Quand on parle de cyberattaques, on pense souvent à des activités malveillantes provenant d’attaquants externes à l’entreprise, alors que les attaques informatiques internes sont en forte progression. Dans le Insider Threat Report 2019, on y apprend que 59% des entreprises sondées aurait subi une attaque de ce type durant l’année écoulée.
Se protéger de l’intérieur contre ces attaques est donc tout aussi important que de se défendre contre des attaques externes.
En quoi consiste un pentest interne ?
Lors d’un pentest interne, les tests se font depuis l’intérieur de l’entreprise ou parfois via un VPN. Le plus souvent, les pentesters se déplacent dans les locaux de l’entreprise, amènent leur matériel et se mettent dans la configuration d’un attaquant interne.
Pourquoi faire un pentest interne ?
Le pentest interne permet de mesurer le risque de compromission de votre réseau interne. Il s’agit de repérer les mauvaises configurations, d’identifier les vulnérabilités internes exploitables par un attaquant et de mesurer les conséquences sur le réseau interne si une machine était compromise. Ensuite, des solutions sont proposées afin que les failles soient corrigées.
Quelles différences avec un pentest externe ?
La première différence est que l’on peut tester la sécurité de plus d’éléments depuis l’intérieur d’une organisation. L’attaquant extérieur n’a en effet qu’une vue limitée du réseau interne de sa cible.
La deuxième différence notable est que le profil des attaquants n’est pas le même. Tout employé et les personnels liés d’une manière ou d’une autre à l’entreprise et ses locaux (prestataires, fournisseurs, invités, etc.) peuvent être, intentionnellement ou non, à la source d’une attaque ou d’une fuite de données sensibles. Leur accès au réseau interne de l’entreprise est un risque potentiel.
La troisième différence est que des attaques par ingénierie sociale supplémentaires sont possibles, comme le dépôt de clés USB.
Mise en oeuvre d’un test d’intrusion interne
Lors de la préparation d’un test d’intrusion interne, la première étape est la définition du scénario d’intrusion. Le pentester se mettra-t-il dans la peau d’un stagiaire, d’un employé ou d’un visiteur ? Aura-t-il accès à une connexion filaire ou Wi-Fi ? Aura-t-il accès à un réseau réservé aux invités ou au réseau utilisé par les employés ? Plusieurs scénarios peuvent être choisis pour mener un audit le plus exhaustif possible.
Cartographie du réseau
Une fois sur place, le pentester commence à cartographier le réseau, à répertorier tous les serveurs, proxies, routeurs, postes de travail ou autres hôtes, accessibles. Même une imprimante peut être utilisée à des fins malveillantes en interceptant les documents en cours d’impression par exemple.
Vient ensuite une identification plus poussée des machines. Il faut déterminer leur type et leur rôle dans le réseau. Après cela, le pentester scanne les ports de tous les hôtes qu’il a trouvés à la recherche des services utilisés. Une énumération des utilisateurs du réseau est également réalisée.
Identification des vulnérabilités
Après le scan de ports, les versions des services et systèmes d’exploitation utilisés sont étudiées. Le pentester recherche celles qui ne sont plus à jour ou plus maintenues. Ne pas mettre à jour son matériel, c’est s’exposer à des vulnérabilités connues et souvent documentées, avec donc des attaques qui ont fait leurs preuves.
L’audit se poursuit par l’écoute du trafic sur le réseau avec un analyseur de paquet comme Wireshark. Certains protocoles de communication ne sont pas sécurisés mais continuent d’être utilisés. De la même manière, les communications Wi-Fi doivent être chiffrées afin de garantir que les données envoyées ne soient pas lisibles par un attaquant. Les méthodes de chiffrement comme le WEP (Wired Equivalent Privacy) et certaines versions du WPA (Wi-Fi Protected Access) sont facilement crackables.
Le pentester vérifie ensuite que les différents réseaux sont bien hermétiquement séparés les uns des autres. Il peut par exemple arriver que dans les zones réservées aux invités se trouvent des prises Ethernet oubliées et liées au réseau d’entreprise, annulant ainsi l’utilité d’un Wi-Fi dédié.
Exploitation des vulnérabilités
Une fois toutes les vulnérabilités énumérées, le pentester se lance dans leur exploitation en se concentrant sur les plus représentatives ou les plus intéressantes du point de vue d’un attaquant.
À partir des versions des services, il peut trouver les login et mots de passe par défaut des différents services et hôtes. Il arrive souvent que ces derniers ne soient pas modifiés. En interceptant le trafic réseau (avec par exemple de l’empoisonnement de cache ARP), des identifiants valides sont parfois récupérés.
Les mots de passe par défaut et ceux récupérés par interception sont testés. Des attaques ciblées contre les hôtes vulnérables sont lancées pour gagner en privilège dans le réseau et récupérer des données sensibles. D’autres attaques sont lancées pour vérifier à la fin de l’audit si elles ont été repérées par le système de défense du réseau de l’entreprise.
Que faire suite à un test d’intrusion interne ?
Une fois le pentest terminé, la première chose à faire est de corriger les failles qui ont été détectées, c’est-à-dire faire des mises à jour, remplacer les systèmes obsolètes, s’assurer que les applications et le personnel n’ont accès qu’à ce dont ils ont besoin sur le réseau. Les droits de chacun doivent être gérés avec attention et le personnel doit être sensibilisé à la cybersécurité.
L’idéal, enfin, est de mettre en place un système de monitoring du réseau (IDS / IPS) afin que les activités suspectes, comme le scan de ports, soient repérées et bloquées.