Pentest et Pentesteur
6 février 2019 La semaine dernière, je donnais 5 journées de formation consacrées à la sécurité informatique ou cybersécurité. La formation s’est d’ailleurs mieux finie qu’elle avait commencé. Passons.
Dès le début, je leur expliquais tout le mal que je pensais de ces pseudo-experts de la sécurité dont la mission première était de faire peur à leurs clients en leur montrant par des tests d’intrusion – ou penetration tests – à quel point leur système d’information était faillible. La plupart de ces gugusses, pour parvenir à leur fin, utilisent des outils dont ils ne comprennent pas grand chose au fonctionnement, mettant parfois en danger les réseaux des entreprises où ils appliquent des tutos venus des forums de l’Internet. Il y a quelques temps, j’ai même vu – de mes yeux vu – un type télécharger Abel & Caïn, sans qu’il se donne la peine de s’interroger sur la source et le code de la version du logiciel qu’il avait téléchargé. La plupart des outils de Pentest présents dans Kali Linux sont là pour amuser la galerie et peuvent être mis très difficilement en œuvre dans les conditions réelles du fonctionnement d’un système d’information pour en évaluer les failles réelles. Pensez à utiliser Nessus.
Sur le fond, il n’y a pas besoin de se mettre à tuer une personne pour comprendre un meurtrier. Transposé à la sécurité informatique ou cybersécurité, il est inutile de se mettre à attaquer pour comprendre comment se défendre. Il vaut mieux apprendre à se défendre et observer les mouvements bruyants de l’assaillant par les pots de miel (honey pots), le monitoring, la supervision, les logs et les alertes. Lorsqu’un stagiaire m’explique que la meilleure défense c’est l’attaque, je lui rappelle que les Soviétiques ont gagné contre Hitler, là où ils se sont ramassés en Afghanistan. L’assaillant perd toujours à la fin.
Dans ce moment singulier où nous voyons fleurir toutes ces entreprises de Pentest, il est bon de rappeler qu’elles sont le plus souvent peuplées d’incompétents notoires ayant recours à des procédés illégaux et susceptibles de perturber très lourdement le fonctionnement de votre système d’information et de votre réseau. Il arrive parfois que ces types soient dans ces métiers juste pour ramasser vos identifiants et vos mots de passes, ainsi que vos informations qu’ils cherchent à revendre pour se faire un peu d’argent.