Objectifs

Le test d’intrusion interne consiste à placer l’auditeur directement sur le réseau cible. Connecté comme le serait un employé, un invité, ou quiconque disposerait d’un accès légitime au réseau de l’entreprise, le consultant attaque les services, poste utilisateurs et autres ressources informatiques du client.

Une fois l’accès obtenu, les possibilités de compromissions sont toujours plus nombreuses en interne ; toutefois, l’angle proposé permet de mesurer efficacement le risque en cas de compromission physique du réseau, d’infection d’un poste utilisateur ou d’attaque par un personnel de l’entreprise.

Ce type de prestation est particulièrement adapté pour augmenter la sécurité de réseaux internes d’envergure, spécifiquement sensibles, ou bien accueillant du public (réseau invités par exemple).

Objectifs
Objectifs

Méthodologie

Reposant sur les principaux standards en termes de test d’intrusion et de gestion du risque, la méthodologie adoptée et sans cesse affinée par Sysdream assure le bon déroulement de nos prestations : couverture du périmètre, analyse du risque efficace et réaliste, effets de bord minimisés.

Livrable

Chaque test d’intrusion fait l’objet d’un rapport rendant compte des attaques et de l’analyse effectuée par le consultant. Le livrable fourni par Sysdream est destiné d’une part au comité de direction, d’autre part aux équipes techniques en charge de la plateforme et de sa sécurité.

Organisation du rapport
Synthèse générale (CODIR)
La synthèse générale expose de manière synthétique le niveau de risque global ainsi que les conclusions de l’expertise. Elle propose plusieurs approches de l’analyse de risque : par facteurs et par domaine technique. Un plan d’action indicatif est également fourni afin de synthétiser l’ensemble des recommandations du rapport et de les inclure dans une démarche plus générale.

Profil technique du périmètre
À destination des techniciens en charge de la plateforme, cette section établit le profil technique tel qu’il a été découvert puis analysé par le consultant. Sont notamment mentionnés : les actifs détectés (machines, services), les points d’entrée potentiels, les informations recensées.

Description des vulnérabilités
À destination des techniciens en charge de la plateforme, la section détaille les aspects techniques relatifs à chaque vulnérabilité découverte. Pour chaque problème identifié, une approche générale est proposée, décrivant le type d’erreur commise et les contremesures standards s’appuyant sur des références solides. Des détails sont ensuite fournis sur la démarche de l’attaquant, de la découverte à l’exploitation, fournissant également les principaux éléments nécessaires à l’analyse du risque (plausibilité de l’attaque, mesure de l’impact en situation réelle).

Les outils employés et/ou développés pour mener à bien les attaques sont mentionnés, de sorte qu’une preuve de concept puisse être mise en œuvre par le lecteur du rapport.

Cas d’étude

Le cas d’étude présenté est purement fictif, mais décrit des situations plausibles afin d’illustrer la démarche et l’intérêt du test d’intrusion pour la sécurité des systèmes d’information. Ce dernier porte sur le site vitrine d’une société.

Motivations
Cette société conçoit et distribue des produits innovants dans le monde mécanique et pour la filière énergétique française. Le siège de la société compte une vingtaine d’employés et le système d’information est dimensionné et géré à l’échelle humaine. Un site vitrine est hébergé en interne ; il présente les lignes de produits et permet à l’équipe R&D de publier régulièrement des mises à jour sur les projets ainsi qu’à l’équipe communication de tenir la revue de presse.

Le nouvel administrateur système, en charge notamment de la maintenance du site vitrine, a constaté le manque de procédures et de suivi de l’infrastructure au profit des impératifs quotidiens de production. Il entreprend de mettre à niveau la plateforme et d’appliquer les recommandations d’usage de sécurité.

Au terme du projet, la direction technique souhaite évaluer le niveau de risque associé au site Web et corriger d’éventuels problèmes de fond qui n’auraient pas été identifiés.

Analyse de la situation
Le site vitrine ne recèle pas d’information métier particulière outre son contenu de nature publique. Une interface d’administration développée en interne permet l’édition aisée du contenu par les utilisateurs authentifiés.

Les données et services critiques pour l’entreprise se situent sur le réseau interne : le serveur de fichiers stocke de nombreux secrets industriels et projets encore non brevetés. Un ERP est installé et maintenu en interne par un prestataire, il contient l’ensemble de la comptabilité et le carnet d’adresses de la société.

Sur le plan technique, les vingt employés manipulent quotidiennement un poste de travail sous Microsoft Windows, un domaine Microsoft étant configuré. Une machine sous Windows XP sert ponctuellement à l’utilisation d’un logiciel de CAO spécifique, mais ne contient pas de données sensibles.

Description de la prestation
La première prestation de test d’intrusion réalisée est effectuée dans des conditions de boîte noire externe : le minimum d’information est fourni au consultant en charge du test, qui mène ses attaques depuis le réseau de Sysdream à travers Internet.

Ce type de test d’intrusion est en effet particulièrement adapté à une telle structure : la menace interne est négligeable étant donné le nombre d’employés et seul le prestataire ERP dispose d’éventuels accès distants au réseau de l’entreprise. Le site vitrine est hébergé dans les locaux et constitue une cible privilégiée.

La liste des adresses IP réservées auprès du fournisseur d’accès est fournie au prestataire comme point de départ et 3 jours de tests techniques sont programmés.

Démarche de l’attaquant
Disposant d’une liste d’adresses IP, le consultant en charge des tests emploie une démarche classique en boîte noire :

  • découverte des systèmes et services sur les adresses/machines en question ;
  • recherche de vulnérabilités et compromission initiale ;
  • maintien d’accès et tentative de rebond.

La première phase dure environ une heure (quelques adresses IP seulement) et ne lui permet d’identifier que deux services : un service d’administration distante SSH (servant au prestataire pour administrer l’ERP) et le site Web vitrine lui-même.

La machine hébergeant le service SSH fonctionnant sur un système d’exploitation GNU/Linux connu, l’attaquant compte sur l’utilisation possible de mots de passe faibles pour les utilisateurs par défaut et démarre des attaques par énumération de mots de passe. Il configure par ailleurs des outils d’analyse automatiques d’applications Web pour préparer le travail de recherche de vulnérabilités.

Une journée est ensuite consacrée à l’analyse manuelle du comportement du site vitrine. À terme, plusieurs vulnérabilités applicatives sont découvertes sur le site Web, essentiellement liées à des erreurs de conception et de programmation :

  • processus d’authentification partiellement implémenté (certaines ressources sensibles sont accessibles de façon anonyme) ;
  • injection SQL (dans une requête vers la base de données) ;
  • absence de protection contre les CSRF.

Chaque vulnérabilité identifiée fait l’objet d’une preuve de concept afin d’évaluer la faisabilité et l’impact notamment. L’impact technique de l’injection SQL est important : elle permet au consultant de récupérer le contenu de l’ensemble des bases de données ainsi que des fichiers locaux. La compromission initiale est réalisée en attaquant les empreintes de mots de passe et en s’authentifiant en tant qu’administrateur.

Une nouvelle phase de recherche de vulnérabilités est menée sur les fonctionnalités accessibles depuis le compte administrateur. Plusieurs nouveaux problèmes permettent à l’attaquant de prendre le contrôle complet de la machine. S’ouvrent alors des possibilités de rebond vers le réseau interne de la société.

La surface d’attaque sur le réseau interne ne fait pas partie du périmètre initial et est trop vaste pour faire l’objet d’une analyse détaillée. Aussi, en accord avec le client, le consultant choisit de concentrer ses efforts sur les données sensibles du serveur de fichiers. Exploitant des vulnérabilités connues du système Microsoft Windows XP, il parvient à compromettre la sécurité du domaine Windows et à prendre le contrôle de plusieurs machines, notamment du serveur de fichiers, afin d’en exfiltrer l’information métier.

Livrable
Le rapport remis à la suite du test d’intrusion fait mention de chaque vulnérabilité identifiée, accompagnée de recommandations pour améliorer le niveau de sécurité.

Notamment, le risque associé au site Web est jugé important : la découverte des vulnérabilités a nécessité une analyse manuelle pointue, mais l’impact est élevé. D’une part, l’impact technique direct a permis l’exfiltration des bases de données ; d’autre part, les multiples possibilités de rebond mettent en péril la sécurité du réseau interne de la société.

Au titre du plan d’action, il est notamment conseillé de corriger au plus vite les vulnérabilités identifiées et d’isoler la machine hébergeant le site Web afin de limiter l’impact en cas de compromission réelle. Le poste Windows XP devrait être mis à jour à terme et isolé du domaine Windows tant que la migration n’est pas envisageable.

Conclusion

En plus de la démarche classique de tests en boîte noire, le cas d’étude met l’accent sur les problématiques de gestion de périmètre. Une surface d’attaque initialement réduite peut rapidement être élargie par la découverte de vulnérabilités. La communication régulière avec le commanditaire et les ajustements de périmètre sont indispensables pour maximiser l’efficacité des tests d’intrusion.