Les tests d'intrusion, également appelés tests de pénétration ou piratage éthique ou pentesting, sont le quotidien des consultants en piratage, qui essayent de s'introduire dans les réseaux d’entreprises à leur demande, pour identifier les failles avant les vrais attaquants potentiels. Pour simuler leurs cyberattaques, les « pentesteurs » utilisent les outils et les techniques des pirates informatiques malveillants.
Autrefois, le piratage informatique était difficile et exigeait beaucoup de bricolage manuel. Aujourd'hui, les pirates disposent de suites complètes d'outils de test automatisés et de capacités de traitement qui leur permettent de mener des attaques beaucoup plus sophistiquées, à des échelles bien plus importantes et bien plus rapidement. Alors, pourquoi utiliser un cheval quand on peut voler dans un avion à réaction ? De la même manière le pentesteur a à sa disposition des tas d’outils plus intelligents, plus rapides et plus efficaces pour réaliser ses tests de pénétration.
1 / Kali Linux
Si Kali n’est pas votre système de pentesting de base, soit vous avez des connaissances très pointues, soit vous travaillez sur un cas d’usage très spécifique, soit il vous manque quelque chose d’indispensable dans votre boîte à outils. Anciennement appelé BackTrack Linux, Kali est maintenu par les contributeurs d'Offensive Security (OffSec), les mêmes qui gèrent la certification OSCP. Kali est optimisé en tous points pour les tests de pénétration offensifs. Même s’il est possible de faire tourner Kali sur son propre hardware, les pentesteurs utilisent couramment des machines virtuelles Kali sous OS X ou Windows. Livré avec la plupart des autres outils mentionnés ici, Kali est clairement le système de test par défaut qui convient à la plupart des cas d’usage. Mais attention, Kali est optimisé pour l'attaque, pas pour la défense, et il est facilement exploitable. Alors Mieux vaut ne pas garde de fichiers ultrasecrets dans une VM Kali.
2 / nmap
L’ancêtre des scanners de ports, nmap – un raccourci pour network mapper - a fait ses preuves dans les tests d’intrusion et peu de gens peuvent s’en passer. Il permet au pentesteur de savoir quels ports sont ouverts, ou encore qu'est-ce qui fonctionne sur ces ports. Des informations indispensables pendant la phase de reconnaissance. D’autant que nmap est souvent le meilleur outil pour cela. Même s’il arrive parfois qu’un responsable hors de la sphère technologique s’oppose à ce qu’un acteur de tierce-partie scanne le port de l'entreprise, l’usage de nmap en lui-même est tout à fait légal. C’est comme toquer à la porte de ses voisins pour voir s’il y a quelqu’un. De nombreuses entreprises tout à fait légitimes comme les assureurs, les cartographes de l’interne - comme Shodan et Censys - et des évaluateurs de risques comme BitSight scannent régulièrement toute la gamme IPv4 avec des logiciels spécialisés de scan de ports (en général masscan ou zmap, concurrents de nmap) pour faire un état des lieux de la sécurité publique des entreprises, grandes et petites. Cela dit, les attaquants malveillants scannent aussi les ports, donc ce sont des logs à conserver comme référence future.
3 / Metasploit
Pourquoi développer un exploit quand on a metasploit ? Ce méta-logiciel bien nommé est comme une arbalète : visez votre cible, choisissez votre exploit, sélectionnez une charge utile et tirez. Indispensable pour la plupart des pentesteurs, Metasploit automatise de grandes quantités de tâches fastidieuses. C’est vraiment « le framework de test d'intrusion le plus utilisé au monde », comme le proclame son site Web. Metasploit est un projet open-source, mais il et possible de bénéficier du support commercial de Rapid7. Il est un incontournable pour les défenseurs qui veulent protéger leurs systèmes des attaques.
4 / Wireshark
Cet analyseur de protocole, actif en permanence, permet de comprendre le trafic passant sur votre réseau. Même s’il est couramment utilisé pour analyser en profondeur des problèmes de connexion TCP/IP quotidiens, Wireshark prend en charge l'analyse de centaines de protocoles, y compris l'analyse en temps réel et le décryptage de bon nombre de ces protocoles. Si vous êtes novice dans le pentesting, Wireshark est un outil incontournable.
5 / John the Ripper
Contrairement à son homonyme, John n’est pas un serial killer qui sévit dans le Londres victorien. Par contre, il se fera un plaisir de casser le cryptage à la vitesse de votre GPU. Ce craqueur de mot de passe open-source permet de casser les mots de passe hors ligne. John peut utiliser une liste de mots de passe probables et les faire muter pour remplacer "a" par "@" et "s" par "5" et ainsi de suite. Et, avec un hardware puissant, il peut tourner à l'infini, jusqu'à ce qu'il trouve un mot de passe. Étant donné que la majorité des gens utilisent des mots de passe courts et faibles, John réussit souvent à casser le cryptage.
6 / Hydra
Hydra est souvent le complice de John. Hydra peut prendre le relais pour casser un mot de passe en ligne, par exemple un identifiant SSH ou FTP, IMAP, IRC, RDP et d’autres encore. Il suffit de pointer Hydra vers le service que l’on veut pirater, de lui faire mouliner une liste de mots, et de le lancer. Des outils comme Hydra rappellent que la limitation du taux de mots de passe et la déconnexion des utilisateurs après une plusieurs tentatives de connexion infructueuses sont des mesures défensives efficaces pour se protéger des attaquants.
7 / Burp Suite
Impossible de parler d’outils de pentesting sans mentionner le scanner de vulnérabilité web Burp Suite, qui, contrairement aux autres outils ci-dessus, n'est ni gratuit ni libre. Burp Suite est un outil pro et il coûte cher : 3999 dollars HT par an. Il existe bien une édition communautaire de la suite, mais il lui manque beaucoup de fonctionnalités. Une raison peut justifier un tel tarif : ce scanner de vulnérabilités web est incroyablement efficace. Il suffit de pointer Burp Suite sur la propriété web que vous voulez tester et de lancer le scan. Nessus, concurrent de Burp, propose un produit tout aussi efficace et dans le même ordre de prix.
8 / Zed Attack Proxy
Ceux qui n'ont pas les moyens de se payer un outil comme de Burp Suite trouveront que Zed Attack Proxy (ZAP) d'OWASP est presque aussi efficace, et il est libre et gratuit. Comme son nom l'indique, ZAP se positionne entre le navigateur et le site web que l’on veut tester et il permet d'intercepter (comme pour une attaque man in the middle) le trafic à inspecter et à modifier. ZAP n’est pas aussi complet que Burp, mais avec sa licence open-source, il est plus facile et moins cher à déployer à l'échelle, et c'est un bon outil de débutant pour se rendre compte à quel point le trafic web est vulnérable. Nikto, concurrent de ZAP, propose un outil open-source similaire.
9 / sqlmap
Vous avez parlé d’injection SQL ? En l’espèce, cet outil d'injection SQL open-source est incroyablement efficace. Sqlmap « automatise le processus de détection et d'exploitation des failles d'injection SQL et de prise en charge des serveurs de bases de données », comme l’explique son site web. Sqlmap supporte toutes les cibles habituelles, y compris MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB, Informix, HSQLDB et H2. Auparavant, les pirates devaient fabriquer eux-mêmes leur injection SQL. Aujourd’hui, sqlmap fait tout le travail à leur place.
10 / aircrack-ng
Vous voulez savoir si le réseau WiFi de votre client, domestique ou d’entreprise, est sécurisé ? Aircrack-ng est fait pour ça. Cet outil d'audit de sécurité wifi est gratuit/libre, mais il faudra vous procurer vos propres antennes. Aujourd’hui, le craquage wifi est souvent facilité par la mauvaise configuration des périphériques, les mots de passe faibles, ou des protocoles de cryptage périmés. Nombreux sont ceux qui disent que Aircrack-ng est un excellent outil, avec ou sans « cantenna ».
Commentaire