Le top 10 OWASP 2017 introduit comme risque l’insuffisance de logging et de monitoring. En effet, les problèmes inhérents à cette pratique sont souvent sous-évalués et mal compris. Mais pourquoi une tâche simple en apparence est finalement un point crucial de la sécurité des systèmes d’information ?
Un certificat électronique est un fichier de données permettant :
Un certificat électronique comprend plusieurs informations, dont :
Ce dernier point est crucial pour vérifier la confiance d’un certificat. Pour cela, quand un certificat est récupéré, une chaine de confiance est construite jusqu’à une autorité de certification.
Pour expliquer le fonctionnement de la chaine de confiance, introduisons quelques notions :
Le framework Metasploit est un outil open source, permettant la recherche, l’analyse et l’exploitation de vulnérabilités informatiques. Il dispose de nombreux modules et outils qui peuvent être très utiles dans le cadre de tests d’intrusions, que ce soit sur des applications Web ou sur le système informatique d’une entreprise.
Alors qu’il est utilisé de manière assez basique, par exemple pour lancer un simple module d’exploitation sur une cible, ce framework dispose d’options et d’outils qui lui permettent de devenir un allié de poids lors d’un pentest. Nous allons donc voir ici comment utiliser le framework Metasploit de manière optimisée.
Pour la démonstration, nous allons attaquer un réseau local dans lequel nous sommes branchés.
Dans l’article précédent, nous avons vu ce qu’est une vulnérabilité SSRF et comment, de manière générale, celle-ci peut être exploitée. Pour cela, nous nous étions placés dans un cadre théorique assez simple, mais différents éléments (soit dus à la nature de la vulnérabilité ou à des implémentations de sécurité) peuvent rendre la tâche plus compliquée.
Dans cet article, nous allons voir diverses méthodes permettant d’aller plus loin. Au programme :
Maintenant que nous avons introduit quatre fonctionnalités centrales de Burp Suite dans l’article précédent, nous allons aller un peu plus loin avec quelques fonctionnalités et extensions qui peuvent augmenter la qualité d’un audit et votre efficacité.
Les fonctionnalités et captures
d’écran présentées dans cet article correspondent à la version Professional
2.1.01.
Burp, dans nos métiers de la sécurité, on dit souvent que c’est notre meilleur ami. Burp ne vous dit rien ? Il s’agit d’un logiciel dédié à l’audit de sécurité web, utilisé par une majorité de professionnels de la sécurité de l’information. Dans un premier temps, nous vous présentons l’outil Burp et quatre modules fondamentaux. Pour ceux qui sont déjà familiers avec l’outil, une deuxième partie plus technique présente quelques fonctionnalités et extensions pour gagner en efficacité.
Alternative du Bluetooth
classique, le Bluetooth Low Energy est choisi de manière croissante pour l’IoT.
Cette technologie, aussi connue sous l’abréviation BLE, s’impose de plus en
plus pour l’Internet des objets parce qu’elle est idéale pour envoyer de
petites quantités de données entre appareils et pour préserver la batterie ;
ce qui correspond parfaitement aux besoins de l’IoT. Le Bluetooth classique, de
son côté, reste utilisé pour envoyer de grande quantité de données entre un
appareil et l’utilisateur (les casques et enceintes sans fil se servent du
Bluetooth par exemple).
Si ces deux protocoles Bluetooth
sont utilisés à des fins différentes et ne sont pas compatibles, ils restent
toutefois dans une certaine mesure similaires parce qu’ils ont des technologies
(software et hardware) communes, comme celles qui gèrent l’appairage. Ainsi,
les responsables sécurité doivent garder en tête que les failles de sécurité
touchant le Bluetooth classique, affectent parfois aussi le Bluetooth Low
Energy, mais que ce dernier garde néanmoins ses spécificités et donc des
failles qui lui sont propres.
Nous sommes particulièrement heureux et fiers d’annoncer que nous sommes à présent officiellement certifiés CREST pour nos services de tests d’intrusion.
Cette
certification démontre notre engagement à offrir des services professionnels de
pentest de haut niveau. Elle atteste que Vaadata respecte des processus et des procédures
appropriés pour réaliser des tests d’intrusion ainsi que pour garantir la
protection des informations de ses clients.
Les périphériques USB sont tellement pratiques. Lorsque l’on a besoin de stocker des petites quantités de données, nous utilisons une clé USB. Tout le monde en a une, et nous leur faisons confiance. Les clés USB sont l’un des moyens principaux pour faire de l’espionnage industriel, mais les attaques au hasard contre des civils et des entreprises sont également courantes.
Le rapport Honeywell 2018 sur les menaces USB pour les opérateurs industriels (en anglais) a analysé un échantillon de 50 sites. Energie, chimie, pâte et papiers, pétrole et gaz et autres secteurs industriels étaient concernés par l’étude. Parmi les sites ciblés, 44 % ont bloqué un fichier suspect venant de ports USB, et 15 % des menaces détectées et bloquées étaient des menaces de haut niveau, comme Stuxnet, Wannacry et Mirai.
Une expérience conduite sur le campus de l’université Illinois Urbana-Champaign en 2016 a montré que sur les 297 clés USB déposées dans l’université, les étudiants et membres du personnel en ont ramassé 98 %. Pour près de la moitié des clés ramassés, quelqu’un les a branchées et a cliqué sur un fichier. Un sondage est ensuite mené auprès des personnes ayant utilisé les clés USB. 68 % des répondants n’ont pris aucune mesure de sécurité en branchant la clé USB. 68 % déclarent avoir pris un périphérique pour le redonner et 18% l’ont pris par curiosité. Cette étude montre à quel point un simple périphérique USB peut être dangereux.
La sécurité des objets connectés est un sujet d’actualité, cependant les tests d’intrusion IoT sont encore loin d’être une pratique généralisée. La plupart des constructeurs priorisent d’abord les fonctionnalités et le design du produit. Cependant, même avec une approche « security by design », le test d’intrusion reste incontournable pour connaître les risques de sécurité réels, puis pour prendre les mesures nécessaires.
Un objet connecté est une solution complexe, avec différents points d’entrée potentiels pour un attaquant. Un audit de sécurité d’objet connecté (ou pentest IoT) comprend des tests sur l’ensemble de l’écosystème de l’objet, c’est-à-dire : la couche électronique, le logiciel embarqué, les protocoles de communication, le serveur, les interfaces web et mobiles. Les tests côté serveur, interfaces web et applications mobiles ne sont pas spécifiques à l’IoT, cependant ce sont des tests importants, car il s’agit de pans particulièrement à risques. Les tests côté électronique, logiciel embarqué et protocoles de communication concernent des vulnérabilités plus spécifiques à l’IoT.
Il existe trois types d’attaques spécifiques sur les objets connectés et les systèmes embarqués. Les attaques software, les attaques hardware non invasives et les attaques hardware invasives. Les premières profitent des failles logicielles, les secondes récupèrent des informations du hardware sans l’endommager tandis que les dernières impliquent l’ouverture des composants et donc leur destruction pour pouvoir en tirer des secrets. Si les deux premiers types d’attaques ne nécessitent pas beaucoup de moyens, ce n’est pas le cas des attaques invasives pour lesquelles des équipements très coûteux sont nécessaires.
Voici dix types de tests concrets conduits lors de l’audit de sécurité d’un objet connecté, illustrés par quelques exemples médiatisés et emblématiques. Pour chaque point abordé ci-dessous, il existe de nombreux outils et méthodes qui profitent de failles très diverses. Il s’agit donc d’une liste non exhaustive.