsultats des tests si ces tests
couvrent de nombreux points daccs dans le SI.
Prvoir une (ou plusieurs) runion de prsentation des rsultats par le prestataire : une
runion de synthse pour la Direction et une runion plus technique pour le personnel
oprationnel.
Tests dintrusion
-9-
CLUSIF 2004
Le fait que tous ces incidents arrivent dans le cadre des actions autorises et voulues par le
propritaire du SI, peuvent induire la compagnie dassurance refuser la couverture du sinistre.
Certes, les assurances (mesures de rcupration selon la mthode Mehari du Clusif)
ninterviennent quen dernire instance, aprs toutes les mesures prises par les excutants des tests
pour prvenir ce type dincident, en sinterdisant par exemple des actions dangereuses pour le SI.
Lexistence de ces risques doit toutefois tre prise en compte : ds lors que ces incidents peuvent
produire des sinistres fort impact pour lentreprise, cette dernire doit sassurer dune couverture
en terme dassurance.
Si au niveau dune entreprise, aprs avoir analys les mesures de prvention (celles qui prviennent
lincident) et de protection (celles qui lempchent de devenir grave) on peut dcider de courir le
risque en considrant suffisante la responsabilit civile du prestataire, le cas des hbergements
de sites Web est plus complexe.
En effet, les hbergeurs doivent non seulement prendre en compte les dommages pouvant tre
produits par un incident lors des tests dintrusion, mais les ventuels ddommagements pouvant tre
demands par les clients hbergs, autres que ceux ayant demand le test.
En particulier, les tests dintrusion faits vers des machines abritant plus dun client peuvent
conduire lhbergeur tre dans limpossibilit dautoriser ce type de test pour un seul client. Mais,
mme si le serveur est ddi, des incidents comme ceux dcrits ou dautres similaires, peuvent avoir
un impact sur la disponibilit ou limage de marque dautres clients, sils sont lorigine, par
exemple, dune indisponibilit dlments partags (routeurs, systmes de sauvegarde, etc) Il
convient donc de prendre en compte lventualit des rclamations venant dautres clients.
En tout tat de cause, le test dintrusion ralis sur un site hberg ne peut se faire que dans un
cadre tripartite avec des autorisations explicites et dlimitations des responsabilits prenant en
compte la responsabilit civile de chaque acteur face chaque type dincident.
Tests dintrusion
- 10 -
CLUSIF 2004
7 GLOSSAIRE
Attaque Informatique
Audit de Scurit SI
Audit de vulnrabilit
Backdoor
CERT (Central Emergency Structure mutualise qui reoit et traite les alertes en matire de scurit
Response Team)
informatique. Le plus important est le Cert central amricain (cert.org). En
France, existent plusieurs Cert privs ou publics : CertA (Administration),
CertIST , Cert Renater, etc.
Cheval de Troie
Cible dvaluation (target Systme dinformation ou produit qui est soumis une valuation de la
of evaluation, TOE)
scurit (ISO15408).
Cible de scurit (security Spcification de la scurit qui est exige dune cible dvaluation et qui sert
target)
de base pour lvaluation. La cible de scurit doit spcifier les fonctions
ddies la scurit de la cible dvaluation, les objectifs de scurit, les
menaces qui psent sur ces objectifs ainsi que les mcanismes de scurit
particuliers qui seront employs.
Dni de service (DoS)
Attaque qui, par des voies diverses, vise empcher un serveur ou un rseau
de serveurs continuer de rendre son service.
Dtection dintrusion
Filtrage IP
Tests dintrusion
- 11 -
CLUSIF 2004
IDS (Intrusion Detection Outil ou programme ralisant la dtection des intrusions informatiques.
System)
Imputabilit/Traabilit
Ingnierie Sociale (Social Risque d'intrusion partir d'un ensemble dinformations obtenues sur la
Engineering)
victime potentielle puis partir delle.
Mascarade dadresse
(address spoofing)
Mcanismes de scurit Logique ou algorithme qui implmente par matriel ou logiciel une fonction
(security mechanism)
particulire ddie ou contribuant la scurit.
Menace (threat)
Mesures dissuasives
Mesures qui ont pour objet de dcourager les agresseurs humains de mettre
excution une menace potentielle. Pour tre efficaces, elles doivent reposer
sur une bonne connaissance des techniques et capacits des agresseurs
humains redouts (Mthode MEHARI).
Mesures palliatives
Mesures prventives
Mesures de protection
Mesures structurelles
Mesures de rcupration
Mesures visant rduire le prjudice subi par transfert des pertes sur des
tiers, assurances ou par attribution de dommages et intrts conscutifs des
actions de justice (Mthode MEHARI).
Potentialit du risque
Rpudiation
Fait pour une personne ou une entit engage dans une communication de
nier avoir particip tout ou partie des changes.
Tests dintrusion
- 12 -
CLUSIF 2004
Risque
Sinistre Informatique
Sniffer
Test dintrusion
Test de vulnrabilit
Ver
Virus
Vulnrabilit
(vulnerability)
Tests dintrusion
- 13 -
CLUSIF 2004