Différentes informations peuvent êtres fournies au pentester avant qu’il commence son audit de sécurité. En fonction des informations partagées avec l’auditeur, le déroulement du test ne sera pas le même.
Nous pouvons lister 3 types de configurations:
– Test de pénétration Black Box
– Test de pénétration Crystal Box
– Test de pénétration Grey Box

Passons en revue les différentes informations requises au démarrage du test, et comment le pentester travaille suivant les scénarios.

Boîtes transparentes

Test de pénétration Black Box

Black Box (boîte noire) signifie simplement que vous ne voyez rien de ce qu’il y a dans la boîte, la boîte étant la plateforme web cible (client). Le pentester connaît le nom du client, et peut-être une adresse IP ou une URL. Dans ce type de situation, le testeur va devoir passer beaucoup de temps à explorer et rechercher les applications, sites web et éléments cachés de la plateforme.
Les tests Black Box étaient principalement effectués dans le passé, pour sensibiliser les clients aux risques qu’ils encourent avec leurs applications web. Ils simulent le comportement d’un vrai pirate, qui ne communique pas (ou très peu…) avec le client et entre dans la plateforme web par effraction.

Ce type de tests n’est pas ou peu utilisé dans les tests de pénétration web aujourd’hui, pour des raisons d’efficacité, mais aussi pour s’assurer que le testeur reste dans le périmètre initialement imaginé par le client: Sans une coordination précise, il y a un risque que le pentester teste une application que le client ne souhaitait pas mettre à l’épreuve, ou encore pire, qui n’appartient pas au client!

Test de pénétration Crystal Box

Crystal Box (boîte de crystal/transparente), comme vous pouvez deviner, signifie que tout est visible. Le pentester a accès à peu de chose près à toutes les informations dont il a besoin: périmètre de test très détaillé (URLs, IPs, ports), détails à propos de l’application, comptes de test, données de test, code source… La communication entre l’auditeur et le propriétaire de l’application web doit être fluide, pour qu’il puisse obtenir n’importe qu’elle information si besoin.
Généralement réalisé par des équipes de sécurité internes, il semble que ce type de test très coopératif est de plus en plus fréquemment réalisé par des entreprises extérieures.
Le challenge durant ce type de test se situe principalement du côté de la communication, et l’entreprise réalisant le test doit être de confiance puisqu’elle aura bien souvent accès au code source de l’application web.
Ce type de test peut être très fortement intégré dans le cycle de développement des applications web (SDLC).

Test de pénétration Grey Box

Avec un test Grey Box (boîte grise), vous pouvez partiellement voir ce qui est dans la boîte! Le pentester reçoit une quantité limitée d’informations, quelque part entre black et crystal box. Généralement, le client fournira un périmètre détaillé, afin de s’assurer que l’audit reste dans les frontières ce qu’il veut tester. Bien que le périmètre soit clairement défini, la communication entre l’entreprise d’audit et le client reste importante : il est parfois nécessaire de clarifier certains éléments du périmètre lui-même, ou de gérer des incidents, et plus généralement de répondre à des questions qui permettront d’accélérer l’audit et d’obtenir de meilleurs résultats.
Les tests Grey Box sont les audits les plus courants sur les applications web, la majorité des tests réalisés aujourd’hui tombent dans cette catégorie.

Types de tests d'intrusion web - Radar
Types de tests d’intrusion web – Radar

VAADATA propose principalement des tests de type Grey Box. Ce type de tests est le plus efficace en termes de coûts pour le client, et requiert en général moins d’implication de sa part, ce qui est généralement plus facile à gérer, et très apprécié.
Nous proposons aussi des tests très intégrés de type Crystal Box, pour les clients recherchant une stratégie de sécurité très intégrée.