Avoir des tests de sécurité efficaces!

Publié le par Marc Hage Chahine

On parle de plus en plus de tests de sécurité! On peut d’ailleurs remercier la RGPD qui a forcé, au moins en partie, à s’intéresser à la protection des données personnelles et donc à cet aspect de la sécurité.

Les compétences en tests de sécurité restent néanmoins assez rares et on pense généralement à 2 types de campagnes de tests:

  • Les tests boite blanche, où on analyse le code. Ces tests sont souvent effectués par des outils comme HP Fortify ou Kiuwan. Ces outils se basent sur différents standard de sécurité, notamment le plus connu: OWASP.
  • Les tests boite noire, où, tel un hacker ne connaissant rien à l’application, on essaye de rentrer dans le logiciel et récupérer le plus d’informations possibles. Pour ces tests, on peut faire appel à des experts sécurité (dont certains disent que cette méthode n’est pas la plus efficace ni efficiente).

Ces 2 types de campagnes sont nécessaires… Mais pas forcément les plus efficaces!

Ce constat semble évident si on fait un simple analogie entre les tests de sécurité et l’attaque d’un château fort !

Dans cette analogie, le logiciel à attaquer est la château fort. Le but des tests de sécurité est donc de réussir à prendre ce château bien défendu avec ses douves, ses remparts et son pont levis (il est également possible de songer à un château avec des défenses actives, dans ce cas cela peut entrainer des représailles du logiciel lors de certaines attaques).

Dans cette optique, les tests boite blanche correspondent à une analyse du terrain et des défenses du château afin de repérer de potentiels points faibles qui pourront être exploités. Le châtelain au courant de ces informations peut donc renforcer son château!

De même, les tests boites noires correspondent à la simulation d’une attaque par une armée ne connaissant pas du tout le terrain et la disposition du château. L’attaque peut réussir mais coûtera la vie de nombreux assaillants (et donc beaucoup de temps perdu pour nos testeurs).

On voit que dans les 2 cas ces vérifications sont importantes et complémentaires afin d’assurer les défenses de notre château.

Néanmoins, ce n’est pas forcément efficient! Le moyen le plus efficient pour prendre le château ne serait-il pas de combiner ces 2 techniques ?

On analyse le terrain et les défenses du château puis on attaque les point faibles théoriques ? C’est d’ailleurs comme cela que le Gouffre de Helm est pris dans le Seigneur des Anneaux. Une faille est détectée avec une analyse en amont puis l’armée est envoyée avec pour mission de passer par cette faille!

Cela fonctionne de la même manière avec les campagnes de tests de sécurité! Les campagnes les plus efficaces sont celles où l’on mixe de l’analyse et de l’attaque ciblée. Cette attaque permet d’avoir de nouvelles informations à analyser pour propose une nouvelle attaque ciblée et ainsi de suite:

Attention: Ce type de campagne ne doit pas supprimer les campagnes boite noire classiques! Le type de campagne proposé (parfois appelé boite grise) a un gros point faible, on n’attaque uniquement les failles auxquelles on a pensé! L’attaque boite noire classique permet d’éviter cet éceuil en attaquant des parties faibles que l’on n’aurait pas repérées en amont. On peut penser par exemple à une fissure dans les remparts du château qui n’aurait pas été détectée avant ou une nouvelle arme (technique d’attaque) rendant faibles certains points semblant sécurisés!

Conclusion

Les campagnes de test de sécurité doivent penser à intégrer des attaques ciblées. Ces attaques ciblées sont particulièrement intéressantes car elles permettent d’optimiser ses ressources et valider les potentielles faiblesses. Néanmoins ces attaques ciblées n’exonèrent pas la tenue de test boite noire plus classique ni bien sûr les habituels test boite blanche (mais qui sont normalement déjà intégrés dans le cycle des attaques ciblées).

N’hésitez pas à me suivre et lire mes autres articles si vous voulez en apprendre plus sur le test ou venir partager vos connaissances

Pensez à rejoindre le groupe « Le métier du test » si vous souhaitez échanger sur le test

Merci à tous ceux qui mettent « j’aime », partagent ou commentent mes articles

N’hésitez pas à faire vos propres retours d’expérience en commentaire.

Publié par

Marc Hage Chahine

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s