56
Audit et test d’intrusion Introduction générale aux démarches d’audit de sécurité et test d’intrusion Intervenant : Guillaume Lopes / [email protected] 11 octobre 2013

01 - AUTI - Formation - Securite - Introduction

  • Upload
    loicbek

  • View
    26

  • Download
    0

Embed Size (px)

Citation preview

Page 1: 01 - AUTI - Formation - Securite - Introduction

Audit et test d’intrusionIntroduction générale aux démarches d’audit de sécurité et test d’intrusion

Intervenant : Guillaume Lopes / [email protected]

11 octobre 2013

Page 2: 01 - AUTI - Formation - Securite - Introduction

Sommaire

Objectifs

Who am I

Déroulement

Définitions et Rappels

Test intrusion

Audit Sécurité

Veille

Outils

Page 3: 01 - AUTI - Formation - Securite - Introduction

Objectifs

• Appréhender les notions de test d’intrusion et d’audit de

sécurité

• Savoir identifier et exploiter les vulnérabilités sur un système

d’information

• Présenter les principes généraux de sécurisation

Page 4: 01 - AUTI - Formation - Securite - Introduction

Sommaire

Objectifs

Who am I

Déroulement

Définitions et Rappels

Test intrusion

Audit Sécurité

Veille

Outils

Page 5: 01 - AUTI - Formation - Securite - Introduction

Who am I

• Consultant sécurité chez Intrinsec– 5 ans d’expérience professionnelle

• Spécialités – Test intrusion (applicatif, externe, interne, etc.)

– Simulation vol ordinateur portable

– Social Engineering

– Audit Technique (Architecture, Configuration, etc.)

– Audit de code (PHP, ASP.NET, Java, etc.)

– Audit Organisationnel (ISO 2700x)

– Formation aux méthodes d’attaques

Page 6: 01 - AUTI - Formation - Securite - Introduction

Sommaire

Objectifs

Who am I

Déroulement

Définitions et Rappels

Test intrusion

Audit Sécurité

Veille

Outils

Page 7: 01 - AUTI - Formation - Securite - Introduction

Déroulement

• Vendredi 11 octobre – Introduction générale

– Collecte d’informations

– Travaux pratiques (??)

• Vendredi 25 octobre– Attaques sur les réseaux

• Infrastructure et Architecture

• Filtrage

• Sans-fil

Page 8: 01 - AUTI - Formation - Securite - Introduction

Déroulement

• Vendredi 15 novembre– Attaques réseaux

• VPN

• ToIP

– Travaux pratiques

• Vendredi 29 novembre– Attaques systèmes

• Windows

• Linux

• Bases de données

Page 9: 01 - AUTI - Formation - Securite - Introduction

Déroulement

• Vendredi 6 décembre– Attaques Web

• OWASP Testing Guide

• Authentification

• Session Utilisateurs

• Vendredi 13 décembre– Attaques Web

• Validation des données

• Habilitations

– Travaux Pratiques

Page 10: 01 - AUTI - Formation - Securite - Introduction

Déroulement

• Jeudi 19 décembre– Examen final (??)

• Notation– A définir

– 1 ou 2 évaluations (QCM possible)

Page 11: 01 - AUTI - Formation - Securite - Introduction

Sommaire

Objectifs

Who am I

Déroulement

Définitions et Rappels

Test intrusion

Audit Sécurité

Veille

Outils

Page 12: 01 - AUTI - Formation - Securite - Introduction

Définitions et Rappels

• En France

– « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou

partie d'un système de traitement automatisé de données est puni de deux

ans d'emprisonnement et de 30000 euros d'amende. »(Article 323-1 du

code pénal)

• Mais qu’est qu’un accès frauduleux ?

– « L’accès frauduleux, […], vise tous les modes de

pénétration irréguliers d’un système de traitement

automatisé de données […] .» (CA de Paris 1994)

Page 13: 01 - AUTI - Formation - Securite - Introduction

Définitions et Rappels

• En conséquence avant de mener tout test actif

– Prévenir les équipes en charge du périmètre ou de l’équipement

– Obtenir un accord écrit du propriétaire de l’équipement ou du

responsable du traitement du périmètre

• Exemple : Un site Web hébergé chez un tiers

Page 14: 01 - AUTI - Formation - Securite - Introduction

Définitions et Rappels

• Sécurité des systèmes d’information (SSI)

– Ensemble des moyens techniques, organisationnels, juridiques et

humains nécessaire, et mis en place pour conserver, rétablir et

garantir la sécurité du système d’information

• Critères de sécurité

– Disponibilité : Garantir l’accès à un service ou à des ressources

– Intégrité : Garantir la non altération d’une donnée ou d’un système

– Confidentialité : Garantir l’accès à une information aux seules

personnes ayant besoin de la connaître

Page 15: 01 - AUTI - Formation - Securite - Introduction

Définitions et Rappels

• Mais aussi

– Traçabilité (ou Preuve) : Garantir que toute transaction « sensible »

(accès, tentative d’accès, etc.) est tracé. Les traces doivent être

conservées et exploitables

Le vecteur « DICT » permet de classer les risques identifiés sur

un périmètre

• Menace

– Action susceptible de nuire dans l’absolu sur un ou plusieurs critères

de sécurité

Page 16: 01 - AUTI - Formation - Securite - Introduction

Définitions et Rappels

• Vulnérabilité (ou faille)

– Faiblesse sur un système informatique permettant à un attaquant de

porter atteinte à un ou plusieurs critères de sécurité

– Représente le niveau d’exposition à une menace dans un contexte

particulier

• Défaut de configuration : Mot de passe par défaut, Politique de filtrage, etc.

• Manque de mise à jour : Exécution de code , Déni de Service, etc.

• Faille applicative : Injection SQL, Cross Site Scripting (XSS), etc.

• Contre-mesure

– Action visant à prévenir une menace

Page 17: 01 - AUTI - Formation - Securite - Introduction

Définitions et Rappels

• En conclusion, le risque, en sécurité informatique est

généralement définit par l’équation suivante

• En pratique, le risque est défini selon les enjeux et les objectifs

de l’entreprise

Page 18: 01 - AUTI - Formation - Securite - Introduction

Sommaire

Objectifs

Who am I

Déroulement

Définitions et Rappels

Test intrusion

Audit Sécurité

Veille

Outils

Page 19: 01 - AUTI - Formation - Securite - Introduction

Test d’intrusion

• Qu’est ce qu’un test d’intrusion ?

– Eprouver la sécurité d’un périmètre donné en simulant un niveau d’attaque

(profil) en considérant une durée et des contraintes imposées

– Permettre de connaître concrètement la capacité de malveillance d’un

attaquant à un instant donné

• Objectifs

– Fournir une évaluation concrète de la sécurité

– Sensibiliser à la sécurité par la démonstration

– Conseiller sur les actions correctrices

Page 20: 01 - AUTI - Formation - Securite - Introduction

Test d’intrusion

• Test Intrusion Interne

– Evaluer la capacité de malveillance d’un utilisateur interne (employé,

prestataire, intrus physique, etc.) sur le périmètre interne

– Objectifs divers et variés

• Récupération d’informations confidentielles (fiches de paye, données

propres à l’entreprise, etc.)

• Prise de contrôle du système d’informations

• Rendre indisponible certaines ou toutes les ressources de l’entreprise

• Utilisation frauduleuse des ressources de l’entreprise

Page 21: 01 - AUTI - Formation - Securite - Introduction

Test d’intrusion

• Test Intrusion Externe

– Evaluer la capacité de malveillance d’un attaquant (internaute

anonyme ou authentifié, vers, robot, etc.) sur des équipements

accessibles depuis Internet

De manière générale, l’objectif est de porter atteinte à un des critères

de sécurité (disponibilité, intégrité ou confidentialité) sur le périmètre

• Prendre le contrôle d’un ou plusieurs équipements

• Rendre indisponible un ou plusieurs équipements

• Modifier les données d’un équipement (par exemple un site Web)

Page 22: 01 - AUTI - Formation - Securite - Introduction

Test d’intrusion

• Test Intrusion Application Web

– Evaluer la capacité de malveillance d’un utilisateur anonyme ou

authentifié sur une application Web (externe ou interne)

Plusieurs objectifs

Accès non autorisé à l’application ou à des données

Contournement d’une logique métier

Dégradation / Modification de l’application

Récupération d’informations sensibles (coordonnées clients, numéro de

carte bleue, etc.)

Utilisation du site comme vecteur d’attaques vers d’autres utilisateurs

Page 23: 01 - AUTI - Formation - Securite - Introduction

Test d’intrusion

• Etapes d’un test d’intrusion

• Enumération du périmètre– Cette phase permet de récupérer le maximum d’informations sur la

cible

• Nom d’utilisateur

• Adresse IP

• Adresse Email

• Services disponibles (FTP, SSH, etc.)

Enumération du périmètre

Découverte de nouvelles

vulnérabilités

Identification des

vulnérabilités

Exploitation des

vulnérabilitésReporting

Page 24: 01 - AUTI - Formation - Securite - Introduction

Test d’intrusion

• Comment trouver des informations sur la cible ?

– Moteurs de recherche

Page 25: 01 - AUTI - Formation - Securite - Introduction

Test d’intrusion

– Forums

– Réseaux sociaux

– Social Engineering

• Prendre contact avec un employé de la

société (email, téléphone, fax, etc.)

• Récupération d’informations confidentielles (mot de passe,

renseignements techniques, numéro de téléphone, adresse

IP, etc.)

Page 26: 01 - AUTI - Formation - Securite - Introduction

Test d’intrusion

• Base whois

Page 27: 01 - AUTI - Formation - Securite - Introduction

Test d’intrusion

• Interrogation DNS

Page 28: 01 - AUTI - Formation - Securite - Introduction

Test d’intrusion

• Scan de ports

• L’ensemble des informations recueillies seront utilisées par la

suite lors de l’identification et l’exploitation des vulnérabilités

Page 29: 01 - AUTI - Formation - Securite - Introduction

Test d’intrusion

• Identification des vulnérabilités

– Des tests manuels ou automatisés sont effectués lors de cette phase

afin d’identifier les vulnérabilités sur la cible

• Analyse de la bannière d’un service

• Réponse à un stimuli particulier

Page 30: 01 - AUTI - Formation - Securite - Introduction

Test d’intrusion

• Exploitation des vulnérabilités

– Permet de valider l’existence ou non d’une vulnérabilité

– Peut amener la découverte d’autres vulnérabilités et, ainsi obtenir un

scénario d’attaque plus avancé

C’est la phase la plus importante d’un test d’intrusion

Page 31: 01 - AUTI - Formation - Securite - Introduction

Test d’intrusion

• Reporting

– Phase de rédaction permettant de répertorier notamment :

• Les vulnérabilités rencontrées

• Les scénarios d’attaque

• Les recommandations de correction

Page 32: 01 - AUTI - Formation - Securite - Introduction

Test d’intrusion

• Différentes méthodologies existent pour réaliser un test

d’intrusion

• OSSTMM (www.isecom.org/osstmm/)

– Méthodologie générale de test d’intrusion

• ISSAF (www.oissg.org)

– Méthodologie générale d’évaluation d’un système d’information recouvrant

divers aspects notamment

• Organisationnel

• Procédure

• Technique

Page 33: 01 - AUTI - Formation - Securite - Introduction

Test d’intrusion

• OWASP (www.owasp.org)

– Fournit de nombreux documents et outils sur la sécurité applicative

notamment

• OWASP Top Ten : Document fournissant le Top 10 des vulnérabilités les

plus rencontrées sur les applications Web

• OWASP Testing Guide : Méthodologie de test d’intrusion applicatif

• OWASP Development Guide : Guide de bonnes pratiques de

développement des applications Web

Page 34: 01 - AUTI - Formation - Securite - Introduction

Sommaire

Objectifs

Who am I

Déroulement

Définitions et Rappels

Test intrusion

Audit Sécurité

Veille

Outils

Page 35: 01 - AUTI - Formation - Securite - Introduction

Audit Sécurité

• Qu’est ce qu’un audit sécurité ?

– Evaluation du niveau de sécurité du système d’information ou d’un

équipement vis-à-vis d’une norme ou de bonnes pratiques

• Objectif

– Fournir un état des lieux du niveau de sécurité (points forts et faibles)

– Analyse en profondeur (organisationnelle et technique)

– Avoir une vision plus large qu’un test d’intrusion

Page 36: 01 - AUTI - Formation - Securite - Introduction

Audit Sécurité

• Pourquoi un audit de sécurité ?

– Etat des lieux : Se faire une idée du niveau de sécurité du SI

– Proactif :

• Tester la mise en place effective d’une politique de sécurité

• Evaluer l’évolution du niveau de sécurité

– Réactif : Réagir à une attaque

• Inconvénients

– Ne fournit pas une évaluation démonstrative des vulnérabilités

– Ne se substitue pas à une analyse des risques

Page 37: 01 - AUTI - Formation - Securite - Introduction

Audit Sécurité

• Audit organisationnel

– Analyse des processus SSI et métier (thématiques ISO27002)

• Politique de sécurité

• Organisation de la sécurité

• Gestion des actifs

• Sécurité dans les ressources humaines

• Sécurité physique et environnementale

• Sécurité opérationnelle (exploitation, sauvegarde, etc…)

• Contrôle d’accès

• Développements

• Gestion des événements de sécurité

• Continuité d’activité

• Conformité

Page 38: 01 - AUTI - Formation - Securite - Introduction

Audit Sécurité

• Audit technique

– Infrastructures

• Architectures (réseau, virtualisation, stockage, etc.), filtrages, etc.

– Equipements (configuration)

• Actifs réseaux, serveurs, etc.

– Applicatifs (revue fonctionnelle, revue de code, etc.)

– Thématiques spécifiques :

• Revue d’habilitations

• Etc.

Page 39: 01 - AUTI - Formation - Securite - Introduction

Audit Sécurité

• ISO19011:2002

– Lignes directrices pour l'audit des systèmes de management de la

qualité et/ou de management environnemental

• Principes de l’audit

– Déontologie : le fondement du professionnalisme

– Présentation impartiale : l’obligation de rendre compte de manière

honnête et précise

– Conscience professionnelle : l’attitude diligente et avisée au cours de

l’audit

Page 40: 01 - AUTI - Formation - Securite - Introduction

Audit Sécurité

• Principes (suite)

– Indépendance : le fondement de l’impartialité de l’audit et de

l’objectivité des conclusions d’audit

– Approche fondée sur la preuve : la méthode rationnelle pour parvenir

à des conclusions d’audit fiables et reproductibles dans un processus

d’audit systématique

Page 41: 01 - AUTI - Formation - Securite - Introduction

Audit Sécurité

• Normes

• ISO 27001

– Spécifie les exigences pour mettre en place, exploiter, améliorer un SMSI

(Système de Management de la Sécurité de l’Information)

• ISO 27002

– Description détaillée des mesures de sécurité préconisées dans l’ISO 27001

Page 42: 01 - AUTI - Formation - Securite - Introduction

Sommaire

Objectifs

Who am I

Déroulement

Définitions et Rappels

Test intrusion

Audit Sécurité

Veille

Outils

Page 43: 01 - AUTI - Formation - Securite - Introduction

Veille

• Comme tout domaine en informatique, la sécurité est un

domaine qui évolue

• Il est important de rester informé sur les dernières

vulnérabilités et techniques d’attaques

• Les diapositives suivantes ne prétendent pas être exhaustives

– Mais permet d’avoir une bonne base

Page 44: 01 - AUTI - Formation - Securite - Introduction

Veille

• Vulnérabilités

– www.secunia.com

– www.vupen.com

– www.securityfocus.com

• Exploit

– www.exploit-db.com

– packetstormsecurity.org

– www.metasploit.com

Page 45: 01 - AUTI - Formation - Securite - Introduction

Veille

• Mailing list

– seclists.org (pentest, full disclosure, etc.)

• Applicatif

– OWASP (www.owasp.org)

• Ressources diverses

– www.sans.org

– www.nist.org

– www.cert.org

Page 46: 01 - AUTI - Formation - Securite - Introduction

Veille

• Hacking Map

– http://www.mindmeister.com/fr/11594999/hacking

• Conférences

– OSSIR : www.ossir.org

– SSTIC : www.sstic.org

– Nuit du Hack

– Hackito Ergo Sum

– Black Hat

– Defcon

Page 47: 01 - AUTI - Formation - Securite - Introduction

Sommaire

Objectifs

Who am I

Déroulement

Définitions et Rappels

Test intrusion

Audit Sécurité

Veille

Outils

Page 48: 01 - AUTI - Formation - Securite - Introduction

Outils

• Différents outils sont utilisés lors d’un test d’intrusion (ou d’un

audit)

• Chaque outil à sa fonction et son utilité

• Pièges à éviter

– Un outil ne remplace pas une analyse humaine

– Une bonne connaissance de l’outil est nécessaire

– Un outil ne fait pas tout !

Page 49: 01 - AUTI - Formation - Securite - Introduction

Outils

• Ecoute réseau passive

– Wireshark (www.wireshark.org ) : Outil permettant de capturer et

analyser les paquets réseaux (Windows/Linux)

– Tcpdump (www.tcpdump.org) : Outil permettant de capturer et

analyser les paquets en ligne de commande (Linux)

Page 50: 01 - AUTI - Formation - Securite - Introduction

Outils

• Ecoute réseau active

– Cain et Abel(www.oxid.it) : Véritable couteau suisse permettant

d’analyser les trames réseau, de récupérer les mots de passe circulant,

ainsi que de les « casser » (Windows)

– Ettercap (ettercap.sourceforge.net) : Fonctions similaires à Cain et

Abel, sauf pour le « cassage » de mots de passe (Windows/Linux)

Page 51: 01 - AUTI - Formation - Securite - Introduction

Outils

• Cassage de mot de passe

– John the ripper (www.openwall.com/john ) : Outil permettant de

casser un mot de passe via des attaques par dictionnaire ou force

brute (Linux)

– Ophcrack (ophcrack.sourceforge.net) : Outil permettant de casser un

mot de passe via des rainbow tables (Windows/Linux)

Page 52: 01 - AUTI - Formation - Securite - Introduction

Outils

• Scanners réseau

– Nmap (nmap.org) : Scanner de ports permettant notamment

d’identifier les services en écoute sur un équipement, ainsi que la

version du système d’exploitation

– Hping (www.hping.org) : Forgeur de paquets TCP / UDP / ICMP.

Page 53: 01 - AUTI - Formation - Securite - Introduction

Outils

• Scanners de vulnérabilités

– Qualys (www.qualys.com ): Scanner de vulnérabilités systèmes et

réseaux en mode SaaS

– Nessus (www.nessus.org) : Scanner vulnérabilités systèmes et réseaux

– IBM Rational AppScan (www.ibm.com) : Scanner de vulnérabilités

applicatives

– Paros (www.parosproxy.org) : Scanner de vulnérabilités applicatives

Page 54: 01 - AUTI - Formation - Securite - Introduction

Outils

• Environnement Test d’intrusion

– Backtrack (www.backtrack-linux.org) : Distribution Linux contenant

une panoplie d’outils utilisés lors d’un test d’intrusion

Page 55: 01 - AUTI - Formation - Securite - Introduction

Outils

• Cette distribution contient une panoplie d’outils

– Bluetooth

– Fuzzers

– Base de données

– Cassage de mots de passe

– Sniffers

– Wifi

– VoIP

– Application Web

– Framework d’exploits

– ….

Page 56: 01 - AUTI - Formation - Securite - Introduction

Questions ?