Audit et test dintrusion Introduction gnrale aux dmarches daudit de scurit et test dintrusion

Intervenant : Guillaume Lopes / lopes.guillaume@free.fr 11 octobre 2013

Sommaire
Objectifs Who am I Droulement Dfinitions et Rappels Test intrusion Audit Scurit Veille Outils

Objectifs
Apprhender les notions de test dintrusion et daudit de scurit

Savoir identifier et exploiter les vulnrabilits sur un systme

dinformation

Prsenter les principes gnraux de scurisation

Sommaire
Objectifs Who am I Droulement Dfinitions et Rappels Test intrusion Audit Scurit Veille Outils

Who am I
Consultant scurit chez Intrinsec
5 ans dexprience professionnelle

Spcialits
Test intrusion (applicatif, externe, interne, etc.) Simulation vol ordinateur portable Social Engineering Audit Technique (Architecture, Configuration, etc.) Audit de code (PHP, ASP.NET, Java, etc.) Audit Organisationnel (ISO 2700x) Formation aux mthodes dattaques

Sommaire
Objectifs Who am I Droulement Dfinitions et Rappels Test intrusion Audit Scurit Veille Outils

Droulement
Vendredi 11 octobre
Introduction gnrale Collecte dinformations Travaux pratiques (??)

Vendredi 25 octobre
Attaques sur les rseaux
Infrastructure et Architecture Filtrage Sans-fil

Droulement
Vendredi 15 novembre
Attaques rseaux
VPN ToIP

Travaux pratiques

Vendredi 29 novembre
Attaques systmes
Windows Linux Bases de donnes

Droulement
Vendredi 6 dcembre
Attaques Web
OWASP Testing Guide Authentification Session Utilisateurs

Vendredi 13 dcembre
Attaques Web
Validation des donnes Habilitations

Travaux Pratiques

Droulement
Jeudi 19 dcembre
Examen final (??)

Notation
A dfinir 1 ou 2 valuations (QCM possible)

Sommaire
Objectifs Who am I Droulement Dfinitions et Rappels Test intrusion Audit Scurit Veille Outils

Dfinitions et Rappels
En France
Le fait d'accder ou de se maintenir, frauduleusement, dans tout ou partie d'un systme de traitement automatis de donnes est puni de deux

ans d'emprisonnement et de 30000 euros d'amende. (Article 323-1 du

code pnal)

Mais quest quun accs frauduleux ?

Laccs frauduleux, [], vise tous les modes de pntration irrguliers dun systme de traitement automatis de donnes [] . (CA de Paris 1994)

Dfinitions et Rappels
En consquence avant de mener tout test actif
Prvenir les quipes en charge du primtre ou de lquipement Obtenir un accord crit du propritaire de lquipement ou du responsable du traitement du primtre
Exemple : Un site Web hberg chez un tiers

Dfinitions et Rappels
Scurit des systmes dinformation (SSI)
Ensemble des moyens techniques, organisationnels, juridiques et

humains ncessaire, et mis en place pour conserver, rtablir et

garantir la scurit du systme dinformation

Critres de scurit
Disponibilit : Garantir laccs un service ou des ressources Intgrit : Garantir la non altration dune donne ou dun systme Confidentialit : Garantir laccs une information aux seules personnes ayant besoin de la connatre

Dfinitions et Rappels
Mais aussi
Traabilit (ou Preuve) : Garantir que toute transaction sensible

(accs, tentative daccs, etc.) est trac. Les traces doivent tre
conserves et exploitables

Le vecteur DICT permet de classer les risques identifis sur

un primtre
Menace
Action susceptible de nuire dans labsolu sur un ou plusieurs critres de scurit

Dfinitions et Rappels
Vulnrabilit (ou faille)
Faiblesse sur un systme informatique permettant un attaquant de

porter atteinte un ou plusieurs critres de scurit

Reprsente le niveau dexposition une menace dans un contexte particulier
Dfaut de configuration : Mot de passe par dfaut, Politique de filtrage, etc.
Manque de mise jour : Excution de code , Dni de Service, etc. Faille applicative : Injection SQL, Cross Site Scripting (XSS), etc.

Contre-mesure
Action visant prvenir une menace

Dfinitions et Rappels
En conclusion, le risque, en scurit informatique est gnralement dfinit par lquation suivante

En pratique, le risque est dfini selon les enjeux et les objectifs

de lentreprise

Sommaire
Objectifs Who am I Droulement Dfinitions et Rappels Test intrusion Audit Scurit Veille Outils

Test dintrusion
Quest ce quun test dintrusion ?
Eprouver la scurit dun primtre donn en simulant un niveau dattaque

(profil) en considrant une dure et des contraintes imposes

Permettre de connatre concrtement la capacit de malveillance dun attaquant un instant donn

Objectifs
Fournir une valuation concrte de la scurit Sensibiliser la scurit par la dmonstration Conseiller sur les actions correctrices

Test dintrusion
Test Intrusion Interne
Evaluer la capacit de malveillance dun utilisateur interne (employ,

prestataire, intrus physique, etc.) sur le primtre interne

Objectifs divers et varis
Rcupration dinformations confidentielles (fiches de paye, donnes

propres lentreprise, etc.)

Prise de contrle du systme dinformations Rendre indisponible certaines ou toutes les ressources de lentreprise

Utilisation frauduleuse des ressources de lentreprise

Test dintrusion
Test Intrusion Externe
Evaluer la capacit de malveillance dun attaquant (internaute anonyme ou authentifi, vers, robot, etc.) sur des quipements

accessibles depuis Internet

De manire gnrale, lobjectif est de porter atteinte un des critres de scurit (disponibilit, intgrit ou confidentialit) sur le primtre
Prendre le contrle dun ou plusieurs quipements
Rendre indisponible un ou plusieurs quipements Modifier les donnes dun quipement (par exemple un site Web)

Test dintrusion
Test Intrusion Application Web
Evaluer la capacit de malveillance dun utilisateur anonyme ou authentifi sur une application Web (externe ou interne)

Plusieurs objectifs
Accs non autoris lapplication ou des donnes Contournement dune logique mtier

Dgradation / Modification de lapplication

Rcupration dinformations sensibles (coordonnes clients, numro de carte bleue, etc.)

Utilisation du site comme vecteur dattaques vers dautres utilisateurs

Test dintrusion
Etapes dun test dintrusion
Dcouverte de nouvelles vulnrabilits

Enumration du primtre

Identification des vulnrabilits

Exploitation des vulnrabilits

Reporting

Enumration du primtre
Cette phase permet de rcuprer le maximum dinformations sur la cible
Nom dutilisateur Adresse IP Adresse Email Services disponibles (FTP, SSH, etc.)

Test dintrusion
Comment trouver des informations sur la cible ?
Moteurs de recherche

Test dintrusion
Forums

Rseaux sociaux

Social Engineering
Prendre contact avec un employ de la socit (email, tlphone, fax, etc.) Rcupration dinformations confidentielles (mot de passe, renseignements techniques, numro de tlphone, adresse

IP, etc.)

Test dintrusion
Base whois

Test dintrusion
Interrogation DNS

Test dintrusion
Scan de ports

Lensemble des informations recueillies seront utilises par la

suite lors de lidentification et lexploitation des vulnrabilits

Test dintrusion
Identification des vulnrabilits
Des tests manuels ou automatiss sont effectus lors de cette phase afin didentifier les vulnrabilits sur la cible
Analyse de la bannire dun service
Rponse un stimuli particulier

Test dintrusion
Exploitation des vulnrabilits
Permet de valider lexistence ou non dune vulnrabilit

Peut amener la dcouverte dautres vulnrabilits et, ainsi obtenir un

scnario dattaque plus avanc

Cest la phase la plus importante dun test dintrusion

Test dintrusion
Reporting
Phase de rdaction permettant de rpertorier notamment :
Les vulnrabilits rencontres
Les scnarios dattaque Les recommandations de correction

Test dintrusion
Diffrentes mthodologies existent pour raliser un test

dintrusion
OSSTMM (www.isecom.org/osstmm/)
Mthodologie gnrale de test dintrusion

ISSAF (www.oissg.org)
Mthodologie gnrale dvaluation dun systme dinformation recouvrant divers aspects notamment
Organisationnel Procdure

Technique

Test dintrusion
OWASP (www.owasp.org)
Fournit de nombreux documents et outils sur la scurit applicative

notamment
OWASP Top Ten : Document fournissant le Top 10 des vulnrabilits les plus rencontres sur les applications Web

OWASP Testing Guide : Mthodologie de test dintrusion applicatif

OWASP Development Guide : Guide de bonnes pratiques de dveloppement des applications Web

Sommaire
Objectifs Who am I Droulement Dfinitions et Rappels Test intrusion Audit Scurit Veille Outils

Audit Scurit
Quest ce quun audit scurit ?
Evaluation du niveau de scurit du systme dinformation ou dun

quipement vis--vis dune norme ou de bonnes pratiques

Objectif
Fournir un tat des lieux du niveau de scurit (points forts et faibles) Analyse en profondeur (organisationnelle et technique)

Avoir une vision plus large quun test dintrusion

Audit Scurit
Pourquoi un audit de scurit ?
Etat des lieux : Se faire une ide du niveau de scurit du SI Proactif :
Tester la mise en place effective dune politique de scurit Evaluer lvolution du niveau de scurit

Ractif : Ragir une attaque

Inconvnients
Ne fournit pas une valuation dmonstrative des vulnrabilits Ne se substitue pas une analyse des risques

Audit Scurit
Audit organisationnel
Analyse des processus SSI et mtier (thmatiques ISO27002)
Politique de scurit Organisation de la scurit Gestion des actifs Scurit dans les ressources humaines

Scurit physique et environnementale

Scurit oprationnelle (exploitation, sauvegarde, etc) Contrle daccs Dveloppements Gestion des vnements de scurit Continuit dactivit Conformit

Audit Scurit
Audit technique
Infrastructures
Architectures (rseau, virtualisation, stockage, etc.), filtrages, etc.

Equipements (configuration)
Actifs rseaux, serveurs, etc.

Applicatifs (revue fonctionnelle, revue de code, etc.) Thmatiques spcifiques :

Revue dhabilitations Etc.

Audit Scurit
ISO19011:2002
Lignes directrices pour l'audit des systmes de management de la

qualit et/ou de management environnemental

Principes de laudit
Dontologie : le fondement du professionnalisme Prsentation impartiale : lobligation de rendre compte de manire honnte et prcise Conscience professionnelle : lattitude diligente et avise au cours de

laudit

Audit Scurit
Principes (suite)
Indpendance : le fondement de limpartialit de laudit et de

lobjectivit des conclusions daudit

Approche fonde sur la preuve : la mthode rationnelle pour parvenir des conclusions daudit fiables et reproductibles dans un processus

daudit systmatique

Audit Scurit
Normes ISO 27001
Spcifie les exigences pour mettre en place, exploiter, amliorer un SMSI (Systme de Management de la Scurit de lInformation)

ISO 27002
Description dtaille des mesures de scurit prconises dans lISO 27001

Sommaire
Objectifs Who am I Droulement Dfinitions et Rappels Test intrusion Audit Scurit Veille Outils

Veille
Comme tout domaine en informatique, la scurit est un domaine qui volue Il est important de rester inform sur les dernires vulnrabilits et techniques dattaques Les diapositives suivantes ne prtendent pas tre exhaustives
Mais permet davoir une bonne base

Veille
Vulnrabilits
www.secunia.com www.vupen.com www.securityfocus.com

Exploit
www.exploit-db.com packetstormsecurity.org www.metasploit.com

Veille
Mailing list
seclists.org (pentest, full disclosure, etc.)

Applicatif
OWASP (www.owasp.org)

Ressources diverses
www.sans.org www.nist.org www.cert.org

Veille
Hacking Map
http://www.mindmeister.com/fr/11594999/hacking

Confrences
OSSIR : www.ossir.org SSTIC : www.sstic.org Nuit du Hack Hackito Ergo Sum Black Hat Defcon

Sommaire
Objectifs Who am I Droulement Dfinitions et Rappels Test intrusion Audit Scurit Veille Outils

Outils
Diffrents outils sont utiliss lors dun test dintrusion (ou dun audit) Chaque outil sa fonction et son utilit Piges viter
Un outil ne remplace pas une analyse humaine

Une bonne connaissance de loutil est ncessaire

Un outil ne fait pas tout !

Outils
Ecoute rseau passive
Wireshark (www.wireshark.org ) : Outil permettant de capturer et

analyser les paquets rseaux (Windows/Linux)

Tcpdump (www.tcpdump.org) : Outil permettant de capturer et analyser les paquets en ligne de commande (Linux)

Outils
Ecoute rseau active
Cain et Abel(www.oxid.it) : Vritable couteau suisse permettant

danalyser les trames rseau, de rcuprer les mots de passe circulant,

ainsi que de les casser (Windows) Ettercap (ettercap.sourceforge.net) : Fonctions similaires Cain et

Abel, sauf pour le cassage de mots de passe (Windows/Linux)

Outils
Cassage de mot de passe
John the ripper (www.openwall.com/john ) : Outil permettant de

casser un mot de passe via des attaques par dictionnaire ou force

brute (Linux) Ophcrack (ophcrack.sourceforge.net) : Outil permettant de casser un

mot de passe via des rainbow tables (Windows/Linux)

Outils
Scanners rseau
Nmap (nmap.org) : Scanner de ports permettant notamment

didentifier les services en coute sur un quipement, ainsi que la

version du systme dexploitation Hping (www.hping.org) : Forgeur de paquets TCP / UDP / ICMP.

Outils
Scanners de vulnrabilits
Qualys (www.qualys.com ): Scanner de vulnrabilits systmes et

rseaux en mode SaaS

Nessus (www.nessus.org) : Scanner vulnrabilits systmes et rseaux IBM Rational AppScan (www.ibm.com) : Scanner de vulnrabilits applicatives Paros (www.parosproxy.org) : Scanner de vulnrabilits applicatives

Outils
Environnement Test dintrusion
Backtrack (www.backtrack-linux.org) : Distribution Linux contenant

une panoplie doutils utiliss lors dun test dintrusion

Outils
Cette distribution contient une panoplie doutils
Bluetooth

Fuzzers
Base de donnes Cassage de mots de passe

Sniffers
Wifi VoIP Application Web Framework dexploits .

Questions ?