Questions Fréquentes - FAQ

Voici les questions qui nous sont régulièrement posées.
Pour toute autre question ou demande de précisions, contactez nous.

Questions
Nous testons tout type d’applications web, ce qui concrètement signifie : les sites internet / intranet, les applications mobiles, les logiciels SaaS, les API.
Par application, nous entendons tout ce qui concerne la couche applicative ou logicielle. Il ne s’agit donc pas uniquement de sécurité des applications mobiles.
Il est essentiel que votre hébergeur soit sécurisé, mais hélas c’est insuffisant pour assurer la sécurité de votre plateforme. Des failles dans le code de votre application laissent la porte ouverte à de multiples attaques, qui peuvent avoir pour effet des interruptions de services, des détournements de contenu, ainsi que des vols de données.
Actuellement, on estime que 80% des applications web possèdent au moins une faille critique.
Tous les sites sont les cibles de cyber-attaques, y compris ceux qui n’hébergent aucune donnée sensible.
Les motivations des hackers peuvent être de s’entraîner, de prendre le contrôle de votre serveur pour héberger un site malveillant, ou tout simplement de s’amuser.
Les sites sous Wordpress, par exemple, font partie des plus piratés. Certaines attaques sont automatisées à grande échelle sur des dizaines de milliers de sites web.
Les logiciels de scan permettent de conduire des analyses automatiques de sécurité. Ils permettent de détecter un certain nombre de failles répertoriées. Il s’agit d’un premier niveau de sécurité.

Un audit de sécurité repose sur des tests d’intrusion manuels et semi-automatisés. Chaque audit est réalisé sur mesure, en fonction de votre architecture technique et fonctionnelle. Les tests d’intrusion manuels permettent de détecter des failles invisibles par les logiciels de scan (par exemple les failles de logique). Ils permettent aussi une analyse plus approfondie en exploitant les vulnérabilités découvertes afin d’évaluer leur impact.
Les pare-feus applicatifs (WAF) protègent vos applications en agissant comme un bouclier, sans corriger les failles de sécurité. Ils peuvent être déjoués par un attaquant expérimenté.
Les tests d’intrusion vous permettent de corriger les failles présentes dans la couche applicative de votre site ou logiciel.

Pour un niveau optimal de sécurité, vous pouvez combiner ces deux approches.
Les attaquants internes constituent une menace importante et dont les impacts sont parmi les plus coûteux pour une organisation. Il peut s’agir d’employés malveillants exprimant un mécontentement ou un désir de reconnaissance.

Mais certains attaquants externes à l’entreprise peuvent également utiliser des techniques de manipulation afin d’obtenir des identifiants de connexion. Dans ce cas, il est important que les fonctionnalités de l’application soient étanches afin de limiter l’étendue des dégâts.
Les cyber-attaques sophistiquées combinent régulièrement les techniques de hacking avec celles de l’ingénierie sociale. L’ingénierie sociale consiste à utiliser l’imposture pour récupérer des informations, à travers des mails de phishing, des appels téléphoniques frauduleux, et des intrusions physiques dans vos locaux.

Tester la réaction de vos équipes face à ces techniques d’imposture permet de mettre en place des actions de sécurité plus efficaces, qui intègrent le facteur humain.
Nous utilisons le référentiel de l’OWASP, qui propose des recommandations en matière de sécurité web. Nous nous appuyons sur la méthodologie en 4 phases : reconnaissance, mapping, discovery, exploitation. Nos experts techniques sont certifiés GWAPT, mais ce sont avant tout des passionnés avides de veille et d’apprentissage continu.

Dans le domaine du hacking, l’innovation est permanente, c’est pourquoi nous consacrons une majeure partie de notre temps à la recherche de nouvelles failles et de nouvelles techniques d’attaques sophistiquées.
La seule réponse honnête est non. Le risque zéro ne peut jamais être atteint.

De plus, les moyens de sécurité à déployer dépendent du niveau de risque auquel vos applications sont exposées. Nous vous conseillons pour mettre un place un niveau de sécurité adéquat en tenant compte de vos objectifs et de votre budget.
Nous vous remettons un rapport d’audit complet indiquant ce que nous avons testé, comment nous l’avons testé, quelles failles nous avons trouvées, ainsi que comment les exploiter. Notre rapport contient des captures d'écran, des extraits de données volées, ainsi que des scénarios permettant de rejouer les attaques.

Notre objectif est aussi de faire monter en compétences vos équipes techniques en les sensibilisant à la sécurité à travers nos prestations.
Notre rapport d’audit contient des suggestions techniques de remédiation. Les corrections à appliquer sont détaillées faille par faille, ce qui constitue un résultat directement exploitable par les développeurs.

En revanche, nous ne corrigeons pas nous-mêmes le code de votre application.
Le terme « hacking » est générique, il désigne un ensemble de techniques relevant des failles et vulnérabilités matérielles ou humaines dans le domaine informatique. Le hacking peut être utilisé à des fins bienveillantes ou malveillantes.

Au delà des déclarations d’intention, notre activité s’inscrit dans un cadre légal. Nous intervenons uniquement à votre demande, après signature d’un contrat ainsi que d’une autorisation de tests. Votre hébergeur est prévenu de nos tests, qui sont effectués à partir d’une seule adresse IP permettant d’identifier leur provenance. Toutes nos missions sont couvertes par notre assurance, et nous pouvons choisir d’effectuer les tests sur une application en production ou une plateforme de staging selon le degré de criticité des enjeux sur votre plateforme.
Glossaire
Open Web Application Security Project. Communauté libre travaillant sur la sécurité des applications web. Elle publie l'OWASP Top 10 qui répertorie les principales failles de sécurité présentes dans les applications web.
Penetration Test ou Test d’intrusion. Méthode d’évaluation de sécurité qui consiste à simuler des attaques malveillantes pour détecter les vulnérabilités d’une application ou d’un système.
Technique d'attaque de type injection visant à interagir avec la base de données de l'application web, à travers des fonctionnalités de l'application.
Attaque consistant à insérer un contenu dangereux sur un site cible. Il peut en résulter une modification totale du contenu du site, ou un vol de données.
Techniques de manipulation visant à influencer le comportement de ses interlocuteurs pour obtenir des informations confidentielles ou réaliser des actions, dans le contexte d’une cyberattaque.
Hackers éthiques. Personnes ayant des compétences en sécurité informatique et agissant de manière tout à fait légale, par exemple afin de réaliser des audits de sécurité.
Hackers agissant illégalement. Pirates informatiques.

Web Application Firewall ou Pare-feu Applicatif. Mécanisme de protection filtrant les requêtes destinées à un serveur web, et détectant des attaques. Il bloque les requêtes dangereuses et peut aussi contrôler les réponses retournées par le serveur.