Black, Grey, White box Pentest

Lors d’un audit de sécurité, trois approches sont possibles. Elles correspondent à différents niveaux d’information et d’accès fournis aux pentesters.
Le choix de l’approche d’un test d’intrusion dépend de vos objectifs : quel niveau de profondeur voulez-vous ? Et souhaitez-vous tester la menace externe ou la menace interne ?

Test d’intrusion en boite noire – Pentest Black Box

Un audit de sécurité black box — boite noire est conduit dans les conditions les plus proches d’une attaque externe perpétrée par un attaquant inconnu distant. Cela signifie qu’aucune information (ou quasiment aucune) n’est fournie aux pentesters avant de commencer les tests. 

Le terme boite noire fait référence à l’analyse du système/de la cible des tests qui est conduite sans en savoir le fonctionnement interne[1].

Les pentesters connaissent uniquement le nom de l’organisation cible et souvent une adresse IP ou une URL. La surface d’attaque est donc large. Un temps est tout d’abord consacré à explorer les différents éléments compris dans la cible, avant de prioriser les attaques en fonction des éléments découverts durant cette phase de reconnaissance.

Un test d’intrusion en boite noire laisse une liberté de choix des cibles (lorsque la cible comprend plusieurs actifs) afin de maximiser l’impact des vulnérabilités découvertes, comme dans le cas d’une attaque malveillante réelle. Cet audit demande très peu de préparation de votre part en tant que commanditaire.

L’un des atouts de cette approche est que les pentesters apportent un regard neuf sur la cible et donc une évaluation nouvelle des points d’entrées potentiels du point de vue d’un attaquant. Cela évite par exemple de concentrer les tests uniquement sur ce qui est perçu comme important à sécuriser, alors que les risques d’autres éléments peuvent être sous-estimés. 

Il est possible de conduire un pentest black box sans en informer les équipes chargées de détecter les attaques, afin de constater la capacité de l’entreprise à détecter une attaque et à réagir de façon appropriée.

Test d’intrusion en boite blanche – Pentest White Box

Contrairement à la boite noire, un audit de sécurité white box — boite blanche (parfois boite de cristal) signifie qu’un maximum d’information est transmis aux pentesters avant l’audit. Les informations nécessaires au bon déroulement de l’audit sont partagées en toute transparence. Le fonctionnement de la cible est ainsi connu et rendu visible, d’où le terme boite blanche.

Les informations peuvent être des documents d’architecture, des accès administrateurs à des serveurs, l’accès au code source…

L’audit de sécurité en boite blanche n’est pas un pentest à proprement parler, puisque l’auditeur ne se place pas du point de vue d’un attaquant. Il s’agit d’une analyse sécurité plus poussée qu’un test d’intrusion, permettant de mieux comprendre d’où proviennent les problèmes de sécurité. Cela permet également de découvrir des vulnérabilités non visibles lors d’un test d’intrusion, mais pouvant causer un risque sécurité tout de même.

Test d’intrusion en boite grise – Pentest Grey Box

Lors d’un test d’intrusion grey box — boite grise, les pentesters commencent en ayant déjà des informations sur leur cible. Il peut s’agir de donner des informations sur le fonctionnement de la cible de l’audit, de fournir des comptes utilisateurs sur une plateforme à l’accès restreint, de donner un accès à une cible non accessible publiquement, etc.

Cela permet de mener des tests plus approfondis, en ayant une meilleure compréhension du contexte.

Pour un audit de sécurité en boite grise, la surface d’attaque est un périmètre défini. Cela permet de concentrer les tests sur des éléments déjà identifiés : pans les plus à risques, éléments sensibles, éléments accessibles en interne… C’est l’audit qui permet de simuler des attaques depuis des accès clients, partenaires, visiteurs, employés.

L’un des atouts de cette approche est qu’il est possible de définir un scope précis pour les tests en fonction de vos priorités, par exemple pour tester uniquement les derniers éléments mis en production ou bien des fonctionnalités particulièrement sensibles.

En résumé et en simplifiant, 

  • Black box – boite noire : tests du point de vue d’un attaquant externe, niveau minimal d’informations mises à disposition des pentesters
  • Grey box — boite grise : point de vue d’un utilisateur standard, niveau intermédiaire d’informations partagées aux pentesters
  • White box — boite blanche : point de vue d’un administrateur, niveau maximal d’informations transmises

Les vulnérabilités identifiées lors d’un pentest en boite noire et en boite grise représentent donc des risques directs et immédiats pour l’organisation, tandis qu’un audit white box permet de pousser plus loin l’analyse sécurité.
Il est tout à fait possible de choisir différentes approches en fonction des cibles et de la maturité sécurité de l’entreprise sur différents scopes. Vous pouvez consulter également notre livre blanc Comment définir le scope d’un pentest, afin d’avoir les clés pour définir un périmètre et une stratégie de pentest.

[1] https://fr.wikipedia.org/wiki/Boîte_noire_(système)