La pseudonymisation est une technique de protection des données, qui consiste à traiter des données de telle sorte qu’il ne soit pas possible de les attribuer à une personne spécifique sans avoir recours à des informations additionnelles. En effet, plus concrètement, il s’agit de remplacer les identificateurs personnels réels (noms, prénoms, emails, adresses, numéros de téléphone, etc.) avec des pseudonymes.
L’élévation de privilèges est un concept clé pour les attaquants qui cherchent à accéder à des informations sensibles ou à des fonctionnalités restreintes sur un système informatique. Généralement, cela consiste à exploiter des faiblesses de sécurité dans un système donné pour passer d’un niveau d’accès limité, avec des autorisations standards, à un niveau d’accès plus élevé, avec des droits plus importants.
Sur les systèmes Linux, il existe plusieurs techniques pour élever les privilèges d’un utilisateur. L’exploitation de faiblesses de configuration, les vulnérabilités présentes dans les programmes et la mauvaise gestion de droits en sont les principales.
Lorsqu’on développe un jeu, on peut avoir besoin de sauvegarder la partie d’un joueur dans un fichier pour ne pas perdre sa progression afin qu’il puisse revenir là où il en était. De la même manière, quand on développe un éditeur de texte en ligne, on peut vouloir préserver le contenu que l’utilisateur a écrit.
En effet, il y a beaucoup de cas où l’on souhaite sauvegarder l’état de notre application pour le rétablir dans le futur. Deux termes sont utilisés pour définir ce processus : la sérialisation et la désérialisation.
Lors de nos pentests sur des plateformes web, un des principaux vecteurs d’attaque que nous utilisons le plus souvent pour découvrir et exploiter des vulnérabilités est le manque de rate limiting (ou limitation de débit).
Partant de ce principe, nous estimons que toute application web se verra, tôt ou tard, confrontée à une attaque générant beaucoup de trafic. Celles-ci peuvent se présenter sous plusieurs formes, mais les principales sont les suivantes :
Le brute force est certainement l’une des techniques d’attaques les plus triviales. La principale raison : le facteur humain reste le maillon faible de la chaine cybersécurité. En effet, nul besoin de réaliser des attaques d’ingénierie sociale ou des attaques d’injection SQL sophistiquées pour voler des identifiants car les habitudes ont la vie dure : les mots de passe des utilisateurs restent faibles donc faciles à deviner. Avec les bons outils, même les attaquants les plus novices parviennent à compromettre les données et paralyser les systèmes de grandes entreprises.
La sécurité des serveurs est un enjeu majeur pour les entreprises. En effet, étant un élément central dans le fonctionnement de toutes les composantes d’un système d’information (applications, réseau, infrastructure, collaborateurs, etc.), les serveurs sont souvent les cibles privilégiées d’attaques.
Au fil des années, les attaques d’ingénierie sociale sont devenues une réalité pour toutes les entreprises, quel que soit leur secteur d’activité ou leur taille.
En effet, au-delà des vulnérabilités techniques souvent exploitées pour obtenir un accès non autorisé aux données et aux systèmes, la porte d’entrée favorite des attaquants reste les collaborateurs d’une entreprise et ce, la plupart du temps via des attaques de phishing.
La sécurité des réseaux est un enjeu majeur pour les entreprises. En effet, l’importance croissante des actifs informatiques, l’interconnexion des systèmes d’information et leur exposition, ont multiplié les risques d’attaques. Dans le même temps, l’information (les données) est produite, traitée, échangée et exploitée par des systèmes et sur des réseaux qui peuvent présenter des vulnérabilités au niveau de tous les composants ou de la configuration : serveurs, postes de travail, segmentation, Wi-Fi, accès utilisateurs, applications, etc.
Les APIs sont partout. Dans la plupart des systèmes informatiques (applications mobiles, plateformes web, infrastructures cloud, etc.) et dans tous les secteurs d’activité, ces interfaces de programmation facilitent les échanges de données et leur mise à disposition à un public large, qu’il s’agisse de clients, de partenaires ou de collaborateurs. Les APIs sont également le moteur de développement et de croissance des objets connectés car elles constituent le socle des canaux de communication des systèmes IoT.
Donner accès au code source lors d’un pentest présente principalement des avantages ou des inconvénients, selon les points de vue !
Voici notre retour d’expérience, qui concerne en particulier les pentests d’applications web.