L'offre ERNW

Un test d'intrusion est composé de plusieurs modules :

  • Atelier d'initiation
  • Obtention de l'information (information gathering / fingerprinting)
  • Test de vulnéraibilité au niveau du système (hacking)
  • Test de vulnérabilité au niveau de l'application (hacking)
  • Documentation détaillée
  • Présentation du résultat

Atelier d'initiation

Nous signons en premier lieu un Contrat de Confidentialité, dans lequel nous nous engageons à respecter les législations sur la protection des données. Nous faisons l'inventaire de tous les modules qui doivent être examinés et déterminons alors en détail le déroulement des tests et des objectifs. Nous présentons et expliquons la méthodique du test et les outils utilisés. Le responsable de la protection des données doit être présent environ une heure, pour définir si nécessaire, le traitement des données personnelles. Un interlocuteur est nommé, les procédures à appliquer sont déterminées, en cas de difficulté ou de failles de sécurité à corriger rapidement. Un numéro de teléphone d'urgence est communiqué et la méthode d'échange de données est définie.

Information Gathering / Fingerprinting

L'étape suivante consiste à recueillir des informations sur les systèmes avec les moyens suivants :
  • Identification de systèmes actifs y compris de la version
  • Identification de systèmes (évaluation de fingerprint, services spécifiques au système, etc)
  • Détermination des services actifs y compris de la version du système d'exploitation
  • Téléchargement de sites Web acessibles pour déterminer la gestion de session, la transmission des données, etc.
  • Identification des procédés d'authentification et des mécanismes de cryptage

Test de vulnérabilités OS

  • Authentification de l'utilisateur et mécanismes de contrôles d'accès
  • Mécanismes d'authentification (prédictibilité, force du mécanisme,etc)
  • Mécanismes timeout
  • Attaques par dictionnaire ou force brute sur des mécanismes d'authentification à mots de passe
  • Test de vulnérabilités aux attaques de l'intercepteur (man in the middle)
  • Mécanismes de cryptage
  • Procédés de cryptage
  • Capacité de cryptage
  • Services actifs
  • Analyse de backdoors
  • Utilisation des failles de sécurité lorsque des exploits sont disponibles (uniquement en accord avec le client)
  • Erreurs de configuration
  • Accès aux répertoires que l'on peut indexer
  • Accès aux scripts exemple
  • Utilisation des failles connues de l'application et du service

Tests de vulnérabilités au niveau de l'application

  • Test de validation des entrées utilisateur autorisé
  • Essais d'injection (par ex. injection SQL, procédures stockées, etc.)
  • Analyse de la sécurité HTML (diffusion de l'information avec commentaires, analyse des éléments cachés, etc.)
  • Management de la session (cookies, URL-Rewriting, éléments de formulaire cachés, etc.)

Rédaction d'un rapport détaillé

Le rapport détaillé des tests d'intrusion se présente de la manière suivante :

  • Une description détaillée de l'objectif de l'analyse et des procédés
  • Reprend les opérations effectuées que l'on peut facilement comprendre et rejouer
  • Un paragraphe proposant une synthèse compréhensible par une direction non technique
  • Directives et recommandations selon la norme ISO 27001
  • Représentation détaillée de tous les résultats des tests

TROOPERS11 - March 2011
TROOPERS11 takes place from 14-18. March 2011 at Heidelberg. Mark your calendars now and sign up for the official TROOPERS newsletter to stay up-to-date. [More]