Test d’intrusion d’application web : comment ça marche ?

Test d'intrusion d'application web : comment ça marcheVos collègues ou votre boss parlent de test d’intrusion ou pentest (de l’anglais penetration testing). On vous demande d’expliquer ce que c’est, comment c’est fait ou ce qui est testé ? (parce que vous êtes la personne technique, donc vous savez sûrement ça, n’est-ce pas ? Surtout si ce n’est pas votre domaine.)

Voici des éléments clés, simples et clairs, pour leur répondre. Pour plus de précisions, n’hésitez pas à nous contacter.

 

Objectif d’un test d’intrusion d’application web ?

Renforcer la sécurité de votre plateforme web, webservice et/ou des API reliées.

 

Qu’est-ce que c’est ?

Test d’intrusion = une attaque potentielle réaliste de votre application web/ service/ solution/ système.

Nous utilisons les méthodes et outils actuels de hackers malveillants pour vous attaquer comme ils le feraient. La finalité est de trouver des failles et vulnérabilités pour que vous puissiez les corriger avant que des attaquants les utilisent contre vous.

Plus concrètement, nous essayons d’accéder à des documents, des réseaux, des services, etc. qui ne devraient pas être publics ou autorisés pour cette catégorie d’utilisateurs. Nous recherchons si des fonctionnalités peuvent être détournées de leur usage.

 

Comment cela marche-t-il ? Comment faisons-nous un pentest ?

Prenons un instant pour rappeler comment fonctionne un site.
Une requête est envoyée par le navigateur de l’utilisateur au serveur web, qui lui répond avec le code de la page internet. Ce code est ensuite utilisé par le navigateur pour construire la page web.

Nos pentesters (les experts en sécurité spécialisés en test d’intrusion) interceptent le trafic entre le navigateur et l’application web pour regarder la requête web. Ils vérifient comment la requête est écrite, s’ils peuvent ajouter des éléments, modifier des champs, recevoir plus d’informations…

Leur but est de comprendre comment fonctionne l’application web pour ensuite essayer d’en manipuler son fonctionnement, afin de lui faire envoyer des réponses « anormales » (pas celles prévues).

 

Les réponses « anormales » intéressantes peuvent :

  • montrer des éléments de la base de données,
  • énumérer des documents,
  • révéler des informations techniques (comme les technologies et les versions utilisées),
  • contourner des restrictions (comme se connecter sans identifiant),
  • crasher le service,
  • rediriger les utilisateurs vers d’autres sites, potentiellement malveillants,
  • dégradation (ou defacing) de pages web (afin de nuire l’image de l’entreprise),
  • etc.

 

Qu’est-ce qui est testé ?

Nos pentesters testent :

  • toutes les fonctionnalités de l’application web,
  • l’implémentation et l’utilisation de composants-tiers,
  • le serveur et ses différents services (web, mail, FTP, SSH…),
  • la configuration sécurité de chaque élément,
  • la politique de l’entreprise sur : les mises à jour, les méthodes de travail (process, comment le code est partagé…).

Les tests d’intrusion peuvent se concentrer uniquement sur les éléments techniques ou bien inclure également de l’ingénierie sociale. Pour plus d’informations, cet article explique ce qu’est l’ingénierie sociale dans un audit de sécurité web.

 

Que se passe-t-il une fois le test d’intrusion fini ?

Les résultats des tests sont documentés. Nous détaillons précisément ce qui a été testé et ce qui a été trouvé. Les développeurs pourront ensuite s’en servir pour corriger les failles trouvées.

Il s’agit principalement d’un rapport technique. Tout ce qui a été testé est listé, et il est détaillé :

  • quelles failles et vulnérabilités ont été trouvées,
  • où elles ont été trouvées,
  • le type de failles et vulnérabilités dont il s’agit,
  • en quoi elles sont problématiques, et comment des attaquants peuvent les utiliser,
  • comment elles ont été exploitées durant le test d’intrusion,
  • et des recommandations de corrections pour remédier à ces failles et vulnérabilités.

Les vulnérabilités sont évaluées en prenant en compte la probabilité et l’impact potentiel. Vous pouvez en lire plus sur l’évaluation des risques associés à chaque vulnérabilité et faille ici.

 

Après avoir lu cet article, nous sommes convaincus que vous pourrez répondre aux questions principales de vos collègues ou de votre boss. Pour aller plus loin, nous avons répondu aux 7 questions à se poser avant de faire un test d’intrusion. Cela vous donnera de bonnes clés si vous devez conseiller quelqu’un sur quand faire un pentest, quelles technologies sont testées, etc.

Pour des renseignements plus précis, n’hésitez pas à nous contacter.