Nous sommes particulièrement heureux et fiers d’annoncer que nous sommes à présent officiellement certifiés CREST pour nos services de tests d’intrusion.

Vaadata devient la première entreprise de pentest française certifée CREST

Cette
certification démontre notre engagement à offrir des services professionnels de
pentest de haut niveau. Elle atteste que Vaadata respecte des processus et des procédures
appropriés pour réaliser des tests d’intrusion ainsi que pour garantir la
protection des informations de ses clients.

Pour évaluer la sécurité d’un système d’information, une approche très pragmatique consiste à reproduire une cyberattaque de la façon la plus réaliste possible. Un auditeur sécurité peut-il se mettre vraiment dans la peau d’un « bad guy » ? Est-il possible de ne pas biaiser les tests en évitant de communiquer des informations au préalable ?

Black Box Pentest

C’est
effectivement possible avec un audit de sécurité « 100 % Black Box ».
Dans ce cas de figure, le pentester démarre l’audit en ayant pour seule
information le nom de l’entreprise. À lui de découvrir quel est le périmètre
exposé à des attaques, puis de conduire des attaques en essayant de maximiser
l’impact des tests dans le temps qui lui a été imparti.

Les avantages
pour l’entreprise qui commandite ce type d’audit black box sont :

Les attaques par déni de service ou attaque DoS font
régulièrement les titres des actualités, car les conséquences peuvent être
importantes. Ces attaques visent à rendre inaccessible un serveur, une
infrastructure réseau, une application …

Attaque DoS, un serveur et site ne répondent plus

Comment s’en protéger ? Vous pouvez choisir de
tester votre résistance aux attaques DoS dans le cadre d’un test d’intrusion.

Lorsque l’on parle attaque informatique, on pense souvent à un activiste ou un criminel assis devant son écran à l’autre bout de la planète… alors que la moitié des attaques implique des acteurs internes, selon le Insider Threat Report 2018. Ainsi, 58 % des sondés ont confirmé avoir subi une cyberattaque liée à la menace interne. Se protéger de l’intérieur contre ces attaques est donc tout aussi important que de se défendre contre l’extérieur.

Description

Audit de sécurité interne

Lors d’un audit de sécurité
interne, les tests d’intrusion se font depuis l’intérieur de l’entreprise ou
parfois via un VPN. Le plus souvent, les pentesters se déplacent dans les
locaux de l’entreprise, amènent leur matériel et se mettent dans la
configuration d’un attaquant interne.

Les périphériques USB sont tellement pratiques. Lorsque l’on a besoin de stocker des petites quantités de données, nous utilisons une clé USB. Tout le monde en a une, et nous leur faisons confiance. Les clés USB sont l’un des moyens principaux pour faire de l’espionnage industriel, mais les attaques au hasard contre des civils et des entreprises sont également courantes.
Le rapport Honeywell 2018 sur les menaces USB pour les opérateurs industriels (en anglais) a analysé un échantillon de 50 sites. Energie, chimie, pâte et papiers, pétrole et gaz et autres secteurs industriels étaient concernés par l’étude. Parmi les sites ciblés, 44 % ont bloqué un fichier suspect venant de ports USB, et 15 % des menaces détectées et bloquées étaient des menaces de haut niveau, comme Stuxnet, Wannacry et Mirai.

Attaques par port USB

Une expérience conduite sur le campus de l’université Illinois Urbana-Champaign en 2016 a montré que sur les 297 clés USB déposées dans l’université, les étudiants et membres du personnel en ont ramassé 98 %. Pour près de la moitié des clés ramassés, quelqu’un les a branchées et a cliqué sur un fichier. Un sondage est ensuite mené auprès des personnes ayant utilisé les clés USB. 68 % des répondants n’ont pris aucune mesure de sécurité en branchant la clé USB. 68 % déclarent avoir pris un périphérique pour le redonner et 18% l’ont pris par curiosité. Cette étude montre à quel point un simple périphérique USB peut être dangereux.

La sécurité des objets connectés est un sujet d’actualité, cependant les tests d’intrusion IoT sont encore loin d’être une pratique généralisée. La plupart des constructeurs priorisent d’abord les fonctionnalités et le design du produit. Cependant, même avec une approche « security by design », le test d’intrusion reste incontournable pour connaître les risques de sécurité réels, puis pour prendre les mesures nécessaires.

Pentest Internet of Things : 10 types de tests hardware and software

Qu’est-ce qu’un pentest IoT ?

Un objet connecté est une solution complexe, avec différents points d’entrée potentiels pour un attaquant. Un audit de sécurité d’objet connecté (ou pentest IoT) comprend des tests sur l’ensemble de l’écosystème de l’objet, c’est-à-dire : la couche électronique, le logiciel embarqué, les protocoles de communication, le serveur, les interfaces web et mobiles. Les tests côté serveur, interfaces web et applications mobiles ne sont pas spécifiques à l’IoT, cependant ce sont des tests importants, car il s’agit de pans particulièrement à risques. Les tests côté électronique, logiciel embarqué et protocoles de communication concernent des vulnérabilités plus spécifiques à l’IoT.

Il existe trois types d’attaques spécifiques sur les objets connectés et les systèmes embarqués. Les attaques software, les attaques hardware non invasives et les attaques hardware invasives. Les premières profitent des failles logicielles, les secondes récupèrent des informations du hardware sans l’endommager tandis que les dernières impliquent l’ouverture des composants et donc leur destruction pour pouvoir en tirer des secrets. Si les deux premiers types d’attaques ne nécessitent pas beaucoup de moyens, ce n’est pas le cas des attaques invasives pour lesquelles des équipements très coûteux sont nécessaires.

Voici dix types de tests concrets conduits lors de l’audit de sécurité d’un objet connecté, illustrés par quelques exemples médiatisés et emblématiques. Pour chaque point abordé ci-dessous, il existe de nombreux outils et méthodes qui profitent de failles très diverses. Il s’agit donc d’une liste non exhaustive.

Ingénierie sociale : retours d'expérience

Nous conduisons des attaques par ingénierie sociale depuis environ 3 ans (attaques légales pour des clients, c’est notre métier, pas d’inquiétude 😉 ). Pendant ces trois ans, nos pentesters (experts en sécurité) ont testé différentes techniques, différents scénarios et prétextes. Nous avons tiré les leçons de notre expérience, et nos clients nous ont fait part ce qu’ils ont appris également ; ce que nous vous partageons ci-dessous.

1/ L’ingénierie sociale en bref

Avant de commencer, prenons un instant pour se rappeler ce
qu’est l’ingénierie sociale :

L’ingénierie sociale (ou social engineering) consiste à
manipuler les personnes afin d’obtenir des informations sensibles ou à leur
faire faire des actions pouvant mener à des incidents de sécurité.

Trop petit pour être hacké

S’il y a bien un mythe en cybersécurité que nous entendons régulièrement et qui doit absolument être déboulonné, c’est bien celui-là : « Pourquoi quelqu’un nous attaquerait-il ? Nous sommes trop petits, trop jeunes, personne ne nous connaît, nous n’avons rien en ligne, … nous ne sommes pas intéressants à hacker. »

Eh bien, si, en fait, vous êtes intéressants.

Prenons chaque point séparément :

– Pourquoi quelqu’un nous attaquerait-il ? Personne ne nous connaît.

Nous recrutons : consultant avant-vente en cybersécurité

Vaadata est une startup spécialisée en pentest / hacking éthique. Nous recherchons un ingénieur pour renforcer notre équipe business sur la partie avant-vente.

Qui sommes-nous ?

  • Une startup dynamique avec une forte culture technique (sujets : cybersécurité / pentest, sur un scope web / mobile / IoT / social engineering notamment)
  • Une société française avec de nombreux clients internationaux (Europe et USA)
  • Une petite équipe fun et à l’opposé de l’esprit «grande entreprise»
  • Une entreprise 100% indépendante et engagée sociétalement