Audits, tests d’intrusion et Red Team
Les certifications de nos experts et nos labels entreprise
Nos audits, tests d’intrusions et Redteam
Tests d’intrusions externes
Depuis l’externe, c’est-à-dire depuis internet. On parle alors de test d’intrusion externe. L’objectif est de démontrer qu’il est possible d’avoir un ou des accès à des machines ou applications depuis l’externe…
En savoir plus ➜
Tests d’intrusions externes
Depuis l’externe, c’est-à-dire depuis internet. On parle alors de test d’intrusion externe. L’objectif est de démontrer qu’il est possible d’avoir un ou des accès à des machines ou applications depuis l’externe. Le prescripteur cherche à connaitre les « portes d’entrée » à son infrastructure qui ne sont pas assez sécurisées. Les auditeurs vont rechercher les différents moyens d’avoir un premier à l’interne, sans forcément explorer ensuite toute l’infrastructure interne.
Les outils et méthodes utilisées par Armature Technologies sont gardés confidentiels. Ces outils peuvent être du marché ou avoir été développés en interne.
Audit de vulnérabilité
Tous les jours, de nouvelles vulnérabilités apparaissent, dues à des failles dans les systèmes et applications et des mauvaises configurations d’équipements. La correction de ces vulnérabilités ferme les portes d’entrée aux personnes malveillantes.
L’audit de vulnérabilités consiste à balayer l’ensemble du système cible avec des outils automatisés et dédiés aux types de vulnérabilités recherchées (réseau, Web, etc.). Nous utilisons différents scanners de vulnérabilités (ouverts ou propriétaires, parmi lesquelles Qualys, Nessus Tenable, Ikare,…) afin de répondre au mieux aux exigences du client.
Audit de sécurité applicative
L’analyse automatisée permet de détecter certains types de vulnérabilités tels que les injections SQL, Cross Site Scripting, Injection de commandes … Cependant, ces outils montrent leurs limites face à des vulnérabilités liées à l’authentification, au contrôle d’accès, à la cryptographie, à la configuration d’une application, et surtout aux vulnérabilités avancées.
Les résultats fournis par une analyse automatique présentent souvent un grand nombre de faux positifs. Ils doivent être examinés et appréciés par des experts par une analyse manuelle pour une exhaustivité d’analyse. La phase technique d’exploitation manuelle sans se baser sur des outils du marché est très importante pour avoir une vue complète du fonctionnement de l’application et des vulnérabilités présentes. La maîtrise de plusieurs technologies nous profère la capacité de réaliser différents types d’audits de sécurité applicatifs :
Audit sécurité Web Apps (Java, PHP, .NET, JS …)
Audit sécurité Mobile Apps (Android, iOS)
Audit sécurité API (Ajax, REST ..)
Audit sécurité Base de Données (Oracle, MS Server, MySQL, …)
Objectif : Mettre en avant les vulnérabilités de vos applications (erreurs de développement, erreur de configuration) et appliquer les mesures correctives adaptées à chacune.
Les audits effectués par nos équipes ne sont pas des scans de vulnérabilité, ils sont réalisés manuellement et sont personnalisés en fonction de vos besoins et de vos problématiques. Nos experts utilisent des référence pour remonter les failles de sécurité de vos applicatifs tel que le top 10 OWASP (Open Web Application Security Project) qui répertorie les 10 catégories de vulnérabilités les plus critiques.
De plus en plus de données sensibles sont gérées par ou via des applications Web qui tiennent une part très importante dans les activités et les processus quotidiens d’une entreprise. Les applications modernes sont conçues avec des architectures de plus en plus sophistiquées. Cette complexification multiplie les vulnérabilités alors que la sécurité n’est pas prise en compte dés la conception (security-by-design).
L’audit applicatif consiste en une analyse exhaustive de la logique applicative dans l’objectif de révéler les vulnérabilités potentielles : injection via des entrées utilisateurs, cloisonnement de comptes utilisateur, fraude business via l’application web, etc …
Audit de sécurité cloud
Notre équipe de cyber-experts analyse le niveau de sécurité de vos environnements cloud tels que AWS, Azure ou encore Google Cloud.
Tests d’intrusions internes
Le test d’intrusion interne se réalise depuis un accès local : salle de réunion, accès wifi, poste de travail. Il s’agit de partir du postulat qu’une machine ou application a été compromise, ou qu’un employé est malveillant, ou encore…
En savoir plus ➜
Tests d’intrusions internes
Le test d’intrusion interne se réalise depuis un accès local : salle de réunion, accès wifi, poste de travail. Il s’agit de partir du postulat qu’une machine ou application a été compromise, ou qu’un employé est malveillant, ou encore qu’une personne mal intentionnée a installé un Raspberry sur le réseau. Le prescripteur cherche à vérifier la robustesse de l’infrastructure interne face à la propagation d’une telle attaque. En quoi l’attaquant pourra accéder à d’autres parties du réseau, à d’autres services, à d’autres machines. La segmentation interne, la robustesse de l’authentification, du chiffrement, la gestion des accès seront ainsi évalués. La vigilance des équipes de sécurité sera aussi évaluée de par leur détection, ou non, de l’intrusion et de sa propagation.
Audit organisationnel et physique
Lors des audits organisationnels et physiques, Nous menons une analyse des politiques et des procédures définies par votre organisation afin de vérifier leur conformité par rapport aux besoins de sécurité que vous exprimez.
Ainsi, nous réalisons les tâches suivantes :
Dans un 1er temps, nous menons une analyse documentaire est réalisée
Dans un 2nd temps, nous complétons notre analyse documentaire par des entretiens avec les collaborateurs concernés
Dans un dernier temps, nous réalisons une une prise d’échantillons techniques en vue d’obtenir des preuves d’audit.
Au-delà de l’intrusion informatique, les pirates sont aujourd’hui en capacité de réaliser des intrusions physiques, touchant ainsi directement le cœur du système d’information de leurs victimes. Du clonage de badges jusqu’au lockpicking, les attaquants disposent d’un arsenal offensif qui peuvent mettre les dispositifs de sécurité des entreprises à rude épreuve.
Cet audit se caractérise notamment par un audit sur site afin de vérifier les procédures et leur bonne application. Nos pentesters peuvent aussi réaliser des tests d’intrusion physique visant à simuler de manière la plus réaliste le point de vue d’un attaquant. La méthodologie d’audit suivra la norme ISO 27002 ainsi que les recommandations de l’ANSSI.
Audit d’architecture
L’audit d’architecture consiste en la vérification de la conformité des pratiques de sécurité relatives au choix, au positionnement et à la mise en œuvre des dispositifs matériel et logiciels déployés dans un SI à l’état de l’art et aux exigences et règles internes du client. L’audit peut être étendu aux interconnexions avec des réseaux tiers, et notamment Internet.
Le prestataire d’audit doit procéder à la revue des documents suivants lorsqu’ils existent :
Schémas d’architectures de niveau 2 et 3 du modèle OSI
Matrices de flux et règles de filtrage
Configuration des équipements réseau (routeurs et commutateurs)
Interconnexions avec des réseaux tiers ou Internet
Documents d’architecture technique liés à la cible (DAT, LLD, HLD)
Le prestataire d’audit doit pouvoir organiser des entretiens avec le personnel concerné par la mise en place et l’administration de la cible auditée, notamment en ce qui concerne les procédures d’administration.
Audit de configuration
L’audit de configuration a pour vocation de vérifier la mise en œuvre de pratiques de sécurité conformes à l’état de l’art et aux exigences et règles internes du client en matière de configuration des dispositifs matériels et logiciels déployés dans le SI.
Ces dispositifs peuvent notamment être des équipements réseau, des systèmes d’exploitation (serveur ou poste de travail), des applications ou des produits de sécurité. Nous recommandons de vérifier conformément à l’état de l’art ou aux exigences et règles spécifiques du client la sécurité des configurations :
Des équipements réseau filaire ou sans fil de type commutateurs ou routeurs
Des équipements de sécurité (type pare-feu ou relais inverse (filtrant ou non) et leurs règles de filtrage, chiffreurs, etc.)
Des systèmes d’exploitation et des systèmes de gestion de bases de données
Des services d’infrastructure (Application, Poste de travail, téléphonie, virtualisation
A l’issue de cet audit, notre objectif est de rédiger des recommandations (avec en option, la possibilité d’implémenter ces recommandations) sur :
Les mécanismes d’authentification (robustesse des dispositifs…)
Les mécanismes cryptographiques utilisés
Les règles de filtrage réseau (entrée, sortie, routage, NAT…)
Les bonnes pratiques en matière de segmentation (VLAN…)
Les bonnes pratiques de durcissement des systèmes des systèmes d’exploitation, des configurations des serveurs applicatifs et des services d’infrastructure.
Audit de sécurité du poste de travail
Le poste de travail « User » constitue le “endpoint” des réseaux d’entreprise. De ce fait de l’évolution des menaces et des techniques de protection, le poste de travail est devenu la partie la plus vulnérable. Par ailleurs, c’est aussi la partie la plus difficile à protéger du fait de ses contraintes d’utilisation et d’administration.
Ainsi, au cours de ces audits, nous réalisons les tâches suivantes :
Contrôle de la conformité : Les règlements, standards et politiques évoluent sans cesse, il est nécessaire de s’assurer spécialement de la conformité aux normes SOX, ISO 17799, BALE II et LSF
Vérification de la bonne supervision des postes de travail et des serveurs du réseau
Vérification de la sécurité des Masters sur les postes de travail
Test d’intrusion d’infrastructure réseaux
Un test d’intrusion d’infrastructure réseaux consiste à cartographier le réseau avant de réaliser des tests de sécurité sur les éléments identifiés. Ainsi, les serveurs, les routeurs, les proxies, les postes de travail des utilisateurs, les imprimantes, ainsi que toute machine connectée au réseau, peuvent fournir des informations utiles pour un attaquant voire ouvrir un accès détourné à d’autres ressources. Les tests d’intrusion reposent notamment sur les actions suivantes :
Identifier des services vulnérables
Trouver un manque de chiffrement des données
Détecter de mauvaise gestion de droits
Evaluer la sécurité du réseau par du sniffing et de la manipulation de paquets
Détecter les mauvaises configurations du réseau
Tests d’intrusions d’application mobile
Attaque de l’application sur le mobile (corruption mémoire, race condition, exécution de code…)
En savoir plus ➜
Tests d’intrusions d’applications mobiles
Depuis l’externe, c’est-à-dire depuis internet. On parle alors de test d’intrusion externe. L’objectif est de démontrer qu’il est possible d’avoir un ou des accès à des machines ou applications depuis l’externe. Le prescripteur cherche à connaitre les « portes d’entrée » à son infrastructure qui ne sont pas assez sécurisées. Les auditeurs vont rechercher les différents moyens d’avoir un premier à l’interne, sans forcément explorer ensuite toute l’infrastructure interne.
Les outils et méthodes utilisées par Armature Technologies sont gardés confidentiels. Ces outils peuvent être du marché ou avoir été développés en interne.
Etude du code exécutable de l’application ou du code source s’il est fourni.
Etude des données échangées par l’application.
Attaque de l’application sur le mobile (corruption mémoire, race condition, exécution de code…)
Attaque de l’application par le réseau (en se faisant passer pour son serveur légitime)
En option : test d’intrusion de l’API. Cette dernière étape peut être vue comme un nouveau test d’intrusion d’une application ou d’une infrastructure. Elle peut toutefois être incluse dans le test d’intrusion d’application mobile.
Remarque : la pénétration du serveur de l’application et l’accès à la base de données constitue souvent l’objectif final des pirates
Simulation de Phishing / hameçonnage
Les attaques par social engineering visent à exploiter l’erreur humaine, ou les faiblesses humaines, afin de pénétrer dans le système d’information. La récupération directe d’information d’authentification est la cible la plus courante…
En savoir plus ➜
Simulation de pishing / hameçonnage
Les attaques par social engineering visent à exploiter l’erreur humaine, ou les faiblesses humaines, afin de pénétrer dans le système d’information. La récupération directe d’information d’authentification est la cible la plus courante. Mais d’autres moyens sont possibles (installation d’accessoires aux postes de travail : clavier, souris, clé usb ; installation d’un nouveau logiciel de vidéo conférence etc).
Les procédés :
Campagne d’envoi d’emails avec un lien faire un site externe imitant les applications de l’entreprise et demande de saisir des identifiants.
Campagne d’envoi d’emails demandant à installer un nouveau logiciel.
Envoi d’accessoires au poste de travail piégés.
Appel des personnes afin d’effectuer des manipulations sur leur poste de travail.
Action sur site focalisée sur une équipe précise par la persuasion orale : personnel d’accueil, veilleur de nuit, administrateur système.
Une caractéristique des campagnes de social engineering est que leur réalisation peut être étalée dans le temps. Certaines actions préparatoires peuvent demander plusieurs semaines de délai (acquisition de noms de domaines, développement de faux sites web, attente d’un événement particulier).
De la même manière l’envoi d’emails doit aussi être fait de manière discrète et les actions des employés cibles peuvent prendre plusieurs jours.
Les différentes actions possibles des auditeurs (téléphone, email, discussion sur place, envoi de courrier, envoi de colis) peuvent être combinées afin d’augmenter l’impact de l’une d’entre elles. Par exemple un email semblant provenir d’un sous-traitant prévenant d’un appel téléphonique, cet appel expliquant qu’un nouvel outil doit être déployé et lui-même suivi d’un autre email demandant l’installation d’un logiciel.
Simulation d’attaque avancée APT
Reverse engineering d’applications utilisées par le client (Entre 1 et 3 applications à définir et selon le temps alloué et selon les aspects juridiques avec les éditeurs)…
En savoir plus ➜
Simulation d’attaque avancée APT
Simulation d’une attaque avancée ou APT :
Reverse engineering d’applications utilisées par le client (Entre 1 et 3 applications à définir et selon le temps alloué et selon les aspects juridiques avec les éditeurs).
Découverte de vulnérabilités inconnus ou 0-days sur les applications.
Création d’exploits 0-days.
Attaque et utilisation de backdoor « maison » inconnues.
Persistance au sein du système d’information et mouvements latéraux dans le but de tester les outils de détection et les équipes en charges de la sécurité opérationnelle.
Audit de code source
Les revues de code permettent d’évaluer le niveau de sécurité des applications avec une connaissance complète du code et sont complémentaires aux tests d’intrusion. Les auditeurs peuvent ainsi découvrir des vulnérabilités potentielles non détectées lors des tests d’intrusions…
En savoir plus ➜
Audit de code source
Les revues de code permettent d’évaluer le niveau de sécurité des applications avec une connaissance complète du code et sont complémentaires aux tests d’intrusion. Les auditeurs peuvent ainsi découvrir des vulnérabilités potentielles non détectées lors des tests d’intrusions, par exemple des backdoors applicative, et des mécanismes ne répondant pas aux meilleures pratiques et présentant une faiblesse du point de vue de la sécurité comme des contournements de l’authentification ou autres vulnérabilités plus importantes.
En effet, l’analyse du code source révèle très souvent des vulnérabilités cachées. L’implémentation des fonctionnalités sur les formulaires accessibles aux utilisateurs (inscription, oublie de mot de passe, login, confirmation d’email, etc …) de manière non authentifiée peuvent avoir mal été effectuée.
D’autres vulnérabilités plus critiques permettant de l’exécution de code à distance sur le serveur applicatif peuvent être détectée à la revue de code également.
RedTeam
L’audit RedTeam reprend toutes les possibilités offertes lors des audits d’infrastructure et d’application web ou mobile…
En savoir plus ➜
RedTeam
L’audit RedTeam reprend toutes les possibilités offertes lors des audits d’infrastructure et d’application web ou mobile et en plus les actions et conditions suivantes :
Sur un large périmètre.
Durée du test étendue sur plusieurs semaines.
Peut inclure des intrusions physiques et du social engineering.