Description
Pour tout comprendre des tests de pénétration avec Brice AUGRAS de la société BZHunt.
Présentation de Marc-Antoine LEDIEU (Technique et droit du numérique) https://technique-et-droit-du-numerique.fr/438-le-droit-au-pen-test-sur-l-hebergeur-du-pen-teste-en-2023/
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, j'ai ramené un copain. Bonsoir et bienvenue dans la cybersécurité expliquée à ma grand-mère. C'est un numéro spécial, un hors-série de nouveau, et ce soir on va adresser un point très particulier qu'on appelle le pentest, les tests de pénétration. Alors ma grand-mère pensait que c'était quelque chose de sexuel, mais rassurez-vous, ça n'a rien à voir. Pour parler des pentests, le mieux, c'est d'inviter un pentester. Ce soir, j'ai l'avantage et l'honneur d'accueillir Brice Ogra, qui est un pentester et qui fait partie de la société. D'ailleurs, il est le président de la société BZ Hunt. Il va justement nous parler de son métier, de faire du pentest, et de tous les éléments importants pour faire un pentest, que ce soit des éléments plutôt techniques, mais aussi des éléments juridiques. et comment bénéficier du pentest, quelle est la plus-value finalement de faire un pentest pour son organisation. Alors Brice, est-ce que tu veux bien te présenter ?
Bonsoir, merci encore Nicolas pour l'invitation, c'est vraiment un plaisir de venir partager en ce vendredi soir. Alors je sais que nos cerveaux ne sont pas forcément les plus actifs avec la fin de semaine, mais voilà la présentation. Je m'appelle Brice Ausha, je suis passionné de cybersécurité, le fameux néologisme des termes fourre-tout depuis plus de 15 ans. Mais très spécifiquement, ça fait environ 7 ou 8 ans que je réalise des tests d'intrusion pour les entreprises de toute taille. Et c'est également ce que je continue de faire et de développer avec toute l'équipe de BZDunt depuis novembre 2020, date à laquelle j'ai fondé l'entreprise. Alors il faut savoir qu'on est localisé du côté de Brest, vraiment sur la terre du bout du bout, juste à côté de la mer. Mais on opère néanmoins à l'échelle européenne ou mondiale. puisqu'on est ravis de découvrir plein de métiers et d'aller intervenir dans plein de secteurs d'activité où on apprend énormément de choses.
Alors juste une première question, est-ce qu'il faut être breton pour faire un bon pentester ?
Si c'est accompagné de galettes saucisses, oui. Sinon, non. Il faut avant tout être passionné par contre. Et je vois que tu cherches à ouvrir le débat de ce qu'est peut-être le pentest qu'on pourrait considérer d'autres qualités ou non. Qu'est-ce que c'est que ça ? Qu'est-ce que c'est que la tenue cérébricule ? Oui, parce que je suis breton, ma grand-mère a inventé la galette saucisse. Le Pentes, par contre, si je devais essayer de le définir, effectivement, avec un petit peu de cynisme, ce n'est pas dérouler un scanner de vulnérabilité automatisé. C'est vraiment réaliser un test d'intrusion et de fabriquer des attaques bien spécifiques. Alors, encore à Manon, on n'est pas encore totalement remplacé par les machines, mais bon, qui sait, nous en parlerons peut-être ce soir.
Alors justement, je pense que c'est de l'artisanat de qualité dont on va parler ce soir.
Exactement, c'est ça. C'est apprendre à maîtriser des vecteurs d'attaque qui sont nouveaux et il en sort pléthore tous les jours, que ce soit sur les réseaux sociaux, lâchés brutalement un vendredi soir au moment où les responsables informatiques partent en week-end. Mais c'est de la veille continue et c'est un travail de recherche et de développement très très important. Ça, on l'a vraiment intégré pour toute l'équipe pour se maintenir à jour sur eux. comment notre écosystème et comment toutes les failles évoluent au quotidien.
Alors justement, est-ce que tu pourrais nous faire une petite introduction, une introduction générale au pentest ? Donc déjà, pourquoi on fait des pentests et aussi dans quel cadre juridique ? Parce que ça, c'est quelque chose d'assez important. On ne fait pas des pentests comme ça n'importe comment. Quelle est ta méthodologie ? Comment tu qualifies aussi ce que tu vas trouver ? C'est important parce que le pentest a pour but de trouver des vulnérabilités. Mais comment tu arrives à les qualifier ? Comment tu arrives à les... finalement à les rendre opérables et du moins intelligibles pour la personne qui a demandé ce pentest.
Alors, pourquoi est-ce que les entreprises à date souhaitent réaliser des pentests ? Certaines le font parce que le voisin s'est fait pirater il n'y a pas très longtemps malheureusement, d'autres le font de manière proactive. Dans tous les cas, un pentest, c'est un test d'intrusion où on intervient dans un contexte de proactivité, contrairement au curatif qui est la réponse à un incident par exemple, lorsque le feu est déjà déclenché. Donc le Pentest, les entreprises nous missionnent dans le but de chercher à identifier, pour tous les actifs numériques qu'elles possèdent, ça peut aller d'un serveur à un site exposé sur Internet, à un parc de postes informatiques et de serveurs, à identifier sur ce qu'elles ont mis en place et ce qu'elles utilisent au quotidien, c'est-à-dire la façon dont elles se comportent avec leurs outils informatiques et leurs solutions logicielles, à identifier toutes les failles présentes. Donc les entreprises viennent nous voir pour comprendre ce qui ne va pas, et à identifier pour nous finalement. tous les points d'entrée au sein de ce qu'on appelle leur système d'information. Donc c'est tout ce que je citais, tout équipement qui est connecté à un réseau et qui comporte de l'électronique finalement. Et le pentest, c'est mettre en évidence des failles, les expliquer aux clients avec différents niveaux de vulgarisation en fonction de qui on a en face, et derrière, d'expliquer comment on peut corriger les failles identifiées. Donc ça, de manière très généraliste, voici ce qu'est un pentest et voici pourquoi les entreprises cherchent à le faire. In fine, c'est augmenter leur niveau de sécurité et leur niveau de maturité vis-à-vis de l'outil informatique qu'elles utilisent. Certaines le font plus que d'autres en fonction de leur secteur d'activité. en fonction de leur budget, en fonction du risque de ce qu'elles traitent au quotidien. Un serveur qui sert par exemple à partager les photos des journées du CE de tous les collaborateurs, ce n'est pas aussi risqué qu'une machine qui va comporter 10 ans d'historique de transactionnel bancaire. Donc derrière, cette stratégie de savoir à quel point elles sont vulnérables et comment elles vont améliorer leur sécurité, elles le font aussi en fonction de la gravité. de ce avec quoi elles traitent au quotidien et du budget qu'elles ont, effectivement. Une fois qu'elles se sont posées ce genre de questions, on parlera de méthodologie. Alors, la méthodologie d'un test d'intrusion, c'est un cycle de vie bien défini. Ça commence par ce qu'on appelle de la qualification du périmètre. En gros, lorsqu'on réalise un pentest, pour nous, vulgairement, en interne, c'est ce qu'on appelle le terrain de jeu. C'est ce sur quoi on va aller s'amuser et ce qu'on va s'amuser à aller casser. On échange et qu'on qualifie un client qui nous dit j'ai un besoin, j'ai besoin que vous travailliez pour nous on va lui dire il n'y a pas de problème, il faut faire une qualification périmétrique, c'est-à-dire le nombre précis de sites web, de machines sur lesquelles il souhaite qu'on réalise ses tests d'intrusion Et ça rejoint l'interrogation que tu me demandais sur le volet juridique. Dans le cadre d'une contractualisation, il faut cadrer ce périmètre en disant à quel moment on va intervenir ? D'où est-ce qu'on va attaquer ? Qu'est-ce qu'on va attaquer ? Et ça, il faut le mettre noir sur blanc. Le tout couvert, bien sûr, d'un accord de confidentialité, parce que ça reste des missions qui sont très sensibles.
Alors justement, sur le périmètre, tu as expliqué que tous les objets qui étaient connectés, finalement, pouvaient être pentestés. Donc il y a le cas le plus général des sites web. Alors ça, c'est un grand classique. Est-ce qu'un site web est vulnérable ou pas ? Mais potentiellement, on pourrait très bien faire des pentests aussi sur la machine à café, si d'aventure elle était connectée au réseau.
Exactement. Et aujourd'hui, ça se diversifie énormément. Et là où on le retrouve le plus, C'est lorsqu'on fait le corollaire avec tout ce qui est test d'intrusion physique, parce que c'est aussi un point de notre activité. Et lors des tests d'intrusion physique, on va se servir d'actifs, le fameux IoT, tous les objets surconnectés, mis sur le marché à des vitesses incroyables et qui malheureusement sont généralement au détriment de la sécurité. Tout ce qui est caméra, badgeuse, imprimante, système de suivi de QR code sur des chaînes de production. A ce jour, ce sont des équipements connectés mais qui font partie de ce qu'on appelle le système d'information. Et ce type d'équipement communique avec le reste de ce qui compose un système d'information, c'est-à-dire les postes des collaborateurs, les serveurs utilisés, et constitue généralement, malheureusement, des points d'entrée et des vecteurs d'attaque qu'on peut déployer sur des actifs qui ne sont pas chers, qui ne sont pas sécurisés et qui nous facilitent le fait d'arriver à s'introduire. Donc la machine à café, finalement, oui, ça peut être un vecteur d'entrée au sein d'un gros site industriel par exemple.
Super. Et alors maintenant, est-ce que tu peux nous expliquer juste sur les aspects juridiques ? Alors, on va faire un petit coucou à Marc-Antoine Ledieu, qui est un grand spécialiste de ce genre de sujet, avec lequel tu as collaboré justement pour travailler sur les aspects juridiques. Il a d'ailleurs récemment sorti quelques slides vraiment pour parler de la problématique des pen-tests. Je les rajouterai dans les commentaires de ce podcast, de cet épisode. Mais est-ce que toi, tu peux nous donner ta vision des choses et surtout l'importance finalement de définir les choses correctement d'un point de vue juridique pour te protéger et pour te protéger aussi ton client ?
Alors c'est vraiment un sujet qui est très conséquent, puisqu'effectivement il y a des enjeux juridiques d'une part, qui sont complémentaires avec des enjeux également normatifs. Certains connaissent très bien ou ont bien entendu parler durant 2018 de ce qu'on appelle le RGPD par exemple. Alors pour ceux à qui c'est moins évocateur, c'est le cliché très concret du mail que vous receviez à cette époque-là, en disant êtes-vous bien sûr de vouloir souscrire à notre newsletter ? Mais finalement, sur les dernières années, on a eu et on continue d'avoir des fortes évolutions juridiques et normatives qui expliquent, à l'échelle nationale, donc de la France, ou à l'échelle européenne, comment évolue la cybersécurité. Et comment, au sein du fameux terme cybersécurité On va devoir dans les années à venir considérer la donnée à caractère personnel, c'est-à-dire tous les acteurs qui possèdent mon nom, mon prénom, ou tout ce qui permet de m'identifier de manière directe ou indirecte. Il y a énormément d'évolutions. Et il y a aussi énormément d'évolution sur tout ce qui est la sécurité des systèmes d'information en sens large. Donc on a des directives qui sont publiées, on a des textes de loi qui sont publiés, et on est noyé sous une forme d'information. Mais très concrètement, que faut-il en retenir ? À ce jour, notre métier est légal, est encadré par des approches contractuelles. On signe un contrat de prestation de service avec les clients qui nous mandatent pour réaliser ce genre de test offensif, comme dirait Marc-Antoine parce que... vous êtes des gars qui possédez des armes numériques, très concrètement, mais lorsqu'on signe une prestation de service avec un acteur qui finalement se positionne en tant que mandataire, c'est-à-dire il vient nous voir et nous dit, venez casser mon système d'information, le système d'information en question ne lui appartient pas tout le temps. Parce que l'informatique d'une grosse entreprise, il y a une pluralité d'acteurs qui interviennent dans cet écosystème informatique, des hébergeurs, des infogéreurs, des développeurs qui appartiennent à des entreprises tierces, et... Et la question du juridique, c'est finalement comment arriver à mettre tout le monde d'accord pour donner à des acteurs comme nous le droit de venir réaliser des thèses d'intrusion. Et ça, c'est très compliqué.
Juste pour nos éditeurs, pour illustrer un tout petit peu le problème des différents acteurs, c'est que finalement, on est rarement seul à gérer l'informatique. Il y a beaucoup d'entreprises qui vont déléguer leur activité de prestation informatique à un infogéreur. C'est ça. premier cas, donc il faut se mettre d'accord déjà avec Centinfo GA, mais il y a un cas un petit peu plus compliqué quand même qui est quand on utilise un cloud, puisque là dans ce cas-là comment on fait un pentest sur un cloud aussi ça peut être un petit peu compliqué et encore plus subtil que ça quand on va hacker un site web enfin du moins quand on va pentester un site web quelles sont les conséquences en termes de périmètre et puis surtout... ça peut arriver que malheureusement en faisant le pentest il peut y avoir des petits problèmes de stabilité et on peut éventuellement faire tomber le site et dans ce cas là le prestataire doit être prévenu en avance et qu'il y ait un pentest en cours justement pour le remettre sur pied le plus rapidement possible donc c'est aussi dans entre guillemets important de communiquer avec eux parce qu'en cas de problème ça permet de réagir beaucoup plus vite plutôt que de se poser des questions si c'est une vraie attaque, une fausse. et de réagir avec beaucoup de retard. Donc c'est aussi un intérêt finalement de communiquer pour être beaucoup plus rapide en cas de problème.
Et donc de manière complémentaire, au-delà du fait d'avertir tout le monde, on a aussi, alors je force le cliché, mais beaucoup de paperasses à signer en amont et avant le démarrage d'un tel type de mission. Déjà, lorsqu'on échange avec le client, tout se fait sous couvert de confidentialité. Donc on va signer. Un accord de confidentialité qui garantit qu'on n'ira pas crier de main sur tous les toiles les vulnérabilités qu'on a trouvées chez le client qui nous a mandatés. Ça, c'est des premiers éléments qui sont cohérents et qui semblent assez évidents. Néanmoins, de manière complémentaire, on met en place aussi ce qu'on appelle des accords d'autorisation de conduite de test. C'est-à-dire qu'on va expliquer, nous, tout comme je le disais, d'où on va attaquer, ce qu'on va attaquer et quand on va le faire. Ça permet aussi d'avertir, typiquement... Si on le fait sur des horaires non ouvrables, le week-end par exemple. Donc il faut donner de la visibilité sur les 5 W, donc qui, quand, comment, où et quoi, etc. vont être déroulés les tests. Et de façon complémentaire, il faut aussi souscrire à ce qu'on appelle une RCP en tant que professionnel. Donc comme toute entreprise, il n'y a pas énormément d'acteurs, mais une RCP c'est donc une responsabilité civile professionnelle. Globalement, c'est l'acteur qui va sortir le chéquier si vous cassez une grue à 70 millions d'euros lorsque vous réalisez un pen test. et que vous la cassez accidentellement. Ce sont ce type d'acteurs qui nous protègent, même si on essaye en amont de blinder, de dérisquer la situation le plus possible. Si jamais il arrive quoi que ce soit, ce sont eux qui prennent le relais en cas de négligence de notre part. Au-delà des tournures potentielles juridiques qui pourraient nous retomber dessus si jamais le client se retournait contre nous ou si l'hébergeur se retournait contre son client et indirectement vers nous derrière.
Super. Là, on a abordé un petit peu, on va dire, l'aspect administratif du pentest, la relation avec le client, les aspects juridiques. Mais est-ce que maintenant, tu peux rentrer un petit peu plus dans le sujet et nous expliquer comment se déroule un pentest ? Donc, tu as parlé un petit peu sur la notion de périmètre, donc finalement, ce qu'on appelle le scope, qu'est-ce qui va être inclus dans le test ? Mais quelle va être ta méthodologie ? Est-ce que tu vas travailler en mode de black box ou white box ? Si tu peux nous expliquer un petit peu comment ça fonctionne. et puis surtout quelles sont pour toi les grandes étapes que tu vas mettre en oeuvre lors d'un pentest.
D'accord donc ce que je peux te proposer c'est dans un premier temps de te décrire le cycle de vie d'un pentest tel qu'on l'opère et par la suite sur la partie BlackBock ou grey box, là c'est plus dans une phase de qualification avec le client qu'on l'établit. Sur le cycle de vie, la toute première étape, c'est dès les premiers échanges de qualification commerciale avec un client, c'est effectivement de faire ce cadrage périmétrique. Parce que ce cadrage périmétrique, ça rejoint le sujet administratif, nous permet au passage d'identifier tout l'écosystème d'acteurs qui vont être concernés par ce genre de prestations. Une fois que le cadrage périmétrique est fait, Des fois, on contribue même dès les phases de qualification à aider le client, à lui dire Ah, mais vous avez aussi ce site web-là parce que certains, malheureusement encore à date, ne maîtrisent pas totalement tout ce qu'ils ont en termes d'actifs sur leur système d'information.
Malheureusement, un grand classique, ça.
Ah, je l'avais oublié, ce site web-là, qui est là depuis 10 ans. Ah bah oui, effectivement, il est intéressant. Et donc, la mission démarre ensuite. On utilise, nous-mêmes en interne, des scanners de vulnérabilité automatique. et open source auxquels on contribue et on alimente par exemple avec les failles qu'on découvre manuellement ou au cours de nos sessions de R&D. Ces scanners-là nous permettent de dégrossir les premières vulnérabilités qui vont être trouvées, mais ce n'est pas là où est la valeur ajoutée et ce qu'on considère comme étant l'essence même du pentest.
Alors juste pour nos éditeurs, parce que les scanners de vulnérabilité, c'est un outil qu'on utilise très souvent en sécurité. Et certaines personnes pourraient se dire, pourquoi faire un pentest ? Parce que finalement, il suffit de tourner un scan et c'est suffisant. Alors ça, c'est une erreur. Déjà, qu'est-ce qu'un scan ? Un scan de vulnérabilité, c'est un système automatique qui permet de tester tout un ensemble de scénarios possibles et de voir si les systèmes sont vulnérables ou pas. Donc ça permet déjà d'avoir une bonne vue sur les vulnérabilités existantes. Ça, c'est déjà un premier point. Pourquoi finalement ce n'est pas suffisant ? Et je pense que Brice va nous expliquer finalement la plus-value du pentest. c'est qu'il suffit d'avoir le scan pour trouver les vulnérabilités. Donc du coup, à partir de ce moment-là, si quelqu'un achète juste la licence de scan, il n'y a pas forcément besoin d'avoir beaucoup de connaissances en matière de pentest pour aller trouver des vulnérabilités. En revanche, c'est important pour un client de savoir que ces vulnérabilités existent. Mais ce n'est pas la vraie plus-value finalement des pentests. Est-ce que tu peux me confirmer cette assertion, Brice ?
Je te la confirme effectivement. Aujourd'hui... Nous, on les utilise en interne et en amont du démarrage du Pentest. Pour quelles raisons ? Parce que derrière, on met énormément l'emphase sur la capitalisation et l'internalisation de la compétence au sein de nos clients, chez nos clients. Ce qui fait que c'est généralement des acteurs qui ont un niveau de connaissance, malheureusement, où ils démarrent. Ils sont au niveau zéro de la cybersécurité. C'est souvent un premier exercice. Et les scanners de vulnérabilité automatique, on a plutôt tendance à leur dire, vous ne démarrez avec ça, en autonomie, vous, derrière. Mais sur la valeur du pen test, de ce qu'on va réaliser, des tests manuels, ce sera là où on aura la vraie valeur ajoutée pour les clients. Parce qu'un scanner de vulnérabilité, typiquement, j'ai quelques exemples en tête, il ne va pas savoir illustrer par exemple une fraude financière sur un site e-commerce ou le processus d'achat du dernier canapé en cuir. Il se fait sur neuf étapes, entre l'ajout au panier et la saisie des coordonnées bancaires et la confirmation de commande. Ça, un scanner de vulnérabilité ne sait pas l'exploiter ou trouver des failles dans ce type de fonction. Et c'est là où nous nous intervenons. J'ai donné l'exemple avec un site e-commerce, appliqué à un réseau interne par exemple d'une entreprise, utilisé les dernières vulnérabilités qui sont sorties chez Microsoft ces deux dernières années pour arriver à obtenir ce qu'on appelle en anglais les keys of the kingdom, donc les clés du royaume pour contrôler toute l'infrastructure. L'outil de test automatisé ne sera pas non plus le réaliser malheureusement. Et de manière complémentaire, ce sont également des outils qui très souvent ont ce qu'on appelle des faux positifs, c'est-à-dire qu'ils pensent identifier des vulnérabilités, mais de manière objective et factuelle, ne savent pas démontrer un impact et ne savent pas exploiter ces vulnérabilités et attester d'un impact réel. Lorsqu'on parle d'une faille établie ou d'une vulnérabilité observée lors d'un pen test réalisé de manière artisanale, comme tu l'évoquais, on ne fait pas que mettre en évidence la faille, on prouve l'impact. très concret en termes d'indisponibilité de services, en termes d'atteinte à la confidentialité ou en termes d'atteinte à l'intégrité des données concernées.
Pour résumer, effectivement, si simplement faire tourner un scan de vulnérabilité, c'était suffisant pour faire de la cybersécurité, ce serait tellement simple, mais malheureusement, ce n'est pas tout à fait comme ça que ça se passe. Et par définition, justement, les problèmes de sécurité sont toujours à des endroits auxquels on ne voit pas, c'est toujours dans les angles morts. Et encore une fois, le scanner est un... bon moyen finalement d'identifier des vulnérabilités, et tu le disais très justement, il faut impérativement vérifier aussi que ce soit des vrais positifs, parce que effectivement il y a beaucoup de faux positifs, mais c'est loin d'être suffisant parce que les vrais problèmes, eux, sont toujours dans des endroits qu'on n'a pas vérifiés et qu'on n'a pas encore explorés. Maintenant que tu nous as expliqué un petit peu cet aspect-là, continuons sur le cycle de vie du pentest.
Lorsqu'on démarre le pentest, on a le côté un petit peu très corporate. On n'appelle pas ça des vulnérabilités dans nos rapports, on parle de points d'observation. Généralement, ça fait moins peur à un directeur général au-delà qu'à un responsable informatique, c'est plus corpo. Mais on parle de point d'observation et un point d'observation au sein d'un rapport, comment est-il constitué ? Une faille finalement, c'est ce qu'on appelle une description. Il faut expliquer quelle est la faille, comment on l'exploite, donner de la matière technique pour que le client puisse reproduire en autonomie la faille. En disant, ah donc ils m'ont dit que j'ai une faille là, qu'ils ont exécuté ce code là pour la mettre en évidence. Ok, ils m'ont donné le code, voilà je peux reproduire en autonomie. Donc on décrit la faille dans un premier temps de la manière la plus exhaustive possible. Tout en faisant preuve. au passage de vulgarisation. Parce que cette vulgarisation va être importante pour l'état d'après, qu'on appelle la partie qui concerne l'impact et l'incidence. Une faille, aujourd'hui, il existe des standards de notation, un peu comme à l'école. On donne des notes à la gravité de nos failles. Donc ça varie par exemple de 0 à 10. Et il existe des standards pour calculer la gravité d'une faille. J'en pense à un en particulier qu'on appelle, c'est un angliciste qui s'appelle le scoring CVSS. J'ai complètement oublié la définition de la chronique, mais on renseigne des champs dans ce scoring. Il y a plusieurs champs à remplir, et à la fin, ça nous donne une note de 0 à 10. 0, impact nul, gravité nulle. 10, impact très sévère. Une faille à 10, par exemple, c'est que je me balade sur un site web, et en abusant d'une fonctionnalité sur ce site web, j'arrive à prendre le contrôle de la machine qui fait tourner le site web. Sans être inscrit sur ce site web, par exemple. Donc c'est très grave.
Alors, je crois que le CVSS peut-être être Common Vulnerability Security Score, quelque chose comme un danger là, c'est probable. Alors, en plus de ça, c'est un modèle qui a évolué avec le temps, parce qu'il y avait une première version, une deuxième version, une troisième version. Donc, en plus, ça s'est un peu adapté. Mais effectivement, c'est un moyen très simple de comprendre si une vulnérabilité est importante ou pas. Alors, juste pour nos éditeurs qui sont les moins, peut-être, férus de technique, quand le CVSS est relativement bas, c'est-à-dire quand le score est bas, aux alentours de 1 ou 2, finalement ce sont plutôt des informations qu'on peut récupérer de l'extérieur alors qu'elles ne devraient peut-être pas l'être. Mais ce n'est pas ça qui va vous donner une grande capacité à attaquer un site web. Par contre, plus le CVSS va augmenter, et surtout quand il va être dépassé en neuf, ça veut dire que vous avez la capacité de prendre la main sur une machine à distance et surtout d'être quasiment administrateur de cette machine. Donc là, c'est un peu le but en or. la capacité de prendre la main sur le système d'information, avec une incidence évidemment extrêmement grave, puisque ça, ça veut dire qu'un hacker est capable de prendre la main sur votre système d'information. Donc c'est un moyen simple finalement de synthétiser le risque que représente une vulnérabilité. À savoir aussi, mais je pense que tu vas en parler, c'est que la vulnérabilité dépend aussi de son exposition, c'est-à-dire avoir une vulnérabilité qui est extrêmement forte. mais sur une machine qui n'est pas du tout accessible ou alors de manière très très compliquée, ça mitige le risque, alors que d'avoir la même vulnérabilité mais exposée sur Internet, là ça démultiplie le risque et ça aussi quelque part ça doit apparaître un petit peu dans l'évaluation de ce risque. Je te laisse continuer Brice.
Merci. Donc du coup effectivement au niveau du score CVSS, pour pouvoir obtenir la note finale, il faut renseigner plusieurs champs. Dans les champs qu'on renseigne, Tu viens de l'évoquer, c'est effectivement ce qui va influer sur le score final entre une machine qui est sur un réseau interne où le fait de pouvoir la compromettre, c'est conditionné par le fait qu'on soit nous-mêmes présents sur le réseau interne ou si elle est exposée sur Internet. Déjà, en termes de vraisemblance du risque, on n'est pas sur les mêmes niveaux. Et il y a d'autres critères qui interviennent. À quel point l'attaque est complexe, par exemple ? Est-ce que ça va me coûter 10 000 dollars et 6 mois pour pouvoir exploiter cette faille et arriver à avoir un impact démontré ? Ou est-ce que ça prend 5 minutes et 2 clics de souris ? Il y a aussi des éléments de contexte qui interviennent. Est-ce qu'au niveau de l'application, par exemple, sur laquelle je suis en train d'identifier une faille, est-ce que j'ai besoin d'avoir au préalable créé un compte ? Et c'est là où la notion de boîte noire et de boîte blanche, laquelle on reviendra, est intéressante. Dans tous les cas, les impacts sur lesquels on va évaluer la gravité, c'est les trois vecteurs que j'évoquais tout à l'heure. La notion de confidentialité, est-ce que je peux accéder à de la donnée concernant laquelle je ne suis pas censé accéder ? Si c'est de la donnée personnelle, alors là on prend une dimension européenne avec le RGPD qui est d'autant plus grave, parce qu'on parle d'amende. au-delà de faille. Est-ce que je peux impacter l'intégrité de la donnée ? Finalement, est-ce que sur un site où il y a plein d'utilisateurs qui sont enregistrés, je peux changer le prénom d'un certain Mickaël en Francis, par exemple ? Est-ce que je peux altérer la donnée et changer son intégrité ? Et le dernier volet, alors pour le coup, on a tendance à l'exclure en pentest, parce que ça rejoint le sujet des faits de bord que tu as évoqué tout à l'heure. Est-ce que ma faille me permet de rendre partiellement, voire totalement indisponible, la cible que j'ai en face ? Généralement les clients ne sont pas très friands, surtout si c'est des environnements qui sont en production, c'est-à-dire utilisés au quotidien par tous les collaborateurs de l'entreprise. Donc on essaye de minimiser et d'éviter les vecteurs d'attaque qui vont s'orienter dans cette direction où à l'issue on sait que potentiellement on peut faire s'écrouler le site. Une fois qu'on a renseigné tous ces éléments que je viens de citer, on a la note finale. Et puis on continue durant toute la mission à identifier un maximum de failles, à les décrire, à leur donner une note, mais... Il faut savoir que le score CVSS malheureusement a aussi ses limites. Et on a un exemple très évocateur, et j'en reviens à de la fraude financière sur les sites e-commerce. Ils ne prennent pas en considération ce qu'on pourrait qualifier d'impact business par exemple. Être en capacité sur un site e-commerce qui brasse des millions d'euros tous les jours, d'acheter le dernier iPhone à la mode pour la Modixon de 3 euros, c'est une faille. C'est une faille qu'on peut exploiter. Dans le cadre d'un processus d'achat, par exemple, c'est ce qu'on appelle une faille d'ordre logique. En termes de scoring CVSS, cette typologie de faille, c'est seulement 6,3 sur 10. Donc finalement, elles sont classifiées comme étant moyennes. Mais sauf que le client, lorsque vous lui dites que vous avez trouvé ce genre de faille, il va vous dire que votre méthode de scoring n'est pas adaptée à mes contraintes opérationnelles et métiers. Et ces contraintes opérationnelles et métiers, elles varient et on observe que ça change d'un secteur d'activité à l'autre. que dans un bon pen test, ce n'est pas juste lâcher une note de 0 à 10, c'est aussi réadapter le discours de manière cohérente avec le client, en comprenant comment il travaille au quotidien. Et finalement, la faille, appliquer un secteur d'activité à l'autre, elle ne va pas avoir les mêmes incidences et impacts. Et c'est pour ça qu'il faut toujours le surcharger avec une explication cohérente de comment ça va porter préjudice aux clients qui mandatent l'opération. Et ces aspects-là, il est très important de les faire apparaître dans le rapport parce que ça sert à tous les acteurs. et tout l'écosystème du client. Et puis derrière, il faut donner des solutions. Donc sur cette dernière étape, pour donner des solutions, il va falloir s'adresser à plusieurs acteurs. Ce qu'on appelle le DSI ou le RSSI, donc le directeur des systèmes d'information ou le responsable de la sécurité des systèmes d'information, c'est très souvent les acteurs chez le client qui vont vous mandater pour ce genre d'opération parce qu'ils ont une appétence technique ou ils ont une appétence stratégique, ou ils connaissent. comment la cybersécurité au sein de leur entreprise doit être menée ou doit évoluer. Sauf que derrière, ces acteurs-ci, ils interagissent avec des directeurs financiers, avec leurs directeurs généraux, ils négocient des budgets pour pouvoir faire vivre leurs équipes, sécurité ou faire appel à des prestataires externes. Lorsqu'on définit la remédiation, il faut à la fois répondre à ce qu'attendent les acteurs techniques qui veulent du très concret, comment je corrige la faille avec le joli tuto ou la ressource gratuite. On essaie quand même de pousser un maximum vers la ressource publique fournie par des chercheurs, soit par des représentants étatiques, comme l'ANSI par exemple, l'Agence Nationale de la Sécurité des Systèmes d'Information. Mais aussi, il faut savoir s'adresser de manière vulgarisée à un directeur général ou à un directeur financier qui n'a pas cette cascade technique et qui doit pouvoir comprendre en quoi ces failles peuvent avoir un impact sur ce qui l'intéresse directement, son business et son activité, ou à défaut, pour le directeur financier. ces budgets sur les années à venir et sur l'année en cours.
Donc, c'est-à-dire que concrètement, au-delà des aspects purement techniques que tu as évoqués, c'est-à-dire trouver une vulnérabilité, la catégoriser correctement. Alors, trouver en plus une vulnérabilité, ça ne veut pas simplement dire la trouver d'un scanner, ce serait trop facile, c'est la chercher déjà, la trouver. Donc, ça nécessite justement une certaine connaissance technique. pour les pentesters. Et au-delà de ça, c'est aussi la mettre en perspective, comme tu l'as très bien expliqué, dans le contexte de l'entreprise, par rapport à des contraintes financières, pour qu'ensuite le client puisse faire son choix par rapport à la remédiation. Alors, juste pour en revenir un tout petit peu plus sur l'aspect du métier de pentester, selon toi, quelles sont les qualités finalement pour être un bon pentester ? sachant qu'en plus le métier est extrêmement vaste comme on l'a un petit peu expliqué en introduction on pourrait faire des pentests sur des machines à café il y a peut-être des pentesters qui sont spécialisés sur ce genre de choses plutôt sur les IOT et puis peut-être d'autres qui sont plus spécialisés sur d'autres domaines comme par exemple le web et toi dans ton métier justement comment tu arrives à sélectionner des collaborateurs ou quels sont les critères importants pour toi pour les pentesters peut-être qu'on a dans les auditeurs de ce podcast... des gens qui s'intéressent à ce métier et qui veulent peut-être en faire leur métier définitivement. Pour toi, quels sont les critères et qu'est-ce qui est important pour toi dans le métier du pentester ?
Alors, être un bon pentester, par rapport à la manière dont j'ai grandi et aussi par rapport à toute la culture de ce que j'ai découvert de cet univers qu'est la cybersécurité ou même plus spécifiquement du hacking, dans tous les cas, il faut que ça se traduise par de la passion. Enfin, ça c'est vraiment la réponse qui vient des tripes que je te donne. totalement subjectif de comment je vis la chose. Lorsqu'on démarre un test d'intrusion, que ce soit sur du web ou sur un réseau interne d'une infrastructure, d'une certaine manière, il y a l'ego qui rentre en jeu. C'est, on veut y aller et on veut repartir qu'une fois que vraiment, enfin, on veut arrêter la mission une fois qu'on a vraiment tout trouvé. Alors là, généralement, au niveau de la gestion de projet, nous, en interne, c'est catastrophique. C'est surconsommation sur les enveloppes projet de ce qu'on a prévu par rapport au temps où on y passe. Mais bon, c'est la passion qui parle avant tout. C'est arriver à trouver le saint Graal. Si c'est un site web, c'est arriver à prendre le contrôle de la machine. Et si on n'y arrive pas, trouver les failles les plus proches en termes de gravité que celles que je viens de citer en exemple. Sur un réseau interne, c'est de ne pas s'arrêter tant qu'on n'a pas les super droits administrateurs sur toute l'infrastructure interne. C'est y aller avec l'ego et cet objectif en tête parce que c'est ce qui va motiver l'équipe. On ne travaille jamais sans être à minima en binôme par exemple. Parce que derrière en termes d'émulsion, d'échange des idées, de blocage de chacun, c'est là où tu as de la dynamique. Et finalement c'est aller trouver la petite faille qui n'a été trouvée par personne. Ou alors à défaut, trouver dans le cadre d'une prestation de service de Pentest, une faille qui n'a jamais été trouvée sur un produit qui est connu et utilisé de tous. Donc là tu es sur une faille qu'on dit zéro day. C'est ça la satisfaction qui fait que tu te dis, on a fait un super taf. Au-delà de ce volet technique, il y a aussi l'aspect de la qualité du reporting. Je pense qu'elle est trop souvent négligée, mais un bon rapport de Pentest sur un test d'intrusion interne, ce n'est pas des copiés-collés de templates de remédiation, de modèles de correctifs que tu t'es fait, parce que derrière tu ne vas pas les adapter soit à ton client, soit à ton secteur. secteur d'activité de celui-ci. C'est des livrables qui font plusieurs centaines de pages sur lequel il n'y a que de la donnée pertinente et on n'est pas à jouer à mettre des encarts ou des entêtes de présentation de réexplication de ce qu'on fait. Non, c'est que de la donnée sur laquelle tu sais qu'elle va être utilisée soit par le client, soit appropriée par l'un des acteurs de son écosystème comme on l'évoquait tout à l'heure, développeur, infogéreur, hébergeur, et que clé en main, sans même avoir à refaire une réunion de restitution par exemple ou de réexplication. ils vont comprendre comment résoudre cette problématique. Et la qualité du reporting, dans un bon français, pour moi, c'est aussi un des critères qualifiants et qui est finalement l'achèvement de ton travail. Lorsque tu fais six mois de recherche et que tu découvres une superbe innovation, si tu négliges la thèse que tu comptes publier et montrer à tout le monde, c'est dommage. C'est finalement la cerise sur le gâteau qui manque à la fin de ce projet.
En fin de compte, tu as fait, sans le savoir ou peut-être pas d'ailleurs, une aparté par rapport à un autre métier, puisque tu as parlé des chercheurs en cybersécurité, donc le fait de faire de la recherche. Mais il y a un autre métier qui est un petit peu annexe au métier de pentester, qui est le métier de bug bounty, enfin l'activité de bug bounty. Est-ce que tu peux nous expliquer un petit peu la différence entre les deux ? est-ce que c'est complémentaire ou pas ? quand est-ce qu'il faut qu'on fasse du pentest ? quand est-ce qu'il vaut mieux faire du bug bounty ? parce que je pense que enfin je crois savoir que toi aussi tu as fait du bug bounty dans ton passé voilà est-ce que tu penses que ça va être utile aussi pour tes clients de poursuivre finalement leur maturité avec le bug bounty ? Et puis, d'une certaine manière, si toi tu fais ton boulot correctement, le bug bounty derrière, il n'a pas beaucoup à faire. Donc, est-ce que le Pentest va un petit peu tuer le bug bounty ? Est-ce que tu peux nous donner un petit peu ta vision par rapport à ça ?
Alors, le bug bounty, anglicisme qui nous vient d'outre-Atlantique, puisque ça se développe progressivement sur le territoire européen, mais c'est vrai qu'historiquement, c'est plutôt les Américains qui l'ont assez vite mis en place. C'est vraiment le cliché du chasseur de primes. On peut faire l'analogie avec l'époque du Far West, avec le grand méchant Joe Dalton qui était recherché moyennant une récompense de 5000 dollars. Donc c'est un modèle économique déjà qui est différent du Pentest. Lorsqu'on réalise un Pentest pour un client, on va dire voilà, voici votre terrain de jeu. Nous on peut mettre tant de personnes sur le sujet et on va vous vendre une prestation de service qui va se quantifier en jour homme. Le Bug Bounty c'est un modèle économique différent.
Alors justement, excuse-moi, parce que j'étais un tout petit peu trop vite dans mon explication, si je n'ai pas introduit le sujet du bug bounty pour nos éditeurs. Donc, le pentest, c'est une activité qui est contractée avec une entreprise, comme Bezenun par exemple, sur un certain périmètre, pendant un certain temps, avec un certain budget. Et à la fin du projet, enfin de l'activité de pentest, il y a un rapport. dont Brice nous a parlé, et ce rapport, un petit peu la conclusion finalement, et le délivrable principal de cette activité. Alors que le programme de Bug Booty est beaucoup plus large, c'est-à-dire que généralement on passe via une plateforme, qu'une des plus connues en France est Yesuiac, et puis on va sélectionner des hunters, et on va leur proposer finalement un certain périmètre, et ces hunters vont essayer de rentrer dans le système. Et s'ils y arrivent, ils sont récompensés, alors que s'ils n'y arrivent pas, ils ne le sont pas. L'une des différences avec le pen test, c'est la durée. C'est-à-dire que le pen test est fait pendant une certaine période de temps, et donc à un instant T, on a une image, on va dire, très fine des failles de sécurité qui peuvent exister dans le système d'information, alors que le bug bounty sont souvent beaucoup plus longs dans le temps, puisqu'on peut avoir des programmes de bug bounty qui sont quasi perpétuels. Alors, excuse-moi, juste... parce que j'ai réintroduit le sujet pour nos auditeurs, et donc je te redonne la parole pour continuer à nous expliquer la différence entre Pentest et Bug Bounty, et selon toi, quels sont les avantages et les inconvénients des deux ?
Merci. Sur le volet Bug Bounty, effectivement, c'est aussi un modèle économique qui est différent, puisque la gratification se fait finalement à la faille. On trouve une faille, si elle est validée et avérée, donc on est toujours sur du factuel, finalement, comme pour le Pentest, comme pour un Pentest de qualité. Tu m'as demandé de définir avant. En fonction de la gravité de la faille, on est payé plus ou moins. Donc il y a une grille de rémunération pour une faille faible, c'est peut-être, je ne sais pas, 200 euros, 1000 euros pour une faille moyenne, 2000 euros pour une faille haute et 5000 euros pour une faille critique. Les grilles de rémunération varient en fonction de la taille des entreprises et de leur niveau de maturité, cybersécurité d'une part et puis combien de temps ils font du bug bounty également. Depuis plus un programme de bug bounty. à de l'historique et finalement plus il devient dur de trouver des failles très critiques parce que beaucoup de gens sont passés dessus on parle là de programme qui tourne 24 24 7 jours sur 7 donc n'importe qui à quel moment de la journée de la semaine ou du week-end peut s'y atteler et essayer de découvrir des failles alors
avec un tout petit bémol quand même qui est que les systèmes d'information des entreprises évoluent avec le temps quand on fait un pen test un instant t on est quasiment sûr des vulnérabilités à ce moment là Mais il ne faut pas oublier que les systèmes vivent. Il peut y avoir des erreurs, des mauvaises manipulations qui sont faites au niveau des systèmes qui vont créer des failles de sécurité qui peuvent éventuellement être détectées par les bug bounties.
C'est ça, c'est la partie vraiment photographie à un instant T pour le pentest d'une part et plus un modèle de surveillance continue sur le bug bounty, sur tout un périmètre. C'est toujours la notion de périmètre qui revient. Les deux, je les perçois de manière totalement complémentaire. avec un holà tout de même vis-à-vis du bug bounty, ne jamais avoir fait de pentest et démarré directement en bug bounty, ça va être un carnage. Ça va être un carnage parce que sur le bug bounty, vous vous retrouvez avec des acteurs qui, au lieu d'avoir une mission à réaliser, comme tu le disais tout à l'heure, sur un temps réduit d'une semaine par exemple, peuvent très bien prendre le temps de faire un travail de recherche. Quand je pense par exemple à certains GAFAM qui ont des programmes monstrueux en termes de gratification financière, on peut prendre le temps. de risquer peut-être six mois de recherche pour aller atteindre le jackpot en termes de rémunération, tout en prenant le risque au passage de potentiellement ne rien trouver. Ce qui fait que du coup, ça va souvent être des vulnérabilités qui sont bien plus pointues et d'un niveau de complexité supérieur qui peuvent être mis en exergue. à travers le spectre du bug bounty. Mais ce qui est bien au passage, c'est que même si elles sont plus complexes, la politique de transparence du bug bounty, généralement vu que ce sont des entreprises avec un niveau de maturité certain, parce qu'ils ont déjà l'habitude du pen test, et ils viennent compléter avec une surveillance continue à travers le prisme du bug bounty, de par leur niveau de maturité, beaucoup d'entreprises commencent à s'orienter vers une politique de transparence. J'aurais jamais imaginé par exemple, que puis à... il y a 10 ou 15 ans quand je démarrais, que des entreprises comme Microsoft, par exemple, un jour nous autorisent à publier nos travaux de recherche de vulnérabilité trouvée chez eux, une fois que celles-ci ont été corrigées. Et c'est génial parce que ça, on retrouve aussi l'esprit même du hacking, qui est un mantra auquel on tient énormément, qui est le sharing is caring Quand on trouve une faille innovante, mais qu'on est sous couvert de l'accord de confidentialité, qu'on ne peut pas en faire bénéficier la communauté à des fins de recherche et d'amélioration parce qu'un père... Un pair a aussi de la connaissance sur le sujet et va améliorer nos propres découvertes. Le bug bounty, avec sa stratégie de transparence, alors qu'elle n'est pas totale parce que certaines ne le permettent pas en cours, fait avancer la recherche et la découverte de nouveaux vecteurs d'attaque bien plus pointus. Et c'est pour cette raison qu'à titre personnel, on recrute majoritairement des hunters au sein de BZ2. Parce qu'on est sur des collaborateurs qui vont déjà avoir un niveau de résilience certain. Quand on se casse les dents six mois avec le syndrome de l'imposteur, émotionnellement, c'est très challengeant et on pourrait faire l'analogie avec le poker. Il faut arriver à vivre avec l'adrénaline de la découverte d'une faille et de la prime qu'on touche et puis de la redescente derrière qui dit bon ben voilà, j'ai fini, sur quoi je passe maintenant comme nouvelle recherche ? Et ça développe énormément la résilience et ça fait prendre beaucoup de recul par rapport au syndrome de l'imposteur. Et ces valeurs-là appliquées au Pentest, moi je trouve ça génial.
Mais dis-moi, parce que Bug Booty, c'est-à-dire Chaser de Prime, là tu viens parler de la fièvre de l'or, ça fait un peu Far West quand même tout ça.
Très clairement, oui. En termes de dénomination de l'activité, c'est clairement inspiré du Far West. Tu vois, le monde se divise en deux catégories. Ceux qui ont un pistolet chargé et ceux qui creusent. Toi, tu creuses.
Ok. Alors justement, si maintenant on parle un petit peu de l'avenir, parce qu'on a tracé les grands traits des pentests, et je pense que les auditeurs maintenant ont bien compris à quoi ça servait, comment on pouvait compléter aussi l'activité de pentesting avec un programme de bug bounty, selon toi, comment ton métier va évoluer justement ? Est-ce que ça va continuer à être un petit peu ce Far West ? Comment tu vois l'avenir ? Est-ce que certaines choses vont se démocratiser ? Est-ce que tu penses que l'intelligence artificielle, par exemple, va améliorer certaines choses ? On a parlé, par exemple, des scanners que tu utilisais pour trouver un petit peu, déjà, on va dire, les vulnérabilités les plus basiques. Mais est-ce que tu penses que demain, par exemple, on peut peut-être utiliser de l'IA pour aller automatiquement trouver des failles potentielles dans du code source ? Ou alors, est-ce qu'il y a peut-être d'autres sources ou d'autres outils qui, demain, permettront d'améliorer l'open test ? et ou le bug bounty ?
C'est déjà le cas d'une certaine manière. Je me dis que les outils que j'utilise à l'heure actuelle ou que l'équipe utilise lorsqu'on réalise un pen test, lorsqu'on réalise de la recherche en bug bounty, c'est des outils qui, il y a 10 ans, n'existaient pas, où les opérations étaient plus, effectivement, manuelles, mais on est en train d'industrialiser au fur et à mesure qu'on partage la connaissance, que les générations se succèdent, et c'est ce qui fait que le métier évolue. le fait de me dire dans dix ans j'aurai plus de travail, je suis pas inquiet. Pour quelles raisons ? Parce qu'effectivement on voit l'intelligence artificielle qui se développe, alors de là à crier sur tous les toits Pentest is dead je reste très modéré dans le propos, mais en fait je le vois plus comme un atout qu'un adversaire. Parce que nous-mêmes, si demain sur les tâches redondantes, un peu plus pénibles de notre activité au quotidien, on peut arriver à servir Par exemple, de l'intelligence artificielle, et on l'a vu assez récemment avec ce qui se passe depuis trois semaines avec l'outil gratuit qui a été mis à disposition, qu'est ChatGPT, pulsé par une association, je crois que ce n'est pas une entreprise qui s'appelle OpenAI. On l'a utilisé et on l'a confronté à ce qu'on fait au quotidien. Effectivement, on s'est rendu compte que sur certains aspects techniques, ça pouvait être un allié. Certains en interne l'appellent même un peu l'esclave. mais qui nous améliore notre confort et notre travail au quotidien pour se concentrer sur ce qu'à date, elle n'est pas capable de faire. Et puis même si dans six mois, de par ses évolutions, elle devenait capable de faire des choses où là on se sentirait dépassé. Au final, on lui confierait ce qu'on fait, mais plutôt que de s'attaquer à des systèmes d'information, si elle le fait très bien pour nous demain, on va juste déplacer le problème. Le nouveau challenge sera de trouver des vulnérabilités au sein même de l'intelligence artificielle. Notre état d'esprit ne changera pas. On nous donne un nouveau jouet technologique qui évolue. Et dans l'informatique, le cycle de vie d'une technologie, je crois que c'est cinq ans en moyenne. Il va falloir qu'on grandisse avec et qu'on continue d'évoluer avec. Si aujourd'hui on casse des machines Windows par exemple et des sites web, si dans 5 ans ce sera des intelligences artificielles qui nous feront à notre place, on se concentrera sur l'intelligence artificielle. Hello, Ausha.
Super. Écoute, je pense qu'on a bien fait le tour de ce que c'est qu'un pentest. Est-ce que tu peux peut-être nous rajouter le mot de la fin ou quelque chose qui te semble être pertinent par rapport au pentest pour que tout le monde comprenne l'importance de ce genre de choses ?
Aujourd'hui, au-delà d'être effectivement le fondateur de l'entreprise, Je continue de conserver la casquette et je sais que ça... Je fais un clin d'œil à Marc-Antoine qui va s'arracher les cheveux quand il va entendre que je tiens ce genre de propos. Je me désigne en tant que hacker éthique. On a eu un très long débat sur ce qu'est un hacker éthique et l'oxymore que représente ce terme. Je suis un passionné d'informatique, dont le terrain de jeu, c'est Internet. Internet, pour moi, c'est une boîte de Lego sur laquelle il n'y a pas de manuel et un nombre de pièces illimitées. Le métier de pentester, c'est de se lever le matin et de se dire... quelle nouvelle fabrication Lego je pourrais faire, ou à défaut, on me confie un nouveau jeu d'énigmes, comment je pourrais le résoudre. C'est un métier de passionné qui est assez éprouvant parce qu'il demande un temps dédié à l'apprentissage qui est bien supérieur à ce que malheureusement encore à ce jour on nous enseigne dans les écoles ou dans les cursus. Alors même s'il y a une transition qui est en cours, on a un long chemin à parcourir. Mais c'est un métier dans lequel vous vous épanouirez à condition que vous soyez passionné et curieux. Donc apprenez à apprendre et à partir de là, en tant que pentester, vous n'aurez plus de limites parce que chaque jour sera nouveau et les failles que vous découvrirez, même au bout de 10 ans d'activité, je ne me suis jamais dit une seule fois, je m'ennuie.
Je crois que tu as tout dit par rapport au métier de la cybersécurité parce que c'est des métiers qui sont extrêmement durs, mais tellement passionnants. Et justement, quand on est passionné, c'est ça qui nous fait tenir et c'est ça qui nous fait justement... progresser dans le métier avec une envie évidemment de découvrir des nouvelles choses et toujours de mieux faire. Et ce, quel que soit aussi son rôle en matière de cybersécurité, que ce soit des gens qui travaillent plutôt dans le pentest ou que ce soit des gens qui travaillent plutôt dans l'organisation. Tous les métiers qui sont liés à la cybersécurité sont vraiment des métiers de passion. En tout cas, Brice, je te remercie. Je te souhaite de jouer encore très très longtemps avec cette énorme boîte de Lego. Et je te souhaite bon courage dans tes activités de Pentest. J'espère qu'on aura l'occasion de se revoir, peut-être dans des conférences ou des choses plutôt liées à cette activité. Et donc, pour finir, comme vous le savez, pour certaines personnes, la cybersécurité est un enjeu de vie ou de mort. C'est bien plus sérieux que ça.
Description
Pour tout comprendre des tests de pénétration avec Brice AUGRAS de la société BZHunt.
Présentation de Marc-Antoine LEDIEU (Technique et droit du numérique) https://technique-et-droit-du-numerique.fr/438-le-droit-au-pen-test-sur-l-hebergeur-du-pen-teste-en-2023/
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, j'ai ramené un copain. Bonsoir et bienvenue dans la cybersécurité expliquée à ma grand-mère. C'est un numéro spécial, un hors-série de nouveau, et ce soir on va adresser un point très particulier qu'on appelle le pentest, les tests de pénétration. Alors ma grand-mère pensait que c'était quelque chose de sexuel, mais rassurez-vous, ça n'a rien à voir. Pour parler des pentests, le mieux, c'est d'inviter un pentester. Ce soir, j'ai l'avantage et l'honneur d'accueillir Brice Ogra, qui est un pentester et qui fait partie de la société. D'ailleurs, il est le président de la société BZ Hunt. Il va justement nous parler de son métier, de faire du pentest, et de tous les éléments importants pour faire un pentest, que ce soit des éléments plutôt techniques, mais aussi des éléments juridiques. et comment bénéficier du pentest, quelle est la plus-value finalement de faire un pentest pour son organisation. Alors Brice, est-ce que tu veux bien te présenter ?
Bonsoir, merci encore Nicolas pour l'invitation, c'est vraiment un plaisir de venir partager en ce vendredi soir. Alors je sais que nos cerveaux ne sont pas forcément les plus actifs avec la fin de semaine, mais voilà la présentation. Je m'appelle Brice Ausha, je suis passionné de cybersécurité, le fameux néologisme des termes fourre-tout depuis plus de 15 ans. Mais très spécifiquement, ça fait environ 7 ou 8 ans que je réalise des tests d'intrusion pour les entreprises de toute taille. Et c'est également ce que je continue de faire et de développer avec toute l'équipe de BZDunt depuis novembre 2020, date à laquelle j'ai fondé l'entreprise. Alors il faut savoir qu'on est localisé du côté de Brest, vraiment sur la terre du bout du bout, juste à côté de la mer. Mais on opère néanmoins à l'échelle européenne ou mondiale. puisqu'on est ravis de découvrir plein de métiers et d'aller intervenir dans plein de secteurs d'activité où on apprend énormément de choses.
Alors juste une première question, est-ce qu'il faut être breton pour faire un bon pentester ?
Si c'est accompagné de galettes saucisses, oui. Sinon, non. Il faut avant tout être passionné par contre. Et je vois que tu cherches à ouvrir le débat de ce qu'est peut-être le pentest qu'on pourrait considérer d'autres qualités ou non. Qu'est-ce que c'est que ça ? Qu'est-ce que c'est que la tenue cérébricule ? Oui, parce que je suis breton, ma grand-mère a inventé la galette saucisse. Le Pentes, par contre, si je devais essayer de le définir, effectivement, avec un petit peu de cynisme, ce n'est pas dérouler un scanner de vulnérabilité automatisé. C'est vraiment réaliser un test d'intrusion et de fabriquer des attaques bien spécifiques. Alors, encore à Manon, on n'est pas encore totalement remplacé par les machines, mais bon, qui sait, nous en parlerons peut-être ce soir.
Alors justement, je pense que c'est de l'artisanat de qualité dont on va parler ce soir.
Exactement, c'est ça. C'est apprendre à maîtriser des vecteurs d'attaque qui sont nouveaux et il en sort pléthore tous les jours, que ce soit sur les réseaux sociaux, lâchés brutalement un vendredi soir au moment où les responsables informatiques partent en week-end. Mais c'est de la veille continue et c'est un travail de recherche et de développement très très important. Ça, on l'a vraiment intégré pour toute l'équipe pour se maintenir à jour sur eux. comment notre écosystème et comment toutes les failles évoluent au quotidien.
Alors justement, est-ce que tu pourrais nous faire une petite introduction, une introduction générale au pentest ? Donc déjà, pourquoi on fait des pentests et aussi dans quel cadre juridique ? Parce que ça, c'est quelque chose d'assez important. On ne fait pas des pentests comme ça n'importe comment. Quelle est ta méthodologie ? Comment tu qualifies aussi ce que tu vas trouver ? C'est important parce que le pentest a pour but de trouver des vulnérabilités. Mais comment tu arrives à les qualifier ? Comment tu arrives à les... finalement à les rendre opérables et du moins intelligibles pour la personne qui a demandé ce pentest.
Alors, pourquoi est-ce que les entreprises à date souhaitent réaliser des pentests ? Certaines le font parce que le voisin s'est fait pirater il n'y a pas très longtemps malheureusement, d'autres le font de manière proactive. Dans tous les cas, un pentest, c'est un test d'intrusion où on intervient dans un contexte de proactivité, contrairement au curatif qui est la réponse à un incident par exemple, lorsque le feu est déjà déclenché. Donc le Pentest, les entreprises nous missionnent dans le but de chercher à identifier, pour tous les actifs numériques qu'elles possèdent, ça peut aller d'un serveur à un site exposé sur Internet, à un parc de postes informatiques et de serveurs, à identifier sur ce qu'elles ont mis en place et ce qu'elles utilisent au quotidien, c'est-à-dire la façon dont elles se comportent avec leurs outils informatiques et leurs solutions logicielles, à identifier toutes les failles présentes. Donc les entreprises viennent nous voir pour comprendre ce qui ne va pas, et à identifier pour nous finalement. tous les points d'entrée au sein de ce qu'on appelle leur système d'information. Donc c'est tout ce que je citais, tout équipement qui est connecté à un réseau et qui comporte de l'électronique finalement. Et le pentest, c'est mettre en évidence des failles, les expliquer aux clients avec différents niveaux de vulgarisation en fonction de qui on a en face, et derrière, d'expliquer comment on peut corriger les failles identifiées. Donc ça, de manière très généraliste, voici ce qu'est un pentest et voici pourquoi les entreprises cherchent à le faire. In fine, c'est augmenter leur niveau de sécurité et leur niveau de maturité vis-à-vis de l'outil informatique qu'elles utilisent. Certaines le font plus que d'autres en fonction de leur secteur d'activité. en fonction de leur budget, en fonction du risque de ce qu'elles traitent au quotidien. Un serveur qui sert par exemple à partager les photos des journées du CE de tous les collaborateurs, ce n'est pas aussi risqué qu'une machine qui va comporter 10 ans d'historique de transactionnel bancaire. Donc derrière, cette stratégie de savoir à quel point elles sont vulnérables et comment elles vont améliorer leur sécurité, elles le font aussi en fonction de la gravité. de ce avec quoi elles traitent au quotidien et du budget qu'elles ont, effectivement. Une fois qu'elles se sont posées ce genre de questions, on parlera de méthodologie. Alors, la méthodologie d'un test d'intrusion, c'est un cycle de vie bien défini. Ça commence par ce qu'on appelle de la qualification du périmètre. En gros, lorsqu'on réalise un pentest, pour nous, vulgairement, en interne, c'est ce qu'on appelle le terrain de jeu. C'est ce sur quoi on va aller s'amuser et ce qu'on va s'amuser à aller casser. On échange et qu'on qualifie un client qui nous dit j'ai un besoin, j'ai besoin que vous travailliez pour nous on va lui dire il n'y a pas de problème, il faut faire une qualification périmétrique, c'est-à-dire le nombre précis de sites web, de machines sur lesquelles il souhaite qu'on réalise ses tests d'intrusion Et ça rejoint l'interrogation que tu me demandais sur le volet juridique. Dans le cadre d'une contractualisation, il faut cadrer ce périmètre en disant à quel moment on va intervenir ? D'où est-ce qu'on va attaquer ? Qu'est-ce qu'on va attaquer ? Et ça, il faut le mettre noir sur blanc. Le tout couvert, bien sûr, d'un accord de confidentialité, parce que ça reste des missions qui sont très sensibles.
Alors justement, sur le périmètre, tu as expliqué que tous les objets qui étaient connectés, finalement, pouvaient être pentestés. Donc il y a le cas le plus général des sites web. Alors ça, c'est un grand classique. Est-ce qu'un site web est vulnérable ou pas ? Mais potentiellement, on pourrait très bien faire des pentests aussi sur la machine à café, si d'aventure elle était connectée au réseau.
Exactement. Et aujourd'hui, ça se diversifie énormément. Et là où on le retrouve le plus, C'est lorsqu'on fait le corollaire avec tout ce qui est test d'intrusion physique, parce que c'est aussi un point de notre activité. Et lors des tests d'intrusion physique, on va se servir d'actifs, le fameux IoT, tous les objets surconnectés, mis sur le marché à des vitesses incroyables et qui malheureusement sont généralement au détriment de la sécurité. Tout ce qui est caméra, badgeuse, imprimante, système de suivi de QR code sur des chaînes de production. A ce jour, ce sont des équipements connectés mais qui font partie de ce qu'on appelle le système d'information. Et ce type d'équipement communique avec le reste de ce qui compose un système d'information, c'est-à-dire les postes des collaborateurs, les serveurs utilisés, et constitue généralement, malheureusement, des points d'entrée et des vecteurs d'attaque qu'on peut déployer sur des actifs qui ne sont pas chers, qui ne sont pas sécurisés et qui nous facilitent le fait d'arriver à s'introduire. Donc la machine à café, finalement, oui, ça peut être un vecteur d'entrée au sein d'un gros site industriel par exemple.
Super. Et alors maintenant, est-ce que tu peux nous expliquer juste sur les aspects juridiques ? Alors, on va faire un petit coucou à Marc-Antoine Ledieu, qui est un grand spécialiste de ce genre de sujet, avec lequel tu as collaboré justement pour travailler sur les aspects juridiques. Il a d'ailleurs récemment sorti quelques slides vraiment pour parler de la problématique des pen-tests. Je les rajouterai dans les commentaires de ce podcast, de cet épisode. Mais est-ce que toi, tu peux nous donner ta vision des choses et surtout l'importance finalement de définir les choses correctement d'un point de vue juridique pour te protéger et pour te protéger aussi ton client ?
Alors c'est vraiment un sujet qui est très conséquent, puisqu'effectivement il y a des enjeux juridiques d'une part, qui sont complémentaires avec des enjeux également normatifs. Certains connaissent très bien ou ont bien entendu parler durant 2018 de ce qu'on appelle le RGPD par exemple. Alors pour ceux à qui c'est moins évocateur, c'est le cliché très concret du mail que vous receviez à cette époque-là, en disant êtes-vous bien sûr de vouloir souscrire à notre newsletter ? Mais finalement, sur les dernières années, on a eu et on continue d'avoir des fortes évolutions juridiques et normatives qui expliquent, à l'échelle nationale, donc de la France, ou à l'échelle européenne, comment évolue la cybersécurité. Et comment, au sein du fameux terme cybersécurité On va devoir dans les années à venir considérer la donnée à caractère personnel, c'est-à-dire tous les acteurs qui possèdent mon nom, mon prénom, ou tout ce qui permet de m'identifier de manière directe ou indirecte. Il y a énormément d'évolutions. Et il y a aussi énormément d'évolution sur tout ce qui est la sécurité des systèmes d'information en sens large. Donc on a des directives qui sont publiées, on a des textes de loi qui sont publiés, et on est noyé sous une forme d'information. Mais très concrètement, que faut-il en retenir ? À ce jour, notre métier est légal, est encadré par des approches contractuelles. On signe un contrat de prestation de service avec les clients qui nous mandatent pour réaliser ce genre de test offensif, comme dirait Marc-Antoine parce que... vous êtes des gars qui possédez des armes numériques, très concrètement, mais lorsqu'on signe une prestation de service avec un acteur qui finalement se positionne en tant que mandataire, c'est-à-dire il vient nous voir et nous dit, venez casser mon système d'information, le système d'information en question ne lui appartient pas tout le temps. Parce que l'informatique d'une grosse entreprise, il y a une pluralité d'acteurs qui interviennent dans cet écosystème informatique, des hébergeurs, des infogéreurs, des développeurs qui appartiennent à des entreprises tierces, et... Et la question du juridique, c'est finalement comment arriver à mettre tout le monde d'accord pour donner à des acteurs comme nous le droit de venir réaliser des thèses d'intrusion. Et ça, c'est très compliqué.
Juste pour nos éditeurs, pour illustrer un tout petit peu le problème des différents acteurs, c'est que finalement, on est rarement seul à gérer l'informatique. Il y a beaucoup d'entreprises qui vont déléguer leur activité de prestation informatique à un infogéreur. C'est ça. premier cas, donc il faut se mettre d'accord déjà avec Centinfo GA, mais il y a un cas un petit peu plus compliqué quand même qui est quand on utilise un cloud, puisque là dans ce cas-là comment on fait un pentest sur un cloud aussi ça peut être un petit peu compliqué et encore plus subtil que ça quand on va hacker un site web enfin du moins quand on va pentester un site web quelles sont les conséquences en termes de périmètre et puis surtout... ça peut arriver que malheureusement en faisant le pentest il peut y avoir des petits problèmes de stabilité et on peut éventuellement faire tomber le site et dans ce cas là le prestataire doit être prévenu en avance et qu'il y ait un pentest en cours justement pour le remettre sur pied le plus rapidement possible donc c'est aussi dans entre guillemets important de communiquer avec eux parce qu'en cas de problème ça permet de réagir beaucoup plus vite plutôt que de se poser des questions si c'est une vraie attaque, une fausse. et de réagir avec beaucoup de retard. Donc c'est aussi un intérêt finalement de communiquer pour être beaucoup plus rapide en cas de problème.
Et donc de manière complémentaire, au-delà du fait d'avertir tout le monde, on a aussi, alors je force le cliché, mais beaucoup de paperasses à signer en amont et avant le démarrage d'un tel type de mission. Déjà, lorsqu'on échange avec le client, tout se fait sous couvert de confidentialité. Donc on va signer. Un accord de confidentialité qui garantit qu'on n'ira pas crier de main sur tous les toiles les vulnérabilités qu'on a trouvées chez le client qui nous a mandatés. Ça, c'est des premiers éléments qui sont cohérents et qui semblent assez évidents. Néanmoins, de manière complémentaire, on met en place aussi ce qu'on appelle des accords d'autorisation de conduite de test. C'est-à-dire qu'on va expliquer, nous, tout comme je le disais, d'où on va attaquer, ce qu'on va attaquer et quand on va le faire. Ça permet aussi d'avertir, typiquement... Si on le fait sur des horaires non ouvrables, le week-end par exemple. Donc il faut donner de la visibilité sur les 5 W, donc qui, quand, comment, où et quoi, etc. vont être déroulés les tests. Et de façon complémentaire, il faut aussi souscrire à ce qu'on appelle une RCP en tant que professionnel. Donc comme toute entreprise, il n'y a pas énormément d'acteurs, mais une RCP c'est donc une responsabilité civile professionnelle. Globalement, c'est l'acteur qui va sortir le chéquier si vous cassez une grue à 70 millions d'euros lorsque vous réalisez un pen test. et que vous la cassez accidentellement. Ce sont ce type d'acteurs qui nous protègent, même si on essaye en amont de blinder, de dérisquer la situation le plus possible. Si jamais il arrive quoi que ce soit, ce sont eux qui prennent le relais en cas de négligence de notre part. Au-delà des tournures potentielles juridiques qui pourraient nous retomber dessus si jamais le client se retournait contre nous ou si l'hébergeur se retournait contre son client et indirectement vers nous derrière.
Super. Là, on a abordé un petit peu, on va dire, l'aspect administratif du pentest, la relation avec le client, les aspects juridiques. Mais est-ce que maintenant, tu peux rentrer un petit peu plus dans le sujet et nous expliquer comment se déroule un pentest ? Donc, tu as parlé un petit peu sur la notion de périmètre, donc finalement, ce qu'on appelle le scope, qu'est-ce qui va être inclus dans le test ? Mais quelle va être ta méthodologie ? Est-ce que tu vas travailler en mode de black box ou white box ? Si tu peux nous expliquer un petit peu comment ça fonctionne. et puis surtout quelles sont pour toi les grandes étapes que tu vas mettre en oeuvre lors d'un pentest.
D'accord donc ce que je peux te proposer c'est dans un premier temps de te décrire le cycle de vie d'un pentest tel qu'on l'opère et par la suite sur la partie BlackBock ou grey box, là c'est plus dans une phase de qualification avec le client qu'on l'établit. Sur le cycle de vie, la toute première étape, c'est dès les premiers échanges de qualification commerciale avec un client, c'est effectivement de faire ce cadrage périmétrique. Parce que ce cadrage périmétrique, ça rejoint le sujet administratif, nous permet au passage d'identifier tout l'écosystème d'acteurs qui vont être concernés par ce genre de prestations. Une fois que le cadrage périmétrique est fait, Des fois, on contribue même dès les phases de qualification à aider le client, à lui dire Ah, mais vous avez aussi ce site web-là parce que certains, malheureusement encore à date, ne maîtrisent pas totalement tout ce qu'ils ont en termes d'actifs sur leur système d'information.
Malheureusement, un grand classique, ça.
Ah, je l'avais oublié, ce site web-là, qui est là depuis 10 ans. Ah bah oui, effectivement, il est intéressant. Et donc, la mission démarre ensuite. On utilise, nous-mêmes en interne, des scanners de vulnérabilité automatique. et open source auxquels on contribue et on alimente par exemple avec les failles qu'on découvre manuellement ou au cours de nos sessions de R&D. Ces scanners-là nous permettent de dégrossir les premières vulnérabilités qui vont être trouvées, mais ce n'est pas là où est la valeur ajoutée et ce qu'on considère comme étant l'essence même du pentest.
Alors juste pour nos éditeurs, parce que les scanners de vulnérabilité, c'est un outil qu'on utilise très souvent en sécurité. Et certaines personnes pourraient se dire, pourquoi faire un pentest ? Parce que finalement, il suffit de tourner un scan et c'est suffisant. Alors ça, c'est une erreur. Déjà, qu'est-ce qu'un scan ? Un scan de vulnérabilité, c'est un système automatique qui permet de tester tout un ensemble de scénarios possibles et de voir si les systèmes sont vulnérables ou pas. Donc ça permet déjà d'avoir une bonne vue sur les vulnérabilités existantes. Ça, c'est déjà un premier point. Pourquoi finalement ce n'est pas suffisant ? Et je pense que Brice va nous expliquer finalement la plus-value du pentest. c'est qu'il suffit d'avoir le scan pour trouver les vulnérabilités. Donc du coup, à partir de ce moment-là, si quelqu'un achète juste la licence de scan, il n'y a pas forcément besoin d'avoir beaucoup de connaissances en matière de pentest pour aller trouver des vulnérabilités. En revanche, c'est important pour un client de savoir que ces vulnérabilités existent. Mais ce n'est pas la vraie plus-value finalement des pentests. Est-ce que tu peux me confirmer cette assertion, Brice ?
Je te la confirme effectivement. Aujourd'hui... Nous, on les utilise en interne et en amont du démarrage du Pentest. Pour quelles raisons ? Parce que derrière, on met énormément l'emphase sur la capitalisation et l'internalisation de la compétence au sein de nos clients, chez nos clients. Ce qui fait que c'est généralement des acteurs qui ont un niveau de connaissance, malheureusement, où ils démarrent. Ils sont au niveau zéro de la cybersécurité. C'est souvent un premier exercice. Et les scanners de vulnérabilité automatique, on a plutôt tendance à leur dire, vous ne démarrez avec ça, en autonomie, vous, derrière. Mais sur la valeur du pen test, de ce qu'on va réaliser, des tests manuels, ce sera là où on aura la vraie valeur ajoutée pour les clients. Parce qu'un scanner de vulnérabilité, typiquement, j'ai quelques exemples en tête, il ne va pas savoir illustrer par exemple une fraude financière sur un site e-commerce ou le processus d'achat du dernier canapé en cuir. Il se fait sur neuf étapes, entre l'ajout au panier et la saisie des coordonnées bancaires et la confirmation de commande. Ça, un scanner de vulnérabilité ne sait pas l'exploiter ou trouver des failles dans ce type de fonction. Et c'est là où nous nous intervenons. J'ai donné l'exemple avec un site e-commerce, appliqué à un réseau interne par exemple d'une entreprise, utilisé les dernières vulnérabilités qui sont sorties chez Microsoft ces deux dernières années pour arriver à obtenir ce qu'on appelle en anglais les keys of the kingdom, donc les clés du royaume pour contrôler toute l'infrastructure. L'outil de test automatisé ne sera pas non plus le réaliser malheureusement. Et de manière complémentaire, ce sont également des outils qui très souvent ont ce qu'on appelle des faux positifs, c'est-à-dire qu'ils pensent identifier des vulnérabilités, mais de manière objective et factuelle, ne savent pas démontrer un impact et ne savent pas exploiter ces vulnérabilités et attester d'un impact réel. Lorsqu'on parle d'une faille établie ou d'une vulnérabilité observée lors d'un pen test réalisé de manière artisanale, comme tu l'évoquais, on ne fait pas que mettre en évidence la faille, on prouve l'impact. très concret en termes d'indisponibilité de services, en termes d'atteinte à la confidentialité ou en termes d'atteinte à l'intégrité des données concernées.
Pour résumer, effectivement, si simplement faire tourner un scan de vulnérabilité, c'était suffisant pour faire de la cybersécurité, ce serait tellement simple, mais malheureusement, ce n'est pas tout à fait comme ça que ça se passe. Et par définition, justement, les problèmes de sécurité sont toujours à des endroits auxquels on ne voit pas, c'est toujours dans les angles morts. Et encore une fois, le scanner est un... bon moyen finalement d'identifier des vulnérabilités, et tu le disais très justement, il faut impérativement vérifier aussi que ce soit des vrais positifs, parce que effectivement il y a beaucoup de faux positifs, mais c'est loin d'être suffisant parce que les vrais problèmes, eux, sont toujours dans des endroits qu'on n'a pas vérifiés et qu'on n'a pas encore explorés. Maintenant que tu nous as expliqué un petit peu cet aspect-là, continuons sur le cycle de vie du pentest.
Lorsqu'on démarre le pentest, on a le côté un petit peu très corporate. On n'appelle pas ça des vulnérabilités dans nos rapports, on parle de points d'observation. Généralement, ça fait moins peur à un directeur général au-delà qu'à un responsable informatique, c'est plus corpo. Mais on parle de point d'observation et un point d'observation au sein d'un rapport, comment est-il constitué ? Une faille finalement, c'est ce qu'on appelle une description. Il faut expliquer quelle est la faille, comment on l'exploite, donner de la matière technique pour que le client puisse reproduire en autonomie la faille. En disant, ah donc ils m'ont dit que j'ai une faille là, qu'ils ont exécuté ce code là pour la mettre en évidence. Ok, ils m'ont donné le code, voilà je peux reproduire en autonomie. Donc on décrit la faille dans un premier temps de la manière la plus exhaustive possible. Tout en faisant preuve. au passage de vulgarisation. Parce que cette vulgarisation va être importante pour l'état d'après, qu'on appelle la partie qui concerne l'impact et l'incidence. Une faille, aujourd'hui, il existe des standards de notation, un peu comme à l'école. On donne des notes à la gravité de nos failles. Donc ça varie par exemple de 0 à 10. Et il existe des standards pour calculer la gravité d'une faille. J'en pense à un en particulier qu'on appelle, c'est un angliciste qui s'appelle le scoring CVSS. J'ai complètement oublié la définition de la chronique, mais on renseigne des champs dans ce scoring. Il y a plusieurs champs à remplir, et à la fin, ça nous donne une note de 0 à 10. 0, impact nul, gravité nulle. 10, impact très sévère. Une faille à 10, par exemple, c'est que je me balade sur un site web, et en abusant d'une fonctionnalité sur ce site web, j'arrive à prendre le contrôle de la machine qui fait tourner le site web. Sans être inscrit sur ce site web, par exemple. Donc c'est très grave.
Alors, je crois que le CVSS peut-être être Common Vulnerability Security Score, quelque chose comme un danger là, c'est probable. Alors, en plus de ça, c'est un modèle qui a évolué avec le temps, parce qu'il y avait une première version, une deuxième version, une troisième version. Donc, en plus, ça s'est un peu adapté. Mais effectivement, c'est un moyen très simple de comprendre si une vulnérabilité est importante ou pas. Alors, juste pour nos éditeurs qui sont les moins, peut-être, férus de technique, quand le CVSS est relativement bas, c'est-à-dire quand le score est bas, aux alentours de 1 ou 2, finalement ce sont plutôt des informations qu'on peut récupérer de l'extérieur alors qu'elles ne devraient peut-être pas l'être. Mais ce n'est pas ça qui va vous donner une grande capacité à attaquer un site web. Par contre, plus le CVSS va augmenter, et surtout quand il va être dépassé en neuf, ça veut dire que vous avez la capacité de prendre la main sur une machine à distance et surtout d'être quasiment administrateur de cette machine. Donc là, c'est un peu le but en or. la capacité de prendre la main sur le système d'information, avec une incidence évidemment extrêmement grave, puisque ça, ça veut dire qu'un hacker est capable de prendre la main sur votre système d'information. Donc c'est un moyen simple finalement de synthétiser le risque que représente une vulnérabilité. À savoir aussi, mais je pense que tu vas en parler, c'est que la vulnérabilité dépend aussi de son exposition, c'est-à-dire avoir une vulnérabilité qui est extrêmement forte. mais sur une machine qui n'est pas du tout accessible ou alors de manière très très compliquée, ça mitige le risque, alors que d'avoir la même vulnérabilité mais exposée sur Internet, là ça démultiplie le risque et ça aussi quelque part ça doit apparaître un petit peu dans l'évaluation de ce risque. Je te laisse continuer Brice.
Merci. Donc du coup effectivement au niveau du score CVSS, pour pouvoir obtenir la note finale, il faut renseigner plusieurs champs. Dans les champs qu'on renseigne, Tu viens de l'évoquer, c'est effectivement ce qui va influer sur le score final entre une machine qui est sur un réseau interne où le fait de pouvoir la compromettre, c'est conditionné par le fait qu'on soit nous-mêmes présents sur le réseau interne ou si elle est exposée sur Internet. Déjà, en termes de vraisemblance du risque, on n'est pas sur les mêmes niveaux. Et il y a d'autres critères qui interviennent. À quel point l'attaque est complexe, par exemple ? Est-ce que ça va me coûter 10 000 dollars et 6 mois pour pouvoir exploiter cette faille et arriver à avoir un impact démontré ? Ou est-ce que ça prend 5 minutes et 2 clics de souris ? Il y a aussi des éléments de contexte qui interviennent. Est-ce qu'au niveau de l'application, par exemple, sur laquelle je suis en train d'identifier une faille, est-ce que j'ai besoin d'avoir au préalable créé un compte ? Et c'est là où la notion de boîte noire et de boîte blanche, laquelle on reviendra, est intéressante. Dans tous les cas, les impacts sur lesquels on va évaluer la gravité, c'est les trois vecteurs que j'évoquais tout à l'heure. La notion de confidentialité, est-ce que je peux accéder à de la donnée concernant laquelle je ne suis pas censé accéder ? Si c'est de la donnée personnelle, alors là on prend une dimension européenne avec le RGPD qui est d'autant plus grave, parce qu'on parle d'amende. au-delà de faille. Est-ce que je peux impacter l'intégrité de la donnée ? Finalement, est-ce que sur un site où il y a plein d'utilisateurs qui sont enregistrés, je peux changer le prénom d'un certain Mickaël en Francis, par exemple ? Est-ce que je peux altérer la donnée et changer son intégrité ? Et le dernier volet, alors pour le coup, on a tendance à l'exclure en pentest, parce que ça rejoint le sujet des faits de bord que tu as évoqué tout à l'heure. Est-ce que ma faille me permet de rendre partiellement, voire totalement indisponible, la cible que j'ai en face ? Généralement les clients ne sont pas très friands, surtout si c'est des environnements qui sont en production, c'est-à-dire utilisés au quotidien par tous les collaborateurs de l'entreprise. Donc on essaye de minimiser et d'éviter les vecteurs d'attaque qui vont s'orienter dans cette direction où à l'issue on sait que potentiellement on peut faire s'écrouler le site. Une fois qu'on a renseigné tous ces éléments que je viens de citer, on a la note finale. Et puis on continue durant toute la mission à identifier un maximum de failles, à les décrire, à leur donner une note, mais... Il faut savoir que le score CVSS malheureusement a aussi ses limites. Et on a un exemple très évocateur, et j'en reviens à de la fraude financière sur les sites e-commerce. Ils ne prennent pas en considération ce qu'on pourrait qualifier d'impact business par exemple. Être en capacité sur un site e-commerce qui brasse des millions d'euros tous les jours, d'acheter le dernier iPhone à la mode pour la Modixon de 3 euros, c'est une faille. C'est une faille qu'on peut exploiter. Dans le cadre d'un processus d'achat, par exemple, c'est ce qu'on appelle une faille d'ordre logique. En termes de scoring CVSS, cette typologie de faille, c'est seulement 6,3 sur 10. Donc finalement, elles sont classifiées comme étant moyennes. Mais sauf que le client, lorsque vous lui dites que vous avez trouvé ce genre de faille, il va vous dire que votre méthode de scoring n'est pas adaptée à mes contraintes opérationnelles et métiers. Et ces contraintes opérationnelles et métiers, elles varient et on observe que ça change d'un secteur d'activité à l'autre. que dans un bon pen test, ce n'est pas juste lâcher une note de 0 à 10, c'est aussi réadapter le discours de manière cohérente avec le client, en comprenant comment il travaille au quotidien. Et finalement, la faille, appliquer un secteur d'activité à l'autre, elle ne va pas avoir les mêmes incidences et impacts. Et c'est pour ça qu'il faut toujours le surcharger avec une explication cohérente de comment ça va porter préjudice aux clients qui mandatent l'opération. Et ces aspects-là, il est très important de les faire apparaître dans le rapport parce que ça sert à tous les acteurs. et tout l'écosystème du client. Et puis derrière, il faut donner des solutions. Donc sur cette dernière étape, pour donner des solutions, il va falloir s'adresser à plusieurs acteurs. Ce qu'on appelle le DSI ou le RSSI, donc le directeur des systèmes d'information ou le responsable de la sécurité des systèmes d'information, c'est très souvent les acteurs chez le client qui vont vous mandater pour ce genre d'opération parce qu'ils ont une appétence technique ou ils ont une appétence stratégique, ou ils connaissent. comment la cybersécurité au sein de leur entreprise doit être menée ou doit évoluer. Sauf que derrière, ces acteurs-ci, ils interagissent avec des directeurs financiers, avec leurs directeurs généraux, ils négocient des budgets pour pouvoir faire vivre leurs équipes, sécurité ou faire appel à des prestataires externes. Lorsqu'on définit la remédiation, il faut à la fois répondre à ce qu'attendent les acteurs techniques qui veulent du très concret, comment je corrige la faille avec le joli tuto ou la ressource gratuite. On essaie quand même de pousser un maximum vers la ressource publique fournie par des chercheurs, soit par des représentants étatiques, comme l'ANSI par exemple, l'Agence Nationale de la Sécurité des Systèmes d'Information. Mais aussi, il faut savoir s'adresser de manière vulgarisée à un directeur général ou à un directeur financier qui n'a pas cette cascade technique et qui doit pouvoir comprendre en quoi ces failles peuvent avoir un impact sur ce qui l'intéresse directement, son business et son activité, ou à défaut, pour le directeur financier. ces budgets sur les années à venir et sur l'année en cours.
Donc, c'est-à-dire que concrètement, au-delà des aspects purement techniques que tu as évoqués, c'est-à-dire trouver une vulnérabilité, la catégoriser correctement. Alors, trouver en plus une vulnérabilité, ça ne veut pas simplement dire la trouver d'un scanner, ce serait trop facile, c'est la chercher déjà, la trouver. Donc, ça nécessite justement une certaine connaissance technique. pour les pentesters. Et au-delà de ça, c'est aussi la mettre en perspective, comme tu l'as très bien expliqué, dans le contexte de l'entreprise, par rapport à des contraintes financières, pour qu'ensuite le client puisse faire son choix par rapport à la remédiation. Alors, juste pour en revenir un tout petit peu plus sur l'aspect du métier de pentester, selon toi, quelles sont les qualités finalement pour être un bon pentester ? sachant qu'en plus le métier est extrêmement vaste comme on l'a un petit peu expliqué en introduction on pourrait faire des pentests sur des machines à café il y a peut-être des pentesters qui sont spécialisés sur ce genre de choses plutôt sur les IOT et puis peut-être d'autres qui sont plus spécialisés sur d'autres domaines comme par exemple le web et toi dans ton métier justement comment tu arrives à sélectionner des collaborateurs ou quels sont les critères importants pour toi pour les pentesters peut-être qu'on a dans les auditeurs de ce podcast... des gens qui s'intéressent à ce métier et qui veulent peut-être en faire leur métier définitivement. Pour toi, quels sont les critères et qu'est-ce qui est important pour toi dans le métier du pentester ?
Alors, être un bon pentester, par rapport à la manière dont j'ai grandi et aussi par rapport à toute la culture de ce que j'ai découvert de cet univers qu'est la cybersécurité ou même plus spécifiquement du hacking, dans tous les cas, il faut que ça se traduise par de la passion. Enfin, ça c'est vraiment la réponse qui vient des tripes que je te donne. totalement subjectif de comment je vis la chose. Lorsqu'on démarre un test d'intrusion, que ce soit sur du web ou sur un réseau interne d'une infrastructure, d'une certaine manière, il y a l'ego qui rentre en jeu. C'est, on veut y aller et on veut repartir qu'une fois que vraiment, enfin, on veut arrêter la mission une fois qu'on a vraiment tout trouvé. Alors là, généralement, au niveau de la gestion de projet, nous, en interne, c'est catastrophique. C'est surconsommation sur les enveloppes projet de ce qu'on a prévu par rapport au temps où on y passe. Mais bon, c'est la passion qui parle avant tout. C'est arriver à trouver le saint Graal. Si c'est un site web, c'est arriver à prendre le contrôle de la machine. Et si on n'y arrive pas, trouver les failles les plus proches en termes de gravité que celles que je viens de citer en exemple. Sur un réseau interne, c'est de ne pas s'arrêter tant qu'on n'a pas les super droits administrateurs sur toute l'infrastructure interne. C'est y aller avec l'ego et cet objectif en tête parce que c'est ce qui va motiver l'équipe. On ne travaille jamais sans être à minima en binôme par exemple. Parce que derrière en termes d'émulsion, d'échange des idées, de blocage de chacun, c'est là où tu as de la dynamique. Et finalement c'est aller trouver la petite faille qui n'a été trouvée par personne. Ou alors à défaut, trouver dans le cadre d'une prestation de service de Pentest, une faille qui n'a jamais été trouvée sur un produit qui est connu et utilisé de tous. Donc là tu es sur une faille qu'on dit zéro day. C'est ça la satisfaction qui fait que tu te dis, on a fait un super taf. Au-delà de ce volet technique, il y a aussi l'aspect de la qualité du reporting. Je pense qu'elle est trop souvent négligée, mais un bon rapport de Pentest sur un test d'intrusion interne, ce n'est pas des copiés-collés de templates de remédiation, de modèles de correctifs que tu t'es fait, parce que derrière tu ne vas pas les adapter soit à ton client, soit à ton secteur. secteur d'activité de celui-ci. C'est des livrables qui font plusieurs centaines de pages sur lequel il n'y a que de la donnée pertinente et on n'est pas à jouer à mettre des encarts ou des entêtes de présentation de réexplication de ce qu'on fait. Non, c'est que de la donnée sur laquelle tu sais qu'elle va être utilisée soit par le client, soit appropriée par l'un des acteurs de son écosystème comme on l'évoquait tout à l'heure, développeur, infogéreur, hébergeur, et que clé en main, sans même avoir à refaire une réunion de restitution par exemple ou de réexplication. ils vont comprendre comment résoudre cette problématique. Et la qualité du reporting, dans un bon français, pour moi, c'est aussi un des critères qualifiants et qui est finalement l'achèvement de ton travail. Lorsque tu fais six mois de recherche et que tu découvres une superbe innovation, si tu négliges la thèse que tu comptes publier et montrer à tout le monde, c'est dommage. C'est finalement la cerise sur le gâteau qui manque à la fin de ce projet.
En fin de compte, tu as fait, sans le savoir ou peut-être pas d'ailleurs, une aparté par rapport à un autre métier, puisque tu as parlé des chercheurs en cybersécurité, donc le fait de faire de la recherche. Mais il y a un autre métier qui est un petit peu annexe au métier de pentester, qui est le métier de bug bounty, enfin l'activité de bug bounty. Est-ce que tu peux nous expliquer un petit peu la différence entre les deux ? est-ce que c'est complémentaire ou pas ? quand est-ce qu'il faut qu'on fasse du pentest ? quand est-ce qu'il vaut mieux faire du bug bounty ? parce que je pense que enfin je crois savoir que toi aussi tu as fait du bug bounty dans ton passé voilà est-ce que tu penses que ça va être utile aussi pour tes clients de poursuivre finalement leur maturité avec le bug bounty ? Et puis, d'une certaine manière, si toi tu fais ton boulot correctement, le bug bounty derrière, il n'a pas beaucoup à faire. Donc, est-ce que le Pentest va un petit peu tuer le bug bounty ? Est-ce que tu peux nous donner un petit peu ta vision par rapport à ça ?
Alors, le bug bounty, anglicisme qui nous vient d'outre-Atlantique, puisque ça se développe progressivement sur le territoire européen, mais c'est vrai qu'historiquement, c'est plutôt les Américains qui l'ont assez vite mis en place. C'est vraiment le cliché du chasseur de primes. On peut faire l'analogie avec l'époque du Far West, avec le grand méchant Joe Dalton qui était recherché moyennant une récompense de 5000 dollars. Donc c'est un modèle économique déjà qui est différent du Pentest. Lorsqu'on réalise un Pentest pour un client, on va dire voilà, voici votre terrain de jeu. Nous on peut mettre tant de personnes sur le sujet et on va vous vendre une prestation de service qui va se quantifier en jour homme. Le Bug Bounty c'est un modèle économique différent.
Alors justement, excuse-moi, parce que j'étais un tout petit peu trop vite dans mon explication, si je n'ai pas introduit le sujet du bug bounty pour nos éditeurs. Donc, le pentest, c'est une activité qui est contractée avec une entreprise, comme Bezenun par exemple, sur un certain périmètre, pendant un certain temps, avec un certain budget. Et à la fin du projet, enfin de l'activité de pentest, il y a un rapport. dont Brice nous a parlé, et ce rapport, un petit peu la conclusion finalement, et le délivrable principal de cette activité. Alors que le programme de Bug Booty est beaucoup plus large, c'est-à-dire que généralement on passe via une plateforme, qu'une des plus connues en France est Yesuiac, et puis on va sélectionner des hunters, et on va leur proposer finalement un certain périmètre, et ces hunters vont essayer de rentrer dans le système. Et s'ils y arrivent, ils sont récompensés, alors que s'ils n'y arrivent pas, ils ne le sont pas. L'une des différences avec le pen test, c'est la durée. C'est-à-dire que le pen test est fait pendant une certaine période de temps, et donc à un instant T, on a une image, on va dire, très fine des failles de sécurité qui peuvent exister dans le système d'information, alors que le bug bounty sont souvent beaucoup plus longs dans le temps, puisqu'on peut avoir des programmes de bug bounty qui sont quasi perpétuels. Alors, excuse-moi, juste... parce que j'ai réintroduit le sujet pour nos auditeurs, et donc je te redonne la parole pour continuer à nous expliquer la différence entre Pentest et Bug Bounty, et selon toi, quels sont les avantages et les inconvénients des deux ?
Merci. Sur le volet Bug Bounty, effectivement, c'est aussi un modèle économique qui est différent, puisque la gratification se fait finalement à la faille. On trouve une faille, si elle est validée et avérée, donc on est toujours sur du factuel, finalement, comme pour le Pentest, comme pour un Pentest de qualité. Tu m'as demandé de définir avant. En fonction de la gravité de la faille, on est payé plus ou moins. Donc il y a une grille de rémunération pour une faille faible, c'est peut-être, je ne sais pas, 200 euros, 1000 euros pour une faille moyenne, 2000 euros pour une faille haute et 5000 euros pour une faille critique. Les grilles de rémunération varient en fonction de la taille des entreprises et de leur niveau de maturité, cybersécurité d'une part et puis combien de temps ils font du bug bounty également. Depuis plus un programme de bug bounty. à de l'historique et finalement plus il devient dur de trouver des failles très critiques parce que beaucoup de gens sont passés dessus on parle là de programme qui tourne 24 24 7 jours sur 7 donc n'importe qui à quel moment de la journée de la semaine ou du week-end peut s'y atteler et essayer de découvrir des failles alors
avec un tout petit bémol quand même qui est que les systèmes d'information des entreprises évoluent avec le temps quand on fait un pen test un instant t on est quasiment sûr des vulnérabilités à ce moment là Mais il ne faut pas oublier que les systèmes vivent. Il peut y avoir des erreurs, des mauvaises manipulations qui sont faites au niveau des systèmes qui vont créer des failles de sécurité qui peuvent éventuellement être détectées par les bug bounties.
C'est ça, c'est la partie vraiment photographie à un instant T pour le pentest d'une part et plus un modèle de surveillance continue sur le bug bounty, sur tout un périmètre. C'est toujours la notion de périmètre qui revient. Les deux, je les perçois de manière totalement complémentaire. avec un holà tout de même vis-à-vis du bug bounty, ne jamais avoir fait de pentest et démarré directement en bug bounty, ça va être un carnage. Ça va être un carnage parce que sur le bug bounty, vous vous retrouvez avec des acteurs qui, au lieu d'avoir une mission à réaliser, comme tu le disais tout à l'heure, sur un temps réduit d'une semaine par exemple, peuvent très bien prendre le temps de faire un travail de recherche. Quand je pense par exemple à certains GAFAM qui ont des programmes monstrueux en termes de gratification financière, on peut prendre le temps. de risquer peut-être six mois de recherche pour aller atteindre le jackpot en termes de rémunération, tout en prenant le risque au passage de potentiellement ne rien trouver. Ce qui fait que du coup, ça va souvent être des vulnérabilités qui sont bien plus pointues et d'un niveau de complexité supérieur qui peuvent être mis en exergue. à travers le spectre du bug bounty. Mais ce qui est bien au passage, c'est que même si elles sont plus complexes, la politique de transparence du bug bounty, généralement vu que ce sont des entreprises avec un niveau de maturité certain, parce qu'ils ont déjà l'habitude du pen test, et ils viennent compléter avec une surveillance continue à travers le prisme du bug bounty, de par leur niveau de maturité, beaucoup d'entreprises commencent à s'orienter vers une politique de transparence. J'aurais jamais imaginé par exemple, que puis à... il y a 10 ou 15 ans quand je démarrais, que des entreprises comme Microsoft, par exemple, un jour nous autorisent à publier nos travaux de recherche de vulnérabilité trouvée chez eux, une fois que celles-ci ont été corrigées. Et c'est génial parce que ça, on retrouve aussi l'esprit même du hacking, qui est un mantra auquel on tient énormément, qui est le sharing is caring Quand on trouve une faille innovante, mais qu'on est sous couvert de l'accord de confidentialité, qu'on ne peut pas en faire bénéficier la communauté à des fins de recherche et d'amélioration parce qu'un père... Un pair a aussi de la connaissance sur le sujet et va améliorer nos propres découvertes. Le bug bounty, avec sa stratégie de transparence, alors qu'elle n'est pas totale parce que certaines ne le permettent pas en cours, fait avancer la recherche et la découverte de nouveaux vecteurs d'attaque bien plus pointus. Et c'est pour cette raison qu'à titre personnel, on recrute majoritairement des hunters au sein de BZ2. Parce qu'on est sur des collaborateurs qui vont déjà avoir un niveau de résilience certain. Quand on se casse les dents six mois avec le syndrome de l'imposteur, émotionnellement, c'est très challengeant et on pourrait faire l'analogie avec le poker. Il faut arriver à vivre avec l'adrénaline de la découverte d'une faille et de la prime qu'on touche et puis de la redescente derrière qui dit bon ben voilà, j'ai fini, sur quoi je passe maintenant comme nouvelle recherche ? Et ça développe énormément la résilience et ça fait prendre beaucoup de recul par rapport au syndrome de l'imposteur. Et ces valeurs-là appliquées au Pentest, moi je trouve ça génial.
Mais dis-moi, parce que Bug Booty, c'est-à-dire Chaser de Prime, là tu viens parler de la fièvre de l'or, ça fait un peu Far West quand même tout ça.
Très clairement, oui. En termes de dénomination de l'activité, c'est clairement inspiré du Far West. Tu vois, le monde se divise en deux catégories. Ceux qui ont un pistolet chargé et ceux qui creusent. Toi, tu creuses.
Ok. Alors justement, si maintenant on parle un petit peu de l'avenir, parce qu'on a tracé les grands traits des pentests, et je pense que les auditeurs maintenant ont bien compris à quoi ça servait, comment on pouvait compléter aussi l'activité de pentesting avec un programme de bug bounty, selon toi, comment ton métier va évoluer justement ? Est-ce que ça va continuer à être un petit peu ce Far West ? Comment tu vois l'avenir ? Est-ce que certaines choses vont se démocratiser ? Est-ce que tu penses que l'intelligence artificielle, par exemple, va améliorer certaines choses ? On a parlé, par exemple, des scanners que tu utilisais pour trouver un petit peu, déjà, on va dire, les vulnérabilités les plus basiques. Mais est-ce que tu penses que demain, par exemple, on peut peut-être utiliser de l'IA pour aller automatiquement trouver des failles potentielles dans du code source ? Ou alors, est-ce qu'il y a peut-être d'autres sources ou d'autres outils qui, demain, permettront d'améliorer l'open test ? et ou le bug bounty ?
C'est déjà le cas d'une certaine manière. Je me dis que les outils que j'utilise à l'heure actuelle ou que l'équipe utilise lorsqu'on réalise un pen test, lorsqu'on réalise de la recherche en bug bounty, c'est des outils qui, il y a 10 ans, n'existaient pas, où les opérations étaient plus, effectivement, manuelles, mais on est en train d'industrialiser au fur et à mesure qu'on partage la connaissance, que les générations se succèdent, et c'est ce qui fait que le métier évolue. le fait de me dire dans dix ans j'aurai plus de travail, je suis pas inquiet. Pour quelles raisons ? Parce qu'effectivement on voit l'intelligence artificielle qui se développe, alors de là à crier sur tous les toits Pentest is dead je reste très modéré dans le propos, mais en fait je le vois plus comme un atout qu'un adversaire. Parce que nous-mêmes, si demain sur les tâches redondantes, un peu plus pénibles de notre activité au quotidien, on peut arriver à servir Par exemple, de l'intelligence artificielle, et on l'a vu assez récemment avec ce qui se passe depuis trois semaines avec l'outil gratuit qui a été mis à disposition, qu'est ChatGPT, pulsé par une association, je crois que ce n'est pas une entreprise qui s'appelle OpenAI. On l'a utilisé et on l'a confronté à ce qu'on fait au quotidien. Effectivement, on s'est rendu compte que sur certains aspects techniques, ça pouvait être un allié. Certains en interne l'appellent même un peu l'esclave. mais qui nous améliore notre confort et notre travail au quotidien pour se concentrer sur ce qu'à date, elle n'est pas capable de faire. Et puis même si dans six mois, de par ses évolutions, elle devenait capable de faire des choses où là on se sentirait dépassé. Au final, on lui confierait ce qu'on fait, mais plutôt que de s'attaquer à des systèmes d'information, si elle le fait très bien pour nous demain, on va juste déplacer le problème. Le nouveau challenge sera de trouver des vulnérabilités au sein même de l'intelligence artificielle. Notre état d'esprit ne changera pas. On nous donne un nouveau jouet technologique qui évolue. Et dans l'informatique, le cycle de vie d'une technologie, je crois que c'est cinq ans en moyenne. Il va falloir qu'on grandisse avec et qu'on continue d'évoluer avec. Si aujourd'hui on casse des machines Windows par exemple et des sites web, si dans 5 ans ce sera des intelligences artificielles qui nous feront à notre place, on se concentrera sur l'intelligence artificielle. Hello, Ausha.
Super. Écoute, je pense qu'on a bien fait le tour de ce que c'est qu'un pentest. Est-ce que tu peux peut-être nous rajouter le mot de la fin ou quelque chose qui te semble être pertinent par rapport au pentest pour que tout le monde comprenne l'importance de ce genre de choses ?
Aujourd'hui, au-delà d'être effectivement le fondateur de l'entreprise, Je continue de conserver la casquette et je sais que ça... Je fais un clin d'œil à Marc-Antoine qui va s'arracher les cheveux quand il va entendre que je tiens ce genre de propos. Je me désigne en tant que hacker éthique. On a eu un très long débat sur ce qu'est un hacker éthique et l'oxymore que représente ce terme. Je suis un passionné d'informatique, dont le terrain de jeu, c'est Internet. Internet, pour moi, c'est une boîte de Lego sur laquelle il n'y a pas de manuel et un nombre de pièces illimitées. Le métier de pentester, c'est de se lever le matin et de se dire... quelle nouvelle fabrication Lego je pourrais faire, ou à défaut, on me confie un nouveau jeu d'énigmes, comment je pourrais le résoudre. C'est un métier de passionné qui est assez éprouvant parce qu'il demande un temps dédié à l'apprentissage qui est bien supérieur à ce que malheureusement encore à ce jour on nous enseigne dans les écoles ou dans les cursus. Alors même s'il y a une transition qui est en cours, on a un long chemin à parcourir. Mais c'est un métier dans lequel vous vous épanouirez à condition que vous soyez passionné et curieux. Donc apprenez à apprendre et à partir de là, en tant que pentester, vous n'aurez plus de limites parce que chaque jour sera nouveau et les failles que vous découvrirez, même au bout de 10 ans d'activité, je ne me suis jamais dit une seule fois, je m'ennuie.
Je crois que tu as tout dit par rapport au métier de la cybersécurité parce que c'est des métiers qui sont extrêmement durs, mais tellement passionnants. Et justement, quand on est passionné, c'est ça qui nous fait tenir et c'est ça qui nous fait justement... progresser dans le métier avec une envie évidemment de découvrir des nouvelles choses et toujours de mieux faire. Et ce, quel que soit aussi son rôle en matière de cybersécurité, que ce soit des gens qui travaillent plutôt dans le pentest ou que ce soit des gens qui travaillent plutôt dans l'organisation. Tous les métiers qui sont liés à la cybersécurité sont vraiment des métiers de passion. En tout cas, Brice, je te remercie. Je te souhaite de jouer encore très très longtemps avec cette énorme boîte de Lego. Et je te souhaite bon courage dans tes activités de Pentest. J'espère qu'on aura l'occasion de se revoir, peut-être dans des conférences ou des choses plutôt liées à cette activité. Et donc, pour finir, comme vous le savez, pour certaines personnes, la cybersécurité est un enjeu de vie ou de mort. C'est bien plus sérieux que ça.
Share
Embed
You may also like
Description
Pour tout comprendre des tests de pénétration avec Brice AUGRAS de la société BZHunt.
Présentation de Marc-Antoine LEDIEU (Technique et droit du numérique) https://technique-et-droit-du-numerique.fr/438-le-droit-au-pen-test-sur-l-hebergeur-du-pen-teste-en-2023/
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, j'ai ramené un copain. Bonsoir et bienvenue dans la cybersécurité expliquée à ma grand-mère. C'est un numéro spécial, un hors-série de nouveau, et ce soir on va adresser un point très particulier qu'on appelle le pentest, les tests de pénétration. Alors ma grand-mère pensait que c'était quelque chose de sexuel, mais rassurez-vous, ça n'a rien à voir. Pour parler des pentests, le mieux, c'est d'inviter un pentester. Ce soir, j'ai l'avantage et l'honneur d'accueillir Brice Ogra, qui est un pentester et qui fait partie de la société. D'ailleurs, il est le président de la société BZ Hunt. Il va justement nous parler de son métier, de faire du pentest, et de tous les éléments importants pour faire un pentest, que ce soit des éléments plutôt techniques, mais aussi des éléments juridiques. et comment bénéficier du pentest, quelle est la plus-value finalement de faire un pentest pour son organisation. Alors Brice, est-ce que tu veux bien te présenter ?
Bonsoir, merci encore Nicolas pour l'invitation, c'est vraiment un plaisir de venir partager en ce vendredi soir. Alors je sais que nos cerveaux ne sont pas forcément les plus actifs avec la fin de semaine, mais voilà la présentation. Je m'appelle Brice Ausha, je suis passionné de cybersécurité, le fameux néologisme des termes fourre-tout depuis plus de 15 ans. Mais très spécifiquement, ça fait environ 7 ou 8 ans que je réalise des tests d'intrusion pour les entreprises de toute taille. Et c'est également ce que je continue de faire et de développer avec toute l'équipe de BZDunt depuis novembre 2020, date à laquelle j'ai fondé l'entreprise. Alors il faut savoir qu'on est localisé du côté de Brest, vraiment sur la terre du bout du bout, juste à côté de la mer. Mais on opère néanmoins à l'échelle européenne ou mondiale. puisqu'on est ravis de découvrir plein de métiers et d'aller intervenir dans plein de secteurs d'activité où on apprend énormément de choses.
Alors juste une première question, est-ce qu'il faut être breton pour faire un bon pentester ?
Si c'est accompagné de galettes saucisses, oui. Sinon, non. Il faut avant tout être passionné par contre. Et je vois que tu cherches à ouvrir le débat de ce qu'est peut-être le pentest qu'on pourrait considérer d'autres qualités ou non. Qu'est-ce que c'est que ça ? Qu'est-ce que c'est que la tenue cérébricule ? Oui, parce que je suis breton, ma grand-mère a inventé la galette saucisse. Le Pentes, par contre, si je devais essayer de le définir, effectivement, avec un petit peu de cynisme, ce n'est pas dérouler un scanner de vulnérabilité automatisé. C'est vraiment réaliser un test d'intrusion et de fabriquer des attaques bien spécifiques. Alors, encore à Manon, on n'est pas encore totalement remplacé par les machines, mais bon, qui sait, nous en parlerons peut-être ce soir.
Alors justement, je pense que c'est de l'artisanat de qualité dont on va parler ce soir.
Exactement, c'est ça. C'est apprendre à maîtriser des vecteurs d'attaque qui sont nouveaux et il en sort pléthore tous les jours, que ce soit sur les réseaux sociaux, lâchés brutalement un vendredi soir au moment où les responsables informatiques partent en week-end. Mais c'est de la veille continue et c'est un travail de recherche et de développement très très important. Ça, on l'a vraiment intégré pour toute l'équipe pour se maintenir à jour sur eux. comment notre écosystème et comment toutes les failles évoluent au quotidien.
Alors justement, est-ce que tu pourrais nous faire une petite introduction, une introduction générale au pentest ? Donc déjà, pourquoi on fait des pentests et aussi dans quel cadre juridique ? Parce que ça, c'est quelque chose d'assez important. On ne fait pas des pentests comme ça n'importe comment. Quelle est ta méthodologie ? Comment tu qualifies aussi ce que tu vas trouver ? C'est important parce que le pentest a pour but de trouver des vulnérabilités. Mais comment tu arrives à les qualifier ? Comment tu arrives à les... finalement à les rendre opérables et du moins intelligibles pour la personne qui a demandé ce pentest.
Alors, pourquoi est-ce que les entreprises à date souhaitent réaliser des pentests ? Certaines le font parce que le voisin s'est fait pirater il n'y a pas très longtemps malheureusement, d'autres le font de manière proactive. Dans tous les cas, un pentest, c'est un test d'intrusion où on intervient dans un contexte de proactivité, contrairement au curatif qui est la réponse à un incident par exemple, lorsque le feu est déjà déclenché. Donc le Pentest, les entreprises nous missionnent dans le but de chercher à identifier, pour tous les actifs numériques qu'elles possèdent, ça peut aller d'un serveur à un site exposé sur Internet, à un parc de postes informatiques et de serveurs, à identifier sur ce qu'elles ont mis en place et ce qu'elles utilisent au quotidien, c'est-à-dire la façon dont elles se comportent avec leurs outils informatiques et leurs solutions logicielles, à identifier toutes les failles présentes. Donc les entreprises viennent nous voir pour comprendre ce qui ne va pas, et à identifier pour nous finalement. tous les points d'entrée au sein de ce qu'on appelle leur système d'information. Donc c'est tout ce que je citais, tout équipement qui est connecté à un réseau et qui comporte de l'électronique finalement. Et le pentest, c'est mettre en évidence des failles, les expliquer aux clients avec différents niveaux de vulgarisation en fonction de qui on a en face, et derrière, d'expliquer comment on peut corriger les failles identifiées. Donc ça, de manière très généraliste, voici ce qu'est un pentest et voici pourquoi les entreprises cherchent à le faire. In fine, c'est augmenter leur niveau de sécurité et leur niveau de maturité vis-à-vis de l'outil informatique qu'elles utilisent. Certaines le font plus que d'autres en fonction de leur secteur d'activité. en fonction de leur budget, en fonction du risque de ce qu'elles traitent au quotidien. Un serveur qui sert par exemple à partager les photos des journées du CE de tous les collaborateurs, ce n'est pas aussi risqué qu'une machine qui va comporter 10 ans d'historique de transactionnel bancaire. Donc derrière, cette stratégie de savoir à quel point elles sont vulnérables et comment elles vont améliorer leur sécurité, elles le font aussi en fonction de la gravité. de ce avec quoi elles traitent au quotidien et du budget qu'elles ont, effectivement. Une fois qu'elles se sont posées ce genre de questions, on parlera de méthodologie. Alors, la méthodologie d'un test d'intrusion, c'est un cycle de vie bien défini. Ça commence par ce qu'on appelle de la qualification du périmètre. En gros, lorsqu'on réalise un pentest, pour nous, vulgairement, en interne, c'est ce qu'on appelle le terrain de jeu. C'est ce sur quoi on va aller s'amuser et ce qu'on va s'amuser à aller casser. On échange et qu'on qualifie un client qui nous dit j'ai un besoin, j'ai besoin que vous travailliez pour nous on va lui dire il n'y a pas de problème, il faut faire une qualification périmétrique, c'est-à-dire le nombre précis de sites web, de machines sur lesquelles il souhaite qu'on réalise ses tests d'intrusion Et ça rejoint l'interrogation que tu me demandais sur le volet juridique. Dans le cadre d'une contractualisation, il faut cadrer ce périmètre en disant à quel moment on va intervenir ? D'où est-ce qu'on va attaquer ? Qu'est-ce qu'on va attaquer ? Et ça, il faut le mettre noir sur blanc. Le tout couvert, bien sûr, d'un accord de confidentialité, parce que ça reste des missions qui sont très sensibles.
Alors justement, sur le périmètre, tu as expliqué que tous les objets qui étaient connectés, finalement, pouvaient être pentestés. Donc il y a le cas le plus général des sites web. Alors ça, c'est un grand classique. Est-ce qu'un site web est vulnérable ou pas ? Mais potentiellement, on pourrait très bien faire des pentests aussi sur la machine à café, si d'aventure elle était connectée au réseau.
Exactement. Et aujourd'hui, ça se diversifie énormément. Et là où on le retrouve le plus, C'est lorsqu'on fait le corollaire avec tout ce qui est test d'intrusion physique, parce que c'est aussi un point de notre activité. Et lors des tests d'intrusion physique, on va se servir d'actifs, le fameux IoT, tous les objets surconnectés, mis sur le marché à des vitesses incroyables et qui malheureusement sont généralement au détriment de la sécurité. Tout ce qui est caméra, badgeuse, imprimante, système de suivi de QR code sur des chaînes de production. A ce jour, ce sont des équipements connectés mais qui font partie de ce qu'on appelle le système d'information. Et ce type d'équipement communique avec le reste de ce qui compose un système d'information, c'est-à-dire les postes des collaborateurs, les serveurs utilisés, et constitue généralement, malheureusement, des points d'entrée et des vecteurs d'attaque qu'on peut déployer sur des actifs qui ne sont pas chers, qui ne sont pas sécurisés et qui nous facilitent le fait d'arriver à s'introduire. Donc la machine à café, finalement, oui, ça peut être un vecteur d'entrée au sein d'un gros site industriel par exemple.
Super. Et alors maintenant, est-ce que tu peux nous expliquer juste sur les aspects juridiques ? Alors, on va faire un petit coucou à Marc-Antoine Ledieu, qui est un grand spécialiste de ce genre de sujet, avec lequel tu as collaboré justement pour travailler sur les aspects juridiques. Il a d'ailleurs récemment sorti quelques slides vraiment pour parler de la problématique des pen-tests. Je les rajouterai dans les commentaires de ce podcast, de cet épisode. Mais est-ce que toi, tu peux nous donner ta vision des choses et surtout l'importance finalement de définir les choses correctement d'un point de vue juridique pour te protéger et pour te protéger aussi ton client ?
Alors c'est vraiment un sujet qui est très conséquent, puisqu'effectivement il y a des enjeux juridiques d'une part, qui sont complémentaires avec des enjeux également normatifs. Certains connaissent très bien ou ont bien entendu parler durant 2018 de ce qu'on appelle le RGPD par exemple. Alors pour ceux à qui c'est moins évocateur, c'est le cliché très concret du mail que vous receviez à cette époque-là, en disant êtes-vous bien sûr de vouloir souscrire à notre newsletter ? Mais finalement, sur les dernières années, on a eu et on continue d'avoir des fortes évolutions juridiques et normatives qui expliquent, à l'échelle nationale, donc de la France, ou à l'échelle européenne, comment évolue la cybersécurité. Et comment, au sein du fameux terme cybersécurité On va devoir dans les années à venir considérer la donnée à caractère personnel, c'est-à-dire tous les acteurs qui possèdent mon nom, mon prénom, ou tout ce qui permet de m'identifier de manière directe ou indirecte. Il y a énormément d'évolutions. Et il y a aussi énormément d'évolution sur tout ce qui est la sécurité des systèmes d'information en sens large. Donc on a des directives qui sont publiées, on a des textes de loi qui sont publiés, et on est noyé sous une forme d'information. Mais très concrètement, que faut-il en retenir ? À ce jour, notre métier est légal, est encadré par des approches contractuelles. On signe un contrat de prestation de service avec les clients qui nous mandatent pour réaliser ce genre de test offensif, comme dirait Marc-Antoine parce que... vous êtes des gars qui possédez des armes numériques, très concrètement, mais lorsqu'on signe une prestation de service avec un acteur qui finalement se positionne en tant que mandataire, c'est-à-dire il vient nous voir et nous dit, venez casser mon système d'information, le système d'information en question ne lui appartient pas tout le temps. Parce que l'informatique d'une grosse entreprise, il y a une pluralité d'acteurs qui interviennent dans cet écosystème informatique, des hébergeurs, des infogéreurs, des développeurs qui appartiennent à des entreprises tierces, et... Et la question du juridique, c'est finalement comment arriver à mettre tout le monde d'accord pour donner à des acteurs comme nous le droit de venir réaliser des thèses d'intrusion. Et ça, c'est très compliqué.
Juste pour nos éditeurs, pour illustrer un tout petit peu le problème des différents acteurs, c'est que finalement, on est rarement seul à gérer l'informatique. Il y a beaucoup d'entreprises qui vont déléguer leur activité de prestation informatique à un infogéreur. C'est ça. premier cas, donc il faut se mettre d'accord déjà avec Centinfo GA, mais il y a un cas un petit peu plus compliqué quand même qui est quand on utilise un cloud, puisque là dans ce cas-là comment on fait un pentest sur un cloud aussi ça peut être un petit peu compliqué et encore plus subtil que ça quand on va hacker un site web enfin du moins quand on va pentester un site web quelles sont les conséquences en termes de périmètre et puis surtout... ça peut arriver que malheureusement en faisant le pentest il peut y avoir des petits problèmes de stabilité et on peut éventuellement faire tomber le site et dans ce cas là le prestataire doit être prévenu en avance et qu'il y ait un pentest en cours justement pour le remettre sur pied le plus rapidement possible donc c'est aussi dans entre guillemets important de communiquer avec eux parce qu'en cas de problème ça permet de réagir beaucoup plus vite plutôt que de se poser des questions si c'est une vraie attaque, une fausse. et de réagir avec beaucoup de retard. Donc c'est aussi un intérêt finalement de communiquer pour être beaucoup plus rapide en cas de problème.
Et donc de manière complémentaire, au-delà du fait d'avertir tout le monde, on a aussi, alors je force le cliché, mais beaucoup de paperasses à signer en amont et avant le démarrage d'un tel type de mission. Déjà, lorsqu'on échange avec le client, tout se fait sous couvert de confidentialité. Donc on va signer. Un accord de confidentialité qui garantit qu'on n'ira pas crier de main sur tous les toiles les vulnérabilités qu'on a trouvées chez le client qui nous a mandatés. Ça, c'est des premiers éléments qui sont cohérents et qui semblent assez évidents. Néanmoins, de manière complémentaire, on met en place aussi ce qu'on appelle des accords d'autorisation de conduite de test. C'est-à-dire qu'on va expliquer, nous, tout comme je le disais, d'où on va attaquer, ce qu'on va attaquer et quand on va le faire. Ça permet aussi d'avertir, typiquement... Si on le fait sur des horaires non ouvrables, le week-end par exemple. Donc il faut donner de la visibilité sur les 5 W, donc qui, quand, comment, où et quoi, etc. vont être déroulés les tests. Et de façon complémentaire, il faut aussi souscrire à ce qu'on appelle une RCP en tant que professionnel. Donc comme toute entreprise, il n'y a pas énormément d'acteurs, mais une RCP c'est donc une responsabilité civile professionnelle. Globalement, c'est l'acteur qui va sortir le chéquier si vous cassez une grue à 70 millions d'euros lorsque vous réalisez un pen test. et que vous la cassez accidentellement. Ce sont ce type d'acteurs qui nous protègent, même si on essaye en amont de blinder, de dérisquer la situation le plus possible. Si jamais il arrive quoi que ce soit, ce sont eux qui prennent le relais en cas de négligence de notre part. Au-delà des tournures potentielles juridiques qui pourraient nous retomber dessus si jamais le client se retournait contre nous ou si l'hébergeur se retournait contre son client et indirectement vers nous derrière.
Super. Là, on a abordé un petit peu, on va dire, l'aspect administratif du pentest, la relation avec le client, les aspects juridiques. Mais est-ce que maintenant, tu peux rentrer un petit peu plus dans le sujet et nous expliquer comment se déroule un pentest ? Donc, tu as parlé un petit peu sur la notion de périmètre, donc finalement, ce qu'on appelle le scope, qu'est-ce qui va être inclus dans le test ? Mais quelle va être ta méthodologie ? Est-ce que tu vas travailler en mode de black box ou white box ? Si tu peux nous expliquer un petit peu comment ça fonctionne. et puis surtout quelles sont pour toi les grandes étapes que tu vas mettre en oeuvre lors d'un pentest.
D'accord donc ce que je peux te proposer c'est dans un premier temps de te décrire le cycle de vie d'un pentest tel qu'on l'opère et par la suite sur la partie BlackBock ou grey box, là c'est plus dans une phase de qualification avec le client qu'on l'établit. Sur le cycle de vie, la toute première étape, c'est dès les premiers échanges de qualification commerciale avec un client, c'est effectivement de faire ce cadrage périmétrique. Parce que ce cadrage périmétrique, ça rejoint le sujet administratif, nous permet au passage d'identifier tout l'écosystème d'acteurs qui vont être concernés par ce genre de prestations. Une fois que le cadrage périmétrique est fait, Des fois, on contribue même dès les phases de qualification à aider le client, à lui dire Ah, mais vous avez aussi ce site web-là parce que certains, malheureusement encore à date, ne maîtrisent pas totalement tout ce qu'ils ont en termes d'actifs sur leur système d'information.
Malheureusement, un grand classique, ça.
Ah, je l'avais oublié, ce site web-là, qui est là depuis 10 ans. Ah bah oui, effectivement, il est intéressant. Et donc, la mission démarre ensuite. On utilise, nous-mêmes en interne, des scanners de vulnérabilité automatique. et open source auxquels on contribue et on alimente par exemple avec les failles qu'on découvre manuellement ou au cours de nos sessions de R&D. Ces scanners-là nous permettent de dégrossir les premières vulnérabilités qui vont être trouvées, mais ce n'est pas là où est la valeur ajoutée et ce qu'on considère comme étant l'essence même du pentest.
Alors juste pour nos éditeurs, parce que les scanners de vulnérabilité, c'est un outil qu'on utilise très souvent en sécurité. Et certaines personnes pourraient se dire, pourquoi faire un pentest ? Parce que finalement, il suffit de tourner un scan et c'est suffisant. Alors ça, c'est une erreur. Déjà, qu'est-ce qu'un scan ? Un scan de vulnérabilité, c'est un système automatique qui permet de tester tout un ensemble de scénarios possibles et de voir si les systèmes sont vulnérables ou pas. Donc ça permet déjà d'avoir une bonne vue sur les vulnérabilités existantes. Ça, c'est déjà un premier point. Pourquoi finalement ce n'est pas suffisant ? Et je pense que Brice va nous expliquer finalement la plus-value du pentest. c'est qu'il suffit d'avoir le scan pour trouver les vulnérabilités. Donc du coup, à partir de ce moment-là, si quelqu'un achète juste la licence de scan, il n'y a pas forcément besoin d'avoir beaucoup de connaissances en matière de pentest pour aller trouver des vulnérabilités. En revanche, c'est important pour un client de savoir que ces vulnérabilités existent. Mais ce n'est pas la vraie plus-value finalement des pentests. Est-ce que tu peux me confirmer cette assertion, Brice ?
Je te la confirme effectivement. Aujourd'hui... Nous, on les utilise en interne et en amont du démarrage du Pentest. Pour quelles raisons ? Parce que derrière, on met énormément l'emphase sur la capitalisation et l'internalisation de la compétence au sein de nos clients, chez nos clients. Ce qui fait que c'est généralement des acteurs qui ont un niveau de connaissance, malheureusement, où ils démarrent. Ils sont au niveau zéro de la cybersécurité. C'est souvent un premier exercice. Et les scanners de vulnérabilité automatique, on a plutôt tendance à leur dire, vous ne démarrez avec ça, en autonomie, vous, derrière. Mais sur la valeur du pen test, de ce qu'on va réaliser, des tests manuels, ce sera là où on aura la vraie valeur ajoutée pour les clients. Parce qu'un scanner de vulnérabilité, typiquement, j'ai quelques exemples en tête, il ne va pas savoir illustrer par exemple une fraude financière sur un site e-commerce ou le processus d'achat du dernier canapé en cuir. Il se fait sur neuf étapes, entre l'ajout au panier et la saisie des coordonnées bancaires et la confirmation de commande. Ça, un scanner de vulnérabilité ne sait pas l'exploiter ou trouver des failles dans ce type de fonction. Et c'est là où nous nous intervenons. J'ai donné l'exemple avec un site e-commerce, appliqué à un réseau interne par exemple d'une entreprise, utilisé les dernières vulnérabilités qui sont sorties chez Microsoft ces deux dernières années pour arriver à obtenir ce qu'on appelle en anglais les keys of the kingdom, donc les clés du royaume pour contrôler toute l'infrastructure. L'outil de test automatisé ne sera pas non plus le réaliser malheureusement. Et de manière complémentaire, ce sont également des outils qui très souvent ont ce qu'on appelle des faux positifs, c'est-à-dire qu'ils pensent identifier des vulnérabilités, mais de manière objective et factuelle, ne savent pas démontrer un impact et ne savent pas exploiter ces vulnérabilités et attester d'un impact réel. Lorsqu'on parle d'une faille établie ou d'une vulnérabilité observée lors d'un pen test réalisé de manière artisanale, comme tu l'évoquais, on ne fait pas que mettre en évidence la faille, on prouve l'impact. très concret en termes d'indisponibilité de services, en termes d'atteinte à la confidentialité ou en termes d'atteinte à l'intégrité des données concernées.
Pour résumer, effectivement, si simplement faire tourner un scan de vulnérabilité, c'était suffisant pour faire de la cybersécurité, ce serait tellement simple, mais malheureusement, ce n'est pas tout à fait comme ça que ça se passe. Et par définition, justement, les problèmes de sécurité sont toujours à des endroits auxquels on ne voit pas, c'est toujours dans les angles morts. Et encore une fois, le scanner est un... bon moyen finalement d'identifier des vulnérabilités, et tu le disais très justement, il faut impérativement vérifier aussi que ce soit des vrais positifs, parce que effectivement il y a beaucoup de faux positifs, mais c'est loin d'être suffisant parce que les vrais problèmes, eux, sont toujours dans des endroits qu'on n'a pas vérifiés et qu'on n'a pas encore explorés. Maintenant que tu nous as expliqué un petit peu cet aspect-là, continuons sur le cycle de vie du pentest.
Lorsqu'on démarre le pentest, on a le côté un petit peu très corporate. On n'appelle pas ça des vulnérabilités dans nos rapports, on parle de points d'observation. Généralement, ça fait moins peur à un directeur général au-delà qu'à un responsable informatique, c'est plus corpo. Mais on parle de point d'observation et un point d'observation au sein d'un rapport, comment est-il constitué ? Une faille finalement, c'est ce qu'on appelle une description. Il faut expliquer quelle est la faille, comment on l'exploite, donner de la matière technique pour que le client puisse reproduire en autonomie la faille. En disant, ah donc ils m'ont dit que j'ai une faille là, qu'ils ont exécuté ce code là pour la mettre en évidence. Ok, ils m'ont donné le code, voilà je peux reproduire en autonomie. Donc on décrit la faille dans un premier temps de la manière la plus exhaustive possible. Tout en faisant preuve. au passage de vulgarisation. Parce que cette vulgarisation va être importante pour l'état d'après, qu'on appelle la partie qui concerne l'impact et l'incidence. Une faille, aujourd'hui, il existe des standards de notation, un peu comme à l'école. On donne des notes à la gravité de nos failles. Donc ça varie par exemple de 0 à 10. Et il existe des standards pour calculer la gravité d'une faille. J'en pense à un en particulier qu'on appelle, c'est un angliciste qui s'appelle le scoring CVSS. J'ai complètement oublié la définition de la chronique, mais on renseigne des champs dans ce scoring. Il y a plusieurs champs à remplir, et à la fin, ça nous donne une note de 0 à 10. 0, impact nul, gravité nulle. 10, impact très sévère. Une faille à 10, par exemple, c'est que je me balade sur un site web, et en abusant d'une fonctionnalité sur ce site web, j'arrive à prendre le contrôle de la machine qui fait tourner le site web. Sans être inscrit sur ce site web, par exemple. Donc c'est très grave.
Alors, je crois que le CVSS peut-être être Common Vulnerability Security Score, quelque chose comme un danger là, c'est probable. Alors, en plus de ça, c'est un modèle qui a évolué avec le temps, parce qu'il y avait une première version, une deuxième version, une troisième version. Donc, en plus, ça s'est un peu adapté. Mais effectivement, c'est un moyen très simple de comprendre si une vulnérabilité est importante ou pas. Alors, juste pour nos éditeurs qui sont les moins, peut-être, férus de technique, quand le CVSS est relativement bas, c'est-à-dire quand le score est bas, aux alentours de 1 ou 2, finalement ce sont plutôt des informations qu'on peut récupérer de l'extérieur alors qu'elles ne devraient peut-être pas l'être. Mais ce n'est pas ça qui va vous donner une grande capacité à attaquer un site web. Par contre, plus le CVSS va augmenter, et surtout quand il va être dépassé en neuf, ça veut dire que vous avez la capacité de prendre la main sur une machine à distance et surtout d'être quasiment administrateur de cette machine. Donc là, c'est un peu le but en or. la capacité de prendre la main sur le système d'information, avec une incidence évidemment extrêmement grave, puisque ça, ça veut dire qu'un hacker est capable de prendre la main sur votre système d'information. Donc c'est un moyen simple finalement de synthétiser le risque que représente une vulnérabilité. À savoir aussi, mais je pense que tu vas en parler, c'est que la vulnérabilité dépend aussi de son exposition, c'est-à-dire avoir une vulnérabilité qui est extrêmement forte. mais sur une machine qui n'est pas du tout accessible ou alors de manière très très compliquée, ça mitige le risque, alors que d'avoir la même vulnérabilité mais exposée sur Internet, là ça démultiplie le risque et ça aussi quelque part ça doit apparaître un petit peu dans l'évaluation de ce risque. Je te laisse continuer Brice.
Merci. Donc du coup effectivement au niveau du score CVSS, pour pouvoir obtenir la note finale, il faut renseigner plusieurs champs. Dans les champs qu'on renseigne, Tu viens de l'évoquer, c'est effectivement ce qui va influer sur le score final entre une machine qui est sur un réseau interne où le fait de pouvoir la compromettre, c'est conditionné par le fait qu'on soit nous-mêmes présents sur le réseau interne ou si elle est exposée sur Internet. Déjà, en termes de vraisemblance du risque, on n'est pas sur les mêmes niveaux. Et il y a d'autres critères qui interviennent. À quel point l'attaque est complexe, par exemple ? Est-ce que ça va me coûter 10 000 dollars et 6 mois pour pouvoir exploiter cette faille et arriver à avoir un impact démontré ? Ou est-ce que ça prend 5 minutes et 2 clics de souris ? Il y a aussi des éléments de contexte qui interviennent. Est-ce qu'au niveau de l'application, par exemple, sur laquelle je suis en train d'identifier une faille, est-ce que j'ai besoin d'avoir au préalable créé un compte ? Et c'est là où la notion de boîte noire et de boîte blanche, laquelle on reviendra, est intéressante. Dans tous les cas, les impacts sur lesquels on va évaluer la gravité, c'est les trois vecteurs que j'évoquais tout à l'heure. La notion de confidentialité, est-ce que je peux accéder à de la donnée concernant laquelle je ne suis pas censé accéder ? Si c'est de la donnée personnelle, alors là on prend une dimension européenne avec le RGPD qui est d'autant plus grave, parce qu'on parle d'amende. au-delà de faille. Est-ce que je peux impacter l'intégrité de la donnée ? Finalement, est-ce que sur un site où il y a plein d'utilisateurs qui sont enregistrés, je peux changer le prénom d'un certain Mickaël en Francis, par exemple ? Est-ce que je peux altérer la donnée et changer son intégrité ? Et le dernier volet, alors pour le coup, on a tendance à l'exclure en pentest, parce que ça rejoint le sujet des faits de bord que tu as évoqué tout à l'heure. Est-ce que ma faille me permet de rendre partiellement, voire totalement indisponible, la cible que j'ai en face ? Généralement les clients ne sont pas très friands, surtout si c'est des environnements qui sont en production, c'est-à-dire utilisés au quotidien par tous les collaborateurs de l'entreprise. Donc on essaye de minimiser et d'éviter les vecteurs d'attaque qui vont s'orienter dans cette direction où à l'issue on sait que potentiellement on peut faire s'écrouler le site. Une fois qu'on a renseigné tous ces éléments que je viens de citer, on a la note finale. Et puis on continue durant toute la mission à identifier un maximum de failles, à les décrire, à leur donner une note, mais... Il faut savoir que le score CVSS malheureusement a aussi ses limites. Et on a un exemple très évocateur, et j'en reviens à de la fraude financière sur les sites e-commerce. Ils ne prennent pas en considération ce qu'on pourrait qualifier d'impact business par exemple. Être en capacité sur un site e-commerce qui brasse des millions d'euros tous les jours, d'acheter le dernier iPhone à la mode pour la Modixon de 3 euros, c'est une faille. C'est une faille qu'on peut exploiter. Dans le cadre d'un processus d'achat, par exemple, c'est ce qu'on appelle une faille d'ordre logique. En termes de scoring CVSS, cette typologie de faille, c'est seulement 6,3 sur 10. Donc finalement, elles sont classifiées comme étant moyennes. Mais sauf que le client, lorsque vous lui dites que vous avez trouvé ce genre de faille, il va vous dire que votre méthode de scoring n'est pas adaptée à mes contraintes opérationnelles et métiers. Et ces contraintes opérationnelles et métiers, elles varient et on observe que ça change d'un secteur d'activité à l'autre. que dans un bon pen test, ce n'est pas juste lâcher une note de 0 à 10, c'est aussi réadapter le discours de manière cohérente avec le client, en comprenant comment il travaille au quotidien. Et finalement, la faille, appliquer un secteur d'activité à l'autre, elle ne va pas avoir les mêmes incidences et impacts. Et c'est pour ça qu'il faut toujours le surcharger avec une explication cohérente de comment ça va porter préjudice aux clients qui mandatent l'opération. Et ces aspects-là, il est très important de les faire apparaître dans le rapport parce que ça sert à tous les acteurs. et tout l'écosystème du client. Et puis derrière, il faut donner des solutions. Donc sur cette dernière étape, pour donner des solutions, il va falloir s'adresser à plusieurs acteurs. Ce qu'on appelle le DSI ou le RSSI, donc le directeur des systèmes d'information ou le responsable de la sécurité des systèmes d'information, c'est très souvent les acteurs chez le client qui vont vous mandater pour ce genre d'opération parce qu'ils ont une appétence technique ou ils ont une appétence stratégique, ou ils connaissent. comment la cybersécurité au sein de leur entreprise doit être menée ou doit évoluer. Sauf que derrière, ces acteurs-ci, ils interagissent avec des directeurs financiers, avec leurs directeurs généraux, ils négocient des budgets pour pouvoir faire vivre leurs équipes, sécurité ou faire appel à des prestataires externes. Lorsqu'on définit la remédiation, il faut à la fois répondre à ce qu'attendent les acteurs techniques qui veulent du très concret, comment je corrige la faille avec le joli tuto ou la ressource gratuite. On essaie quand même de pousser un maximum vers la ressource publique fournie par des chercheurs, soit par des représentants étatiques, comme l'ANSI par exemple, l'Agence Nationale de la Sécurité des Systèmes d'Information. Mais aussi, il faut savoir s'adresser de manière vulgarisée à un directeur général ou à un directeur financier qui n'a pas cette cascade technique et qui doit pouvoir comprendre en quoi ces failles peuvent avoir un impact sur ce qui l'intéresse directement, son business et son activité, ou à défaut, pour le directeur financier. ces budgets sur les années à venir et sur l'année en cours.
Donc, c'est-à-dire que concrètement, au-delà des aspects purement techniques que tu as évoqués, c'est-à-dire trouver une vulnérabilité, la catégoriser correctement. Alors, trouver en plus une vulnérabilité, ça ne veut pas simplement dire la trouver d'un scanner, ce serait trop facile, c'est la chercher déjà, la trouver. Donc, ça nécessite justement une certaine connaissance technique. pour les pentesters. Et au-delà de ça, c'est aussi la mettre en perspective, comme tu l'as très bien expliqué, dans le contexte de l'entreprise, par rapport à des contraintes financières, pour qu'ensuite le client puisse faire son choix par rapport à la remédiation. Alors, juste pour en revenir un tout petit peu plus sur l'aspect du métier de pentester, selon toi, quelles sont les qualités finalement pour être un bon pentester ? sachant qu'en plus le métier est extrêmement vaste comme on l'a un petit peu expliqué en introduction on pourrait faire des pentests sur des machines à café il y a peut-être des pentesters qui sont spécialisés sur ce genre de choses plutôt sur les IOT et puis peut-être d'autres qui sont plus spécialisés sur d'autres domaines comme par exemple le web et toi dans ton métier justement comment tu arrives à sélectionner des collaborateurs ou quels sont les critères importants pour toi pour les pentesters peut-être qu'on a dans les auditeurs de ce podcast... des gens qui s'intéressent à ce métier et qui veulent peut-être en faire leur métier définitivement. Pour toi, quels sont les critères et qu'est-ce qui est important pour toi dans le métier du pentester ?
Alors, être un bon pentester, par rapport à la manière dont j'ai grandi et aussi par rapport à toute la culture de ce que j'ai découvert de cet univers qu'est la cybersécurité ou même plus spécifiquement du hacking, dans tous les cas, il faut que ça se traduise par de la passion. Enfin, ça c'est vraiment la réponse qui vient des tripes que je te donne. totalement subjectif de comment je vis la chose. Lorsqu'on démarre un test d'intrusion, que ce soit sur du web ou sur un réseau interne d'une infrastructure, d'une certaine manière, il y a l'ego qui rentre en jeu. C'est, on veut y aller et on veut repartir qu'une fois que vraiment, enfin, on veut arrêter la mission une fois qu'on a vraiment tout trouvé. Alors là, généralement, au niveau de la gestion de projet, nous, en interne, c'est catastrophique. C'est surconsommation sur les enveloppes projet de ce qu'on a prévu par rapport au temps où on y passe. Mais bon, c'est la passion qui parle avant tout. C'est arriver à trouver le saint Graal. Si c'est un site web, c'est arriver à prendre le contrôle de la machine. Et si on n'y arrive pas, trouver les failles les plus proches en termes de gravité que celles que je viens de citer en exemple. Sur un réseau interne, c'est de ne pas s'arrêter tant qu'on n'a pas les super droits administrateurs sur toute l'infrastructure interne. C'est y aller avec l'ego et cet objectif en tête parce que c'est ce qui va motiver l'équipe. On ne travaille jamais sans être à minima en binôme par exemple. Parce que derrière en termes d'émulsion, d'échange des idées, de blocage de chacun, c'est là où tu as de la dynamique. Et finalement c'est aller trouver la petite faille qui n'a été trouvée par personne. Ou alors à défaut, trouver dans le cadre d'une prestation de service de Pentest, une faille qui n'a jamais été trouvée sur un produit qui est connu et utilisé de tous. Donc là tu es sur une faille qu'on dit zéro day. C'est ça la satisfaction qui fait que tu te dis, on a fait un super taf. Au-delà de ce volet technique, il y a aussi l'aspect de la qualité du reporting. Je pense qu'elle est trop souvent négligée, mais un bon rapport de Pentest sur un test d'intrusion interne, ce n'est pas des copiés-collés de templates de remédiation, de modèles de correctifs que tu t'es fait, parce que derrière tu ne vas pas les adapter soit à ton client, soit à ton secteur. secteur d'activité de celui-ci. C'est des livrables qui font plusieurs centaines de pages sur lequel il n'y a que de la donnée pertinente et on n'est pas à jouer à mettre des encarts ou des entêtes de présentation de réexplication de ce qu'on fait. Non, c'est que de la donnée sur laquelle tu sais qu'elle va être utilisée soit par le client, soit appropriée par l'un des acteurs de son écosystème comme on l'évoquait tout à l'heure, développeur, infogéreur, hébergeur, et que clé en main, sans même avoir à refaire une réunion de restitution par exemple ou de réexplication. ils vont comprendre comment résoudre cette problématique. Et la qualité du reporting, dans un bon français, pour moi, c'est aussi un des critères qualifiants et qui est finalement l'achèvement de ton travail. Lorsque tu fais six mois de recherche et que tu découvres une superbe innovation, si tu négliges la thèse que tu comptes publier et montrer à tout le monde, c'est dommage. C'est finalement la cerise sur le gâteau qui manque à la fin de ce projet.
En fin de compte, tu as fait, sans le savoir ou peut-être pas d'ailleurs, une aparté par rapport à un autre métier, puisque tu as parlé des chercheurs en cybersécurité, donc le fait de faire de la recherche. Mais il y a un autre métier qui est un petit peu annexe au métier de pentester, qui est le métier de bug bounty, enfin l'activité de bug bounty. Est-ce que tu peux nous expliquer un petit peu la différence entre les deux ? est-ce que c'est complémentaire ou pas ? quand est-ce qu'il faut qu'on fasse du pentest ? quand est-ce qu'il vaut mieux faire du bug bounty ? parce que je pense que enfin je crois savoir que toi aussi tu as fait du bug bounty dans ton passé voilà est-ce que tu penses que ça va être utile aussi pour tes clients de poursuivre finalement leur maturité avec le bug bounty ? Et puis, d'une certaine manière, si toi tu fais ton boulot correctement, le bug bounty derrière, il n'a pas beaucoup à faire. Donc, est-ce que le Pentest va un petit peu tuer le bug bounty ? Est-ce que tu peux nous donner un petit peu ta vision par rapport à ça ?
Alors, le bug bounty, anglicisme qui nous vient d'outre-Atlantique, puisque ça se développe progressivement sur le territoire européen, mais c'est vrai qu'historiquement, c'est plutôt les Américains qui l'ont assez vite mis en place. C'est vraiment le cliché du chasseur de primes. On peut faire l'analogie avec l'époque du Far West, avec le grand méchant Joe Dalton qui était recherché moyennant une récompense de 5000 dollars. Donc c'est un modèle économique déjà qui est différent du Pentest. Lorsqu'on réalise un Pentest pour un client, on va dire voilà, voici votre terrain de jeu. Nous on peut mettre tant de personnes sur le sujet et on va vous vendre une prestation de service qui va se quantifier en jour homme. Le Bug Bounty c'est un modèle économique différent.
Alors justement, excuse-moi, parce que j'étais un tout petit peu trop vite dans mon explication, si je n'ai pas introduit le sujet du bug bounty pour nos éditeurs. Donc, le pentest, c'est une activité qui est contractée avec une entreprise, comme Bezenun par exemple, sur un certain périmètre, pendant un certain temps, avec un certain budget. Et à la fin du projet, enfin de l'activité de pentest, il y a un rapport. dont Brice nous a parlé, et ce rapport, un petit peu la conclusion finalement, et le délivrable principal de cette activité. Alors que le programme de Bug Booty est beaucoup plus large, c'est-à-dire que généralement on passe via une plateforme, qu'une des plus connues en France est Yesuiac, et puis on va sélectionner des hunters, et on va leur proposer finalement un certain périmètre, et ces hunters vont essayer de rentrer dans le système. Et s'ils y arrivent, ils sont récompensés, alors que s'ils n'y arrivent pas, ils ne le sont pas. L'une des différences avec le pen test, c'est la durée. C'est-à-dire que le pen test est fait pendant une certaine période de temps, et donc à un instant T, on a une image, on va dire, très fine des failles de sécurité qui peuvent exister dans le système d'information, alors que le bug bounty sont souvent beaucoup plus longs dans le temps, puisqu'on peut avoir des programmes de bug bounty qui sont quasi perpétuels. Alors, excuse-moi, juste... parce que j'ai réintroduit le sujet pour nos auditeurs, et donc je te redonne la parole pour continuer à nous expliquer la différence entre Pentest et Bug Bounty, et selon toi, quels sont les avantages et les inconvénients des deux ?
Merci. Sur le volet Bug Bounty, effectivement, c'est aussi un modèle économique qui est différent, puisque la gratification se fait finalement à la faille. On trouve une faille, si elle est validée et avérée, donc on est toujours sur du factuel, finalement, comme pour le Pentest, comme pour un Pentest de qualité. Tu m'as demandé de définir avant. En fonction de la gravité de la faille, on est payé plus ou moins. Donc il y a une grille de rémunération pour une faille faible, c'est peut-être, je ne sais pas, 200 euros, 1000 euros pour une faille moyenne, 2000 euros pour une faille haute et 5000 euros pour une faille critique. Les grilles de rémunération varient en fonction de la taille des entreprises et de leur niveau de maturité, cybersécurité d'une part et puis combien de temps ils font du bug bounty également. Depuis plus un programme de bug bounty. à de l'historique et finalement plus il devient dur de trouver des failles très critiques parce que beaucoup de gens sont passés dessus on parle là de programme qui tourne 24 24 7 jours sur 7 donc n'importe qui à quel moment de la journée de la semaine ou du week-end peut s'y atteler et essayer de découvrir des failles alors
avec un tout petit bémol quand même qui est que les systèmes d'information des entreprises évoluent avec le temps quand on fait un pen test un instant t on est quasiment sûr des vulnérabilités à ce moment là Mais il ne faut pas oublier que les systèmes vivent. Il peut y avoir des erreurs, des mauvaises manipulations qui sont faites au niveau des systèmes qui vont créer des failles de sécurité qui peuvent éventuellement être détectées par les bug bounties.
C'est ça, c'est la partie vraiment photographie à un instant T pour le pentest d'une part et plus un modèle de surveillance continue sur le bug bounty, sur tout un périmètre. C'est toujours la notion de périmètre qui revient. Les deux, je les perçois de manière totalement complémentaire. avec un holà tout de même vis-à-vis du bug bounty, ne jamais avoir fait de pentest et démarré directement en bug bounty, ça va être un carnage. Ça va être un carnage parce que sur le bug bounty, vous vous retrouvez avec des acteurs qui, au lieu d'avoir une mission à réaliser, comme tu le disais tout à l'heure, sur un temps réduit d'une semaine par exemple, peuvent très bien prendre le temps de faire un travail de recherche. Quand je pense par exemple à certains GAFAM qui ont des programmes monstrueux en termes de gratification financière, on peut prendre le temps. de risquer peut-être six mois de recherche pour aller atteindre le jackpot en termes de rémunération, tout en prenant le risque au passage de potentiellement ne rien trouver. Ce qui fait que du coup, ça va souvent être des vulnérabilités qui sont bien plus pointues et d'un niveau de complexité supérieur qui peuvent être mis en exergue. à travers le spectre du bug bounty. Mais ce qui est bien au passage, c'est que même si elles sont plus complexes, la politique de transparence du bug bounty, généralement vu que ce sont des entreprises avec un niveau de maturité certain, parce qu'ils ont déjà l'habitude du pen test, et ils viennent compléter avec une surveillance continue à travers le prisme du bug bounty, de par leur niveau de maturité, beaucoup d'entreprises commencent à s'orienter vers une politique de transparence. J'aurais jamais imaginé par exemple, que puis à... il y a 10 ou 15 ans quand je démarrais, que des entreprises comme Microsoft, par exemple, un jour nous autorisent à publier nos travaux de recherche de vulnérabilité trouvée chez eux, une fois que celles-ci ont été corrigées. Et c'est génial parce que ça, on retrouve aussi l'esprit même du hacking, qui est un mantra auquel on tient énormément, qui est le sharing is caring Quand on trouve une faille innovante, mais qu'on est sous couvert de l'accord de confidentialité, qu'on ne peut pas en faire bénéficier la communauté à des fins de recherche et d'amélioration parce qu'un père... Un pair a aussi de la connaissance sur le sujet et va améliorer nos propres découvertes. Le bug bounty, avec sa stratégie de transparence, alors qu'elle n'est pas totale parce que certaines ne le permettent pas en cours, fait avancer la recherche et la découverte de nouveaux vecteurs d'attaque bien plus pointus. Et c'est pour cette raison qu'à titre personnel, on recrute majoritairement des hunters au sein de BZ2. Parce qu'on est sur des collaborateurs qui vont déjà avoir un niveau de résilience certain. Quand on se casse les dents six mois avec le syndrome de l'imposteur, émotionnellement, c'est très challengeant et on pourrait faire l'analogie avec le poker. Il faut arriver à vivre avec l'adrénaline de la découverte d'une faille et de la prime qu'on touche et puis de la redescente derrière qui dit bon ben voilà, j'ai fini, sur quoi je passe maintenant comme nouvelle recherche ? Et ça développe énormément la résilience et ça fait prendre beaucoup de recul par rapport au syndrome de l'imposteur. Et ces valeurs-là appliquées au Pentest, moi je trouve ça génial.
Mais dis-moi, parce que Bug Booty, c'est-à-dire Chaser de Prime, là tu viens parler de la fièvre de l'or, ça fait un peu Far West quand même tout ça.
Très clairement, oui. En termes de dénomination de l'activité, c'est clairement inspiré du Far West. Tu vois, le monde se divise en deux catégories. Ceux qui ont un pistolet chargé et ceux qui creusent. Toi, tu creuses.
Ok. Alors justement, si maintenant on parle un petit peu de l'avenir, parce qu'on a tracé les grands traits des pentests, et je pense que les auditeurs maintenant ont bien compris à quoi ça servait, comment on pouvait compléter aussi l'activité de pentesting avec un programme de bug bounty, selon toi, comment ton métier va évoluer justement ? Est-ce que ça va continuer à être un petit peu ce Far West ? Comment tu vois l'avenir ? Est-ce que certaines choses vont se démocratiser ? Est-ce que tu penses que l'intelligence artificielle, par exemple, va améliorer certaines choses ? On a parlé, par exemple, des scanners que tu utilisais pour trouver un petit peu, déjà, on va dire, les vulnérabilités les plus basiques. Mais est-ce que tu penses que demain, par exemple, on peut peut-être utiliser de l'IA pour aller automatiquement trouver des failles potentielles dans du code source ? Ou alors, est-ce qu'il y a peut-être d'autres sources ou d'autres outils qui, demain, permettront d'améliorer l'open test ? et ou le bug bounty ?
C'est déjà le cas d'une certaine manière. Je me dis que les outils que j'utilise à l'heure actuelle ou que l'équipe utilise lorsqu'on réalise un pen test, lorsqu'on réalise de la recherche en bug bounty, c'est des outils qui, il y a 10 ans, n'existaient pas, où les opérations étaient plus, effectivement, manuelles, mais on est en train d'industrialiser au fur et à mesure qu'on partage la connaissance, que les générations se succèdent, et c'est ce qui fait que le métier évolue. le fait de me dire dans dix ans j'aurai plus de travail, je suis pas inquiet. Pour quelles raisons ? Parce qu'effectivement on voit l'intelligence artificielle qui se développe, alors de là à crier sur tous les toits Pentest is dead je reste très modéré dans le propos, mais en fait je le vois plus comme un atout qu'un adversaire. Parce que nous-mêmes, si demain sur les tâches redondantes, un peu plus pénibles de notre activité au quotidien, on peut arriver à servir Par exemple, de l'intelligence artificielle, et on l'a vu assez récemment avec ce qui se passe depuis trois semaines avec l'outil gratuit qui a été mis à disposition, qu'est ChatGPT, pulsé par une association, je crois que ce n'est pas une entreprise qui s'appelle OpenAI. On l'a utilisé et on l'a confronté à ce qu'on fait au quotidien. Effectivement, on s'est rendu compte que sur certains aspects techniques, ça pouvait être un allié. Certains en interne l'appellent même un peu l'esclave. mais qui nous améliore notre confort et notre travail au quotidien pour se concentrer sur ce qu'à date, elle n'est pas capable de faire. Et puis même si dans six mois, de par ses évolutions, elle devenait capable de faire des choses où là on se sentirait dépassé. Au final, on lui confierait ce qu'on fait, mais plutôt que de s'attaquer à des systèmes d'information, si elle le fait très bien pour nous demain, on va juste déplacer le problème. Le nouveau challenge sera de trouver des vulnérabilités au sein même de l'intelligence artificielle. Notre état d'esprit ne changera pas. On nous donne un nouveau jouet technologique qui évolue. Et dans l'informatique, le cycle de vie d'une technologie, je crois que c'est cinq ans en moyenne. Il va falloir qu'on grandisse avec et qu'on continue d'évoluer avec. Si aujourd'hui on casse des machines Windows par exemple et des sites web, si dans 5 ans ce sera des intelligences artificielles qui nous feront à notre place, on se concentrera sur l'intelligence artificielle. Hello, Ausha.
Super. Écoute, je pense qu'on a bien fait le tour de ce que c'est qu'un pentest. Est-ce que tu peux peut-être nous rajouter le mot de la fin ou quelque chose qui te semble être pertinent par rapport au pentest pour que tout le monde comprenne l'importance de ce genre de choses ?
Aujourd'hui, au-delà d'être effectivement le fondateur de l'entreprise, Je continue de conserver la casquette et je sais que ça... Je fais un clin d'œil à Marc-Antoine qui va s'arracher les cheveux quand il va entendre que je tiens ce genre de propos. Je me désigne en tant que hacker éthique. On a eu un très long débat sur ce qu'est un hacker éthique et l'oxymore que représente ce terme. Je suis un passionné d'informatique, dont le terrain de jeu, c'est Internet. Internet, pour moi, c'est une boîte de Lego sur laquelle il n'y a pas de manuel et un nombre de pièces illimitées. Le métier de pentester, c'est de se lever le matin et de se dire... quelle nouvelle fabrication Lego je pourrais faire, ou à défaut, on me confie un nouveau jeu d'énigmes, comment je pourrais le résoudre. C'est un métier de passionné qui est assez éprouvant parce qu'il demande un temps dédié à l'apprentissage qui est bien supérieur à ce que malheureusement encore à ce jour on nous enseigne dans les écoles ou dans les cursus. Alors même s'il y a une transition qui est en cours, on a un long chemin à parcourir. Mais c'est un métier dans lequel vous vous épanouirez à condition que vous soyez passionné et curieux. Donc apprenez à apprendre et à partir de là, en tant que pentester, vous n'aurez plus de limites parce que chaque jour sera nouveau et les failles que vous découvrirez, même au bout de 10 ans d'activité, je ne me suis jamais dit une seule fois, je m'ennuie.
Je crois que tu as tout dit par rapport au métier de la cybersécurité parce que c'est des métiers qui sont extrêmement durs, mais tellement passionnants. Et justement, quand on est passionné, c'est ça qui nous fait tenir et c'est ça qui nous fait justement... progresser dans le métier avec une envie évidemment de découvrir des nouvelles choses et toujours de mieux faire. Et ce, quel que soit aussi son rôle en matière de cybersécurité, que ce soit des gens qui travaillent plutôt dans le pentest ou que ce soit des gens qui travaillent plutôt dans l'organisation. Tous les métiers qui sont liés à la cybersécurité sont vraiment des métiers de passion. En tout cas, Brice, je te remercie. Je te souhaite de jouer encore très très longtemps avec cette énorme boîte de Lego. Et je te souhaite bon courage dans tes activités de Pentest. J'espère qu'on aura l'occasion de se revoir, peut-être dans des conférences ou des choses plutôt liées à cette activité. Et donc, pour finir, comme vous le savez, pour certaines personnes, la cybersécurité est un enjeu de vie ou de mort. C'est bien plus sérieux que ça.
Description
Pour tout comprendre des tests de pénétration avec Brice AUGRAS de la société BZHunt.
Présentation de Marc-Antoine LEDIEU (Technique et droit du numérique) https://technique-et-droit-du-numerique.fr/438-le-droit-au-pen-test-sur-l-hebergeur-du-pen-teste-en-2023/
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, j'ai ramené un copain. Bonsoir et bienvenue dans la cybersécurité expliquée à ma grand-mère. C'est un numéro spécial, un hors-série de nouveau, et ce soir on va adresser un point très particulier qu'on appelle le pentest, les tests de pénétration. Alors ma grand-mère pensait que c'était quelque chose de sexuel, mais rassurez-vous, ça n'a rien à voir. Pour parler des pentests, le mieux, c'est d'inviter un pentester. Ce soir, j'ai l'avantage et l'honneur d'accueillir Brice Ogra, qui est un pentester et qui fait partie de la société. D'ailleurs, il est le président de la société BZ Hunt. Il va justement nous parler de son métier, de faire du pentest, et de tous les éléments importants pour faire un pentest, que ce soit des éléments plutôt techniques, mais aussi des éléments juridiques. et comment bénéficier du pentest, quelle est la plus-value finalement de faire un pentest pour son organisation. Alors Brice, est-ce que tu veux bien te présenter ?
Bonsoir, merci encore Nicolas pour l'invitation, c'est vraiment un plaisir de venir partager en ce vendredi soir. Alors je sais que nos cerveaux ne sont pas forcément les plus actifs avec la fin de semaine, mais voilà la présentation. Je m'appelle Brice Ausha, je suis passionné de cybersécurité, le fameux néologisme des termes fourre-tout depuis plus de 15 ans. Mais très spécifiquement, ça fait environ 7 ou 8 ans que je réalise des tests d'intrusion pour les entreprises de toute taille. Et c'est également ce que je continue de faire et de développer avec toute l'équipe de BZDunt depuis novembre 2020, date à laquelle j'ai fondé l'entreprise. Alors il faut savoir qu'on est localisé du côté de Brest, vraiment sur la terre du bout du bout, juste à côté de la mer. Mais on opère néanmoins à l'échelle européenne ou mondiale. puisqu'on est ravis de découvrir plein de métiers et d'aller intervenir dans plein de secteurs d'activité où on apprend énormément de choses.
Alors juste une première question, est-ce qu'il faut être breton pour faire un bon pentester ?
Si c'est accompagné de galettes saucisses, oui. Sinon, non. Il faut avant tout être passionné par contre. Et je vois que tu cherches à ouvrir le débat de ce qu'est peut-être le pentest qu'on pourrait considérer d'autres qualités ou non. Qu'est-ce que c'est que ça ? Qu'est-ce que c'est que la tenue cérébricule ? Oui, parce que je suis breton, ma grand-mère a inventé la galette saucisse. Le Pentes, par contre, si je devais essayer de le définir, effectivement, avec un petit peu de cynisme, ce n'est pas dérouler un scanner de vulnérabilité automatisé. C'est vraiment réaliser un test d'intrusion et de fabriquer des attaques bien spécifiques. Alors, encore à Manon, on n'est pas encore totalement remplacé par les machines, mais bon, qui sait, nous en parlerons peut-être ce soir.
Alors justement, je pense que c'est de l'artisanat de qualité dont on va parler ce soir.
Exactement, c'est ça. C'est apprendre à maîtriser des vecteurs d'attaque qui sont nouveaux et il en sort pléthore tous les jours, que ce soit sur les réseaux sociaux, lâchés brutalement un vendredi soir au moment où les responsables informatiques partent en week-end. Mais c'est de la veille continue et c'est un travail de recherche et de développement très très important. Ça, on l'a vraiment intégré pour toute l'équipe pour se maintenir à jour sur eux. comment notre écosystème et comment toutes les failles évoluent au quotidien.
Alors justement, est-ce que tu pourrais nous faire une petite introduction, une introduction générale au pentest ? Donc déjà, pourquoi on fait des pentests et aussi dans quel cadre juridique ? Parce que ça, c'est quelque chose d'assez important. On ne fait pas des pentests comme ça n'importe comment. Quelle est ta méthodologie ? Comment tu qualifies aussi ce que tu vas trouver ? C'est important parce que le pentest a pour but de trouver des vulnérabilités. Mais comment tu arrives à les qualifier ? Comment tu arrives à les... finalement à les rendre opérables et du moins intelligibles pour la personne qui a demandé ce pentest.
Alors, pourquoi est-ce que les entreprises à date souhaitent réaliser des pentests ? Certaines le font parce que le voisin s'est fait pirater il n'y a pas très longtemps malheureusement, d'autres le font de manière proactive. Dans tous les cas, un pentest, c'est un test d'intrusion où on intervient dans un contexte de proactivité, contrairement au curatif qui est la réponse à un incident par exemple, lorsque le feu est déjà déclenché. Donc le Pentest, les entreprises nous missionnent dans le but de chercher à identifier, pour tous les actifs numériques qu'elles possèdent, ça peut aller d'un serveur à un site exposé sur Internet, à un parc de postes informatiques et de serveurs, à identifier sur ce qu'elles ont mis en place et ce qu'elles utilisent au quotidien, c'est-à-dire la façon dont elles se comportent avec leurs outils informatiques et leurs solutions logicielles, à identifier toutes les failles présentes. Donc les entreprises viennent nous voir pour comprendre ce qui ne va pas, et à identifier pour nous finalement. tous les points d'entrée au sein de ce qu'on appelle leur système d'information. Donc c'est tout ce que je citais, tout équipement qui est connecté à un réseau et qui comporte de l'électronique finalement. Et le pentest, c'est mettre en évidence des failles, les expliquer aux clients avec différents niveaux de vulgarisation en fonction de qui on a en face, et derrière, d'expliquer comment on peut corriger les failles identifiées. Donc ça, de manière très généraliste, voici ce qu'est un pentest et voici pourquoi les entreprises cherchent à le faire. In fine, c'est augmenter leur niveau de sécurité et leur niveau de maturité vis-à-vis de l'outil informatique qu'elles utilisent. Certaines le font plus que d'autres en fonction de leur secteur d'activité. en fonction de leur budget, en fonction du risque de ce qu'elles traitent au quotidien. Un serveur qui sert par exemple à partager les photos des journées du CE de tous les collaborateurs, ce n'est pas aussi risqué qu'une machine qui va comporter 10 ans d'historique de transactionnel bancaire. Donc derrière, cette stratégie de savoir à quel point elles sont vulnérables et comment elles vont améliorer leur sécurité, elles le font aussi en fonction de la gravité. de ce avec quoi elles traitent au quotidien et du budget qu'elles ont, effectivement. Une fois qu'elles se sont posées ce genre de questions, on parlera de méthodologie. Alors, la méthodologie d'un test d'intrusion, c'est un cycle de vie bien défini. Ça commence par ce qu'on appelle de la qualification du périmètre. En gros, lorsqu'on réalise un pentest, pour nous, vulgairement, en interne, c'est ce qu'on appelle le terrain de jeu. C'est ce sur quoi on va aller s'amuser et ce qu'on va s'amuser à aller casser. On échange et qu'on qualifie un client qui nous dit j'ai un besoin, j'ai besoin que vous travailliez pour nous on va lui dire il n'y a pas de problème, il faut faire une qualification périmétrique, c'est-à-dire le nombre précis de sites web, de machines sur lesquelles il souhaite qu'on réalise ses tests d'intrusion Et ça rejoint l'interrogation que tu me demandais sur le volet juridique. Dans le cadre d'une contractualisation, il faut cadrer ce périmètre en disant à quel moment on va intervenir ? D'où est-ce qu'on va attaquer ? Qu'est-ce qu'on va attaquer ? Et ça, il faut le mettre noir sur blanc. Le tout couvert, bien sûr, d'un accord de confidentialité, parce que ça reste des missions qui sont très sensibles.
Alors justement, sur le périmètre, tu as expliqué que tous les objets qui étaient connectés, finalement, pouvaient être pentestés. Donc il y a le cas le plus général des sites web. Alors ça, c'est un grand classique. Est-ce qu'un site web est vulnérable ou pas ? Mais potentiellement, on pourrait très bien faire des pentests aussi sur la machine à café, si d'aventure elle était connectée au réseau.
Exactement. Et aujourd'hui, ça se diversifie énormément. Et là où on le retrouve le plus, C'est lorsqu'on fait le corollaire avec tout ce qui est test d'intrusion physique, parce que c'est aussi un point de notre activité. Et lors des tests d'intrusion physique, on va se servir d'actifs, le fameux IoT, tous les objets surconnectés, mis sur le marché à des vitesses incroyables et qui malheureusement sont généralement au détriment de la sécurité. Tout ce qui est caméra, badgeuse, imprimante, système de suivi de QR code sur des chaînes de production. A ce jour, ce sont des équipements connectés mais qui font partie de ce qu'on appelle le système d'information. Et ce type d'équipement communique avec le reste de ce qui compose un système d'information, c'est-à-dire les postes des collaborateurs, les serveurs utilisés, et constitue généralement, malheureusement, des points d'entrée et des vecteurs d'attaque qu'on peut déployer sur des actifs qui ne sont pas chers, qui ne sont pas sécurisés et qui nous facilitent le fait d'arriver à s'introduire. Donc la machine à café, finalement, oui, ça peut être un vecteur d'entrée au sein d'un gros site industriel par exemple.
Super. Et alors maintenant, est-ce que tu peux nous expliquer juste sur les aspects juridiques ? Alors, on va faire un petit coucou à Marc-Antoine Ledieu, qui est un grand spécialiste de ce genre de sujet, avec lequel tu as collaboré justement pour travailler sur les aspects juridiques. Il a d'ailleurs récemment sorti quelques slides vraiment pour parler de la problématique des pen-tests. Je les rajouterai dans les commentaires de ce podcast, de cet épisode. Mais est-ce que toi, tu peux nous donner ta vision des choses et surtout l'importance finalement de définir les choses correctement d'un point de vue juridique pour te protéger et pour te protéger aussi ton client ?
Alors c'est vraiment un sujet qui est très conséquent, puisqu'effectivement il y a des enjeux juridiques d'une part, qui sont complémentaires avec des enjeux également normatifs. Certains connaissent très bien ou ont bien entendu parler durant 2018 de ce qu'on appelle le RGPD par exemple. Alors pour ceux à qui c'est moins évocateur, c'est le cliché très concret du mail que vous receviez à cette époque-là, en disant êtes-vous bien sûr de vouloir souscrire à notre newsletter ? Mais finalement, sur les dernières années, on a eu et on continue d'avoir des fortes évolutions juridiques et normatives qui expliquent, à l'échelle nationale, donc de la France, ou à l'échelle européenne, comment évolue la cybersécurité. Et comment, au sein du fameux terme cybersécurité On va devoir dans les années à venir considérer la donnée à caractère personnel, c'est-à-dire tous les acteurs qui possèdent mon nom, mon prénom, ou tout ce qui permet de m'identifier de manière directe ou indirecte. Il y a énormément d'évolutions. Et il y a aussi énormément d'évolution sur tout ce qui est la sécurité des systèmes d'information en sens large. Donc on a des directives qui sont publiées, on a des textes de loi qui sont publiés, et on est noyé sous une forme d'information. Mais très concrètement, que faut-il en retenir ? À ce jour, notre métier est légal, est encadré par des approches contractuelles. On signe un contrat de prestation de service avec les clients qui nous mandatent pour réaliser ce genre de test offensif, comme dirait Marc-Antoine parce que... vous êtes des gars qui possédez des armes numériques, très concrètement, mais lorsqu'on signe une prestation de service avec un acteur qui finalement se positionne en tant que mandataire, c'est-à-dire il vient nous voir et nous dit, venez casser mon système d'information, le système d'information en question ne lui appartient pas tout le temps. Parce que l'informatique d'une grosse entreprise, il y a une pluralité d'acteurs qui interviennent dans cet écosystème informatique, des hébergeurs, des infogéreurs, des développeurs qui appartiennent à des entreprises tierces, et... Et la question du juridique, c'est finalement comment arriver à mettre tout le monde d'accord pour donner à des acteurs comme nous le droit de venir réaliser des thèses d'intrusion. Et ça, c'est très compliqué.
Juste pour nos éditeurs, pour illustrer un tout petit peu le problème des différents acteurs, c'est que finalement, on est rarement seul à gérer l'informatique. Il y a beaucoup d'entreprises qui vont déléguer leur activité de prestation informatique à un infogéreur. C'est ça. premier cas, donc il faut se mettre d'accord déjà avec Centinfo GA, mais il y a un cas un petit peu plus compliqué quand même qui est quand on utilise un cloud, puisque là dans ce cas-là comment on fait un pentest sur un cloud aussi ça peut être un petit peu compliqué et encore plus subtil que ça quand on va hacker un site web enfin du moins quand on va pentester un site web quelles sont les conséquences en termes de périmètre et puis surtout... ça peut arriver que malheureusement en faisant le pentest il peut y avoir des petits problèmes de stabilité et on peut éventuellement faire tomber le site et dans ce cas là le prestataire doit être prévenu en avance et qu'il y ait un pentest en cours justement pour le remettre sur pied le plus rapidement possible donc c'est aussi dans entre guillemets important de communiquer avec eux parce qu'en cas de problème ça permet de réagir beaucoup plus vite plutôt que de se poser des questions si c'est une vraie attaque, une fausse. et de réagir avec beaucoup de retard. Donc c'est aussi un intérêt finalement de communiquer pour être beaucoup plus rapide en cas de problème.
Et donc de manière complémentaire, au-delà du fait d'avertir tout le monde, on a aussi, alors je force le cliché, mais beaucoup de paperasses à signer en amont et avant le démarrage d'un tel type de mission. Déjà, lorsqu'on échange avec le client, tout se fait sous couvert de confidentialité. Donc on va signer. Un accord de confidentialité qui garantit qu'on n'ira pas crier de main sur tous les toiles les vulnérabilités qu'on a trouvées chez le client qui nous a mandatés. Ça, c'est des premiers éléments qui sont cohérents et qui semblent assez évidents. Néanmoins, de manière complémentaire, on met en place aussi ce qu'on appelle des accords d'autorisation de conduite de test. C'est-à-dire qu'on va expliquer, nous, tout comme je le disais, d'où on va attaquer, ce qu'on va attaquer et quand on va le faire. Ça permet aussi d'avertir, typiquement... Si on le fait sur des horaires non ouvrables, le week-end par exemple. Donc il faut donner de la visibilité sur les 5 W, donc qui, quand, comment, où et quoi, etc. vont être déroulés les tests. Et de façon complémentaire, il faut aussi souscrire à ce qu'on appelle une RCP en tant que professionnel. Donc comme toute entreprise, il n'y a pas énormément d'acteurs, mais une RCP c'est donc une responsabilité civile professionnelle. Globalement, c'est l'acteur qui va sortir le chéquier si vous cassez une grue à 70 millions d'euros lorsque vous réalisez un pen test. et que vous la cassez accidentellement. Ce sont ce type d'acteurs qui nous protègent, même si on essaye en amont de blinder, de dérisquer la situation le plus possible. Si jamais il arrive quoi que ce soit, ce sont eux qui prennent le relais en cas de négligence de notre part. Au-delà des tournures potentielles juridiques qui pourraient nous retomber dessus si jamais le client se retournait contre nous ou si l'hébergeur se retournait contre son client et indirectement vers nous derrière.
Super. Là, on a abordé un petit peu, on va dire, l'aspect administratif du pentest, la relation avec le client, les aspects juridiques. Mais est-ce que maintenant, tu peux rentrer un petit peu plus dans le sujet et nous expliquer comment se déroule un pentest ? Donc, tu as parlé un petit peu sur la notion de périmètre, donc finalement, ce qu'on appelle le scope, qu'est-ce qui va être inclus dans le test ? Mais quelle va être ta méthodologie ? Est-ce que tu vas travailler en mode de black box ou white box ? Si tu peux nous expliquer un petit peu comment ça fonctionne. et puis surtout quelles sont pour toi les grandes étapes que tu vas mettre en oeuvre lors d'un pentest.
D'accord donc ce que je peux te proposer c'est dans un premier temps de te décrire le cycle de vie d'un pentest tel qu'on l'opère et par la suite sur la partie BlackBock ou grey box, là c'est plus dans une phase de qualification avec le client qu'on l'établit. Sur le cycle de vie, la toute première étape, c'est dès les premiers échanges de qualification commerciale avec un client, c'est effectivement de faire ce cadrage périmétrique. Parce que ce cadrage périmétrique, ça rejoint le sujet administratif, nous permet au passage d'identifier tout l'écosystème d'acteurs qui vont être concernés par ce genre de prestations. Une fois que le cadrage périmétrique est fait, Des fois, on contribue même dès les phases de qualification à aider le client, à lui dire Ah, mais vous avez aussi ce site web-là parce que certains, malheureusement encore à date, ne maîtrisent pas totalement tout ce qu'ils ont en termes d'actifs sur leur système d'information.
Malheureusement, un grand classique, ça.
Ah, je l'avais oublié, ce site web-là, qui est là depuis 10 ans. Ah bah oui, effectivement, il est intéressant. Et donc, la mission démarre ensuite. On utilise, nous-mêmes en interne, des scanners de vulnérabilité automatique. et open source auxquels on contribue et on alimente par exemple avec les failles qu'on découvre manuellement ou au cours de nos sessions de R&D. Ces scanners-là nous permettent de dégrossir les premières vulnérabilités qui vont être trouvées, mais ce n'est pas là où est la valeur ajoutée et ce qu'on considère comme étant l'essence même du pentest.
Alors juste pour nos éditeurs, parce que les scanners de vulnérabilité, c'est un outil qu'on utilise très souvent en sécurité. Et certaines personnes pourraient se dire, pourquoi faire un pentest ? Parce que finalement, il suffit de tourner un scan et c'est suffisant. Alors ça, c'est une erreur. Déjà, qu'est-ce qu'un scan ? Un scan de vulnérabilité, c'est un système automatique qui permet de tester tout un ensemble de scénarios possibles et de voir si les systèmes sont vulnérables ou pas. Donc ça permet déjà d'avoir une bonne vue sur les vulnérabilités existantes. Ça, c'est déjà un premier point. Pourquoi finalement ce n'est pas suffisant ? Et je pense que Brice va nous expliquer finalement la plus-value du pentest. c'est qu'il suffit d'avoir le scan pour trouver les vulnérabilités. Donc du coup, à partir de ce moment-là, si quelqu'un achète juste la licence de scan, il n'y a pas forcément besoin d'avoir beaucoup de connaissances en matière de pentest pour aller trouver des vulnérabilités. En revanche, c'est important pour un client de savoir que ces vulnérabilités existent. Mais ce n'est pas la vraie plus-value finalement des pentests. Est-ce que tu peux me confirmer cette assertion, Brice ?
Je te la confirme effectivement. Aujourd'hui... Nous, on les utilise en interne et en amont du démarrage du Pentest. Pour quelles raisons ? Parce que derrière, on met énormément l'emphase sur la capitalisation et l'internalisation de la compétence au sein de nos clients, chez nos clients. Ce qui fait que c'est généralement des acteurs qui ont un niveau de connaissance, malheureusement, où ils démarrent. Ils sont au niveau zéro de la cybersécurité. C'est souvent un premier exercice. Et les scanners de vulnérabilité automatique, on a plutôt tendance à leur dire, vous ne démarrez avec ça, en autonomie, vous, derrière. Mais sur la valeur du pen test, de ce qu'on va réaliser, des tests manuels, ce sera là où on aura la vraie valeur ajoutée pour les clients. Parce qu'un scanner de vulnérabilité, typiquement, j'ai quelques exemples en tête, il ne va pas savoir illustrer par exemple une fraude financière sur un site e-commerce ou le processus d'achat du dernier canapé en cuir. Il se fait sur neuf étapes, entre l'ajout au panier et la saisie des coordonnées bancaires et la confirmation de commande. Ça, un scanner de vulnérabilité ne sait pas l'exploiter ou trouver des failles dans ce type de fonction. Et c'est là où nous nous intervenons. J'ai donné l'exemple avec un site e-commerce, appliqué à un réseau interne par exemple d'une entreprise, utilisé les dernières vulnérabilités qui sont sorties chez Microsoft ces deux dernières années pour arriver à obtenir ce qu'on appelle en anglais les keys of the kingdom, donc les clés du royaume pour contrôler toute l'infrastructure. L'outil de test automatisé ne sera pas non plus le réaliser malheureusement. Et de manière complémentaire, ce sont également des outils qui très souvent ont ce qu'on appelle des faux positifs, c'est-à-dire qu'ils pensent identifier des vulnérabilités, mais de manière objective et factuelle, ne savent pas démontrer un impact et ne savent pas exploiter ces vulnérabilités et attester d'un impact réel. Lorsqu'on parle d'une faille établie ou d'une vulnérabilité observée lors d'un pen test réalisé de manière artisanale, comme tu l'évoquais, on ne fait pas que mettre en évidence la faille, on prouve l'impact. très concret en termes d'indisponibilité de services, en termes d'atteinte à la confidentialité ou en termes d'atteinte à l'intégrité des données concernées.
Pour résumer, effectivement, si simplement faire tourner un scan de vulnérabilité, c'était suffisant pour faire de la cybersécurité, ce serait tellement simple, mais malheureusement, ce n'est pas tout à fait comme ça que ça se passe. Et par définition, justement, les problèmes de sécurité sont toujours à des endroits auxquels on ne voit pas, c'est toujours dans les angles morts. Et encore une fois, le scanner est un... bon moyen finalement d'identifier des vulnérabilités, et tu le disais très justement, il faut impérativement vérifier aussi que ce soit des vrais positifs, parce que effectivement il y a beaucoup de faux positifs, mais c'est loin d'être suffisant parce que les vrais problèmes, eux, sont toujours dans des endroits qu'on n'a pas vérifiés et qu'on n'a pas encore explorés. Maintenant que tu nous as expliqué un petit peu cet aspect-là, continuons sur le cycle de vie du pentest.
Lorsqu'on démarre le pentest, on a le côté un petit peu très corporate. On n'appelle pas ça des vulnérabilités dans nos rapports, on parle de points d'observation. Généralement, ça fait moins peur à un directeur général au-delà qu'à un responsable informatique, c'est plus corpo. Mais on parle de point d'observation et un point d'observation au sein d'un rapport, comment est-il constitué ? Une faille finalement, c'est ce qu'on appelle une description. Il faut expliquer quelle est la faille, comment on l'exploite, donner de la matière technique pour que le client puisse reproduire en autonomie la faille. En disant, ah donc ils m'ont dit que j'ai une faille là, qu'ils ont exécuté ce code là pour la mettre en évidence. Ok, ils m'ont donné le code, voilà je peux reproduire en autonomie. Donc on décrit la faille dans un premier temps de la manière la plus exhaustive possible. Tout en faisant preuve. au passage de vulgarisation. Parce que cette vulgarisation va être importante pour l'état d'après, qu'on appelle la partie qui concerne l'impact et l'incidence. Une faille, aujourd'hui, il existe des standards de notation, un peu comme à l'école. On donne des notes à la gravité de nos failles. Donc ça varie par exemple de 0 à 10. Et il existe des standards pour calculer la gravité d'une faille. J'en pense à un en particulier qu'on appelle, c'est un angliciste qui s'appelle le scoring CVSS. J'ai complètement oublié la définition de la chronique, mais on renseigne des champs dans ce scoring. Il y a plusieurs champs à remplir, et à la fin, ça nous donne une note de 0 à 10. 0, impact nul, gravité nulle. 10, impact très sévère. Une faille à 10, par exemple, c'est que je me balade sur un site web, et en abusant d'une fonctionnalité sur ce site web, j'arrive à prendre le contrôle de la machine qui fait tourner le site web. Sans être inscrit sur ce site web, par exemple. Donc c'est très grave.
Alors, je crois que le CVSS peut-être être Common Vulnerability Security Score, quelque chose comme un danger là, c'est probable. Alors, en plus de ça, c'est un modèle qui a évolué avec le temps, parce qu'il y avait une première version, une deuxième version, une troisième version. Donc, en plus, ça s'est un peu adapté. Mais effectivement, c'est un moyen très simple de comprendre si une vulnérabilité est importante ou pas. Alors, juste pour nos éditeurs qui sont les moins, peut-être, férus de technique, quand le CVSS est relativement bas, c'est-à-dire quand le score est bas, aux alentours de 1 ou 2, finalement ce sont plutôt des informations qu'on peut récupérer de l'extérieur alors qu'elles ne devraient peut-être pas l'être. Mais ce n'est pas ça qui va vous donner une grande capacité à attaquer un site web. Par contre, plus le CVSS va augmenter, et surtout quand il va être dépassé en neuf, ça veut dire que vous avez la capacité de prendre la main sur une machine à distance et surtout d'être quasiment administrateur de cette machine. Donc là, c'est un peu le but en or. la capacité de prendre la main sur le système d'information, avec une incidence évidemment extrêmement grave, puisque ça, ça veut dire qu'un hacker est capable de prendre la main sur votre système d'information. Donc c'est un moyen simple finalement de synthétiser le risque que représente une vulnérabilité. À savoir aussi, mais je pense que tu vas en parler, c'est que la vulnérabilité dépend aussi de son exposition, c'est-à-dire avoir une vulnérabilité qui est extrêmement forte. mais sur une machine qui n'est pas du tout accessible ou alors de manière très très compliquée, ça mitige le risque, alors que d'avoir la même vulnérabilité mais exposée sur Internet, là ça démultiplie le risque et ça aussi quelque part ça doit apparaître un petit peu dans l'évaluation de ce risque. Je te laisse continuer Brice.
Merci. Donc du coup effectivement au niveau du score CVSS, pour pouvoir obtenir la note finale, il faut renseigner plusieurs champs. Dans les champs qu'on renseigne, Tu viens de l'évoquer, c'est effectivement ce qui va influer sur le score final entre une machine qui est sur un réseau interne où le fait de pouvoir la compromettre, c'est conditionné par le fait qu'on soit nous-mêmes présents sur le réseau interne ou si elle est exposée sur Internet. Déjà, en termes de vraisemblance du risque, on n'est pas sur les mêmes niveaux. Et il y a d'autres critères qui interviennent. À quel point l'attaque est complexe, par exemple ? Est-ce que ça va me coûter 10 000 dollars et 6 mois pour pouvoir exploiter cette faille et arriver à avoir un impact démontré ? Ou est-ce que ça prend 5 minutes et 2 clics de souris ? Il y a aussi des éléments de contexte qui interviennent. Est-ce qu'au niveau de l'application, par exemple, sur laquelle je suis en train d'identifier une faille, est-ce que j'ai besoin d'avoir au préalable créé un compte ? Et c'est là où la notion de boîte noire et de boîte blanche, laquelle on reviendra, est intéressante. Dans tous les cas, les impacts sur lesquels on va évaluer la gravité, c'est les trois vecteurs que j'évoquais tout à l'heure. La notion de confidentialité, est-ce que je peux accéder à de la donnée concernant laquelle je ne suis pas censé accéder ? Si c'est de la donnée personnelle, alors là on prend une dimension européenne avec le RGPD qui est d'autant plus grave, parce qu'on parle d'amende. au-delà de faille. Est-ce que je peux impacter l'intégrité de la donnée ? Finalement, est-ce que sur un site où il y a plein d'utilisateurs qui sont enregistrés, je peux changer le prénom d'un certain Mickaël en Francis, par exemple ? Est-ce que je peux altérer la donnée et changer son intégrité ? Et le dernier volet, alors pour le coup, on a tendance à l'exclure en pentest, parce que ça rejoint le sujet des faits de bord que tu as évoqué tout à l'heure. Est-ce que ma faille me permet de rendre partiellement, voire totalement indisponible, la cible que j'ai en face ? Généralement les clients ne sont pas très friands, surtout si c'est des environnements qui sont en production, c'est-à-dire utilisés au quotidien par tous les collaborateurs de l'entreprise. Donc on essaye de minimiser et d'éviter les vecteurs d'attaque qui vont s'orienter dans cette direction où à l'issue on sait que potentiellement on peut faire s'écrouler le site. Une fois qu'on a renseigné tous ces éléments que je viens de citer, on a la note finale. Et puis on continue durant toute la mission à identifier un maximum de failles, à les décrire, à leur donner une note, mais... Il faut savoir que le score CVSS malheureusement a aussi ses limites. Et on a un exemple très évocateur, et j'en reviens à de la fraude financière sur les sites e-commerce. Ils ne prennent pas en considération ce qu'on pourrait qualifier d'impact business par exemple. Être en capacité sur un site e-commerce qui brasse des millions d'euros tous les jours, d'acheter le dernier iPhone à la mode pour la Modixon de 3 euros, c'est une faille. C'est une faille qu'on peut exploiter. Dans le cadre d'un processus d'achat, par exemple, c'est ce qu'on appelle une faille d'ordre logique. En termes de scoring CVSS, cette typologie de faille, c'est seulement 6,3 sur 10. Donc finalement, elles sont classifiées comme étant moyennes. Mais sauf que le client, lorsque vous lui dites que vous avez trouvé ce genre de faille, il va vous dire que votre méthode de scoring n'est pas adaptée à mes contraintes opérationnelles et métiers. Et ces contraintes opérationnelles et métiers, elles varient et on observe que ça change d'un secteur d'activité à l'autre. que dans un bon pen test, ce n'est pas juste lâcher une note de 0 à 10, c'est aussi réadapter le discours de manière cohérente avec le client, en comprenant comment il travaille au quotidien. Et finalement, la faille, appliquer un secteur d'activité à l'autre, elle ne va pas avoir les mêmes incidences et impacts. Et c'est pour ça qu'il faut toujours le surcharger avec une explication cohérente de comment ça va porter préjudice aux clients qui mandatent l'opération. Et ces aspects-là, il est très important de les faire apparaître dans le rapport parce que ça sert à tous les acteurs. et tout l'écosystème du client. Et puis derrière, il faut donner des solutions. Donc sur cette dernière étape, pour donner des solutions, il va falloir s'adresser à plusieurs acteurs. Ce qu'on appelle le DSI ou le RSSI, donc le directeur des systèmes d'information ou le responsable de la sécurité des systèmes d'information, c'est très souvent les acteurs chez le client qui vont vous mandater pour ce genre d'opération parce qu'ils ont une appétence technique ou ils ont une appétence stratégique, ou ils connaissent. comment la cybersécurité au sein de leur entreprise doit être menée ou doit évoluer. Sauf que derrière, ces acteurs-ci, ils interagissent avec des directeurs financiers, avec leurs directeurs généraux, ils négocient des budgets pour pouvoir faire vivre leurs équipes, sécurité ou faire appel à des prestataires externes. Lorsqu'on définit la remédiation, il faut à la fois répondre à ce qu'attendent les acteurs techniques qui veulent du très concret, comment je corrige la faille avec le joli tuto ou la ressource gratuite. On essaie quand même de pousser un maximum vers la ressource publique fournie par des chercheurs, soit par des représentants étatiques, comme l'ANSI par exemple, l'Agence Nationale de la Sécurité des Systèmes d'Information. Mais aussi, il faut savoir s'adresser de manière vulgarisée à un directeur général ou à un directeur financier qui n'a pas cette cascade technique et qui doit pouvoir comprendre en quoi ces failles peuvent avoir un impact sur ce qui l'intéresse directement, son business et son activité, ou à défaut, pour le directeur financier. ces budgets sur les années à venir et sur l'année en cours.
Donc, c'est-à-dire que concrètement, au-delà des aspects purement techniques que tu as évoqués, c'est-à-dire trouver une vulnérabilité, la catégoriser correctement. Alors, trouver en plus une vulnérabilité, ça ne veut pas simplement dire la trouver d'un scanner, ce serait trop facile, c'est la chercher déjà, la trouver. Donc, ça nécessite justement une certaine connaissance technique. pour les pentesters. Et au-delà de ça, c'est aussi la mettre en perspective, comme tu l'as très bien expliqué, dans le contexte de l'entreprise, par rapport à des contraintes financières, pour qu'ensuite le client puisse faire son choix par rapport à la remédiation. Alors, juste pour en revenir un tout petit peu plus sur l'aspect du métier de pentester, selon toi, quelles sont les qualités finalement pour être un bon pentester ? sachant qu'en plus le métier est extrêmement vaste comme on l'a un petit peu expliqué en introduction on pourrait faire des pentests sur des machines à café il y a peut-être des pentesters qui sont spécialisés sur ce genre de choses plutôt sur les IOT et puis peut-être d'autres qui sont plus spécialisés sur d'autres domaines comme par exemple le web et toi dans ton métier justement comment tu arrives à sélectionner des collaborateurs ou quels sont les critères importants pour toi pour les pentesters peut-être qu'on a dans les auditeurs de ce podcast... des gens qui s'intéressent à ce métier et qui veulent peut-être en faire leur métier définitivement. Pour toi, quels sont les critères et qu'est-ce qui est important pour toi dans le métier du pentester ?
Alors, être un bon pentester, par rapport à la manière dont j'ai grandi et aussi par rapport à toute la culture de ce que j'ai découvert de cet univers qu'est la cybersécurité ou même plus spécifiquement du hacking, dans tous les cas, il faut que ça se traduise par de la passion. Enfin, ça c'est vraiment la réponse qui vient des tripes que je te donne. totalement subjectif de comment je vis la chose. Lorsqu'on démarre un test d'intrusion, que ce soit sur du web ou sur un réseau interne d'une infrastructure, d'une certaine manière, il y a l'ego qui rentre en jeu. C'est, on veut y aller et on veut repartir qu'une fois que vraiment, enfin, on veut arrêter la mission une fois qu'on a vraiment tout trouvé. Alors là, généralement, au niveau de la gestion de projet, nous, en interne, c'est catastrophique. C'est surconsommation sur les enveloppes projet de ce qu'on a prévu par rapport au temps où on y passe. Mais bon, c'est la passion qui parle avant tout. C'est arriver à trouver le saint Graal. Si c'est un site web, c'est arriver à prendre le contrôle de la machine. Et si on n'y arrive pas, trouver les failles les plus proches en termes de gravité que celles que je viens de citer en exemple. Sur un réseau interne, c'est de ne pas s'arrêter tant qu'on n'a pas les super droits administrateurs sur toute l'infrastructure interne. C'est y aller avec l'ego et cet objectif en tête parce que c'est ce qui va motiver l'équipe. On ne travaille jamais sans être à minima en binôme par exemple. Parce que derrière en termes d'émulsion, d'échange des idées, de blocage de chacun, c'est là où tu as de la dynamique. Et finalement c'est aller trouver la petite faille qui n'a été trouvée par personne. Ou alors à défaut, trouver dans le cadre d'une prestation de service de Pentest, une faille qui n'a jamais été trouvée sur un produit qui est connu et utilisé de tous. Donc là tu es sur une faille qu'on dit zéro day. C'est ça la satisfaction qui fait que tu te dis, on a fait un super taf. Au-delà de ce volet technique, il y a aussi l'aspect de la qualité du reporting. Je pense qu'elle est trop souvent négligée, mais un bon rapport de Pentest sur un test d'intrusion interne, ce n'est pas des copiés-collés de templates de remédiation, de modèles de correctifs que tu t'es fait, parce que derrière tu ne vas pas les adapter soit à ton client, soit à ton secteur. secteur d'activité de celui-ci. C'est des livrables qui font plusieurs centaines de pages sur lequel il n'y a que de la donnée pertinente et on n'est pas à jouer à mettre des encarts ou des entêtes de présentation de réexplication de ce qu'on fait. Non, c'est que de la donnée sur laquelle tu sais qu'elle va être utilisée soit par le client, soit appropriée par l'un des acteurs de son écosystème comme on l'évoquait tout à l'heure, développeur, infogéreur, hébergeur, et que clé en main, sans même avoir à refaire une réunion de restitution par exemple ou de réexplication. ils vont comprendre comment résoudre cette problématique. Et la qualité du reporting, dans un bon français, pour moi, c'est aussi un des critères qualifiants et qui est finalement l'achèvement de ton travail. Lorsque tu fais six mois de recherche et que tu découvres une superbe innovation, si tu négliges la thèse que tu comptes publier et montrer à tout le monde, c'est dommage. C'est finalement la cerise sur le gâteau qui manque à la fin de ce projet.
En fin de compte, tu as fait, sans le savoir ou peut-être pas d'ailleurs, une aparté par rapport à un autre métier, puisque tu as parlé des chercheurs en cybersécurité, donc le fait de faire de la recherche. Mais il y a un autre métier qui est un petit peu annexe au métier de pentester, qui est le métier de bug bounty, enfin l'activité de bug bounty. Est-ce que tu peux nous expliquer un petit peu la différence entre les deux ? est-ce que c'est complémentaire ou pas ? quand est-ce qu'il faut qu'on fasse du pentest ? quand est-ce qu'il vaut mieux faire du bug bounty ? parce que je pense que enfin je crois savoir que toi aussi tu as fait du bug bounty dans ton passé voilà est-ce que tu penses que ça va être utile aussi pour tes clients de poursuivre finalement leur maturité avec le bug bounty ? Et puis, d'une certaine manière, si toi tu fais ton boulot correctement, le bug bounty derrière, il n'a pas beaucoup à faire. Donc, est-ce que le Pentest va un petit peu tuer le bug bounty ? Est-ce que tu peux nous donner un petit peu ta vision par rapport à ça ?
Alors, le bug bounty, anglicisme qui nous vient d'outre-Atlantique, puisque ça se développe progressivement sur le territoire européen, mais c'est vrai qu'historiquement, c'est plutôt les Américains qui l'ont assez vite mis en place. C'est vraiment le cliché du chasseur de primes. On peut faire l'analogie avec l'époque du Far West, avec le grand méchant Joe Dalton qui était recherché moyennant une récompense de 5000 dollars. Donc c'est un modèle économique déjà qui est différent du Pentest. Lorsqu'on réalise un Pentest pour un client, on va dire voilà, voici votre terrain de jeu. Nous on peut mettre tant de personnes sur le sujet et on va vous vendre une prestation de service qui va se quantifier en jour homme. Le Bug Bounty c'est un modèle économique différent.
Alors justement, excuse-moi, parce que j'étais un tout petit peu trop vite dans mon explication, si je n'ai pas introduit le sujet du bug bounty pour nos éditeurs. Donc, le pentest, c'est une activité qui est contractée avec une entreprise, comme Bezenun par exemple, sur un certain périmètre, pendant un certain temps, avec un certain budget. Et à la fin du projet, enfin de l'activité de pentest, il y a un rapport. dont Brice nous a parlé, et ce rapport, un petit peu la conclusion finalement, et le délivrable principal de cette activité. Alors que le programme de Bug Booty est beaucoup plus large, c'est-à-dire que généralement on passe via une plateforme, qu'une des plus connues en France est Yesuiac, et puis on va sélectionner des hunters, et on va leur proposer finalement un certain périmètre, et ces hunters vont essayer de rentrer dans le système. Et s'ils y arrivent, ils sont récompensés, alors que s'ils n'y arrivent pas, ils ne le sont pas. L'une des différences avec le pen test, c'est la durée. C'est-à-dire que le pen test est fait pendant une certaine période de temps, et donc à un instant T, on a une image, on va dire, très fine des failles de sécurité qui peuvent exister dans le système d'information, alors que le bug bounty sont souvent beaucoup plus longs dans le temps, puisqu'on peut avoir des programmes de bug bounty qui sont quasi perpétuels. Alors, excuse-moi, juste... parce que j'ai réintroduit le sujet pour nos auditeurs, et donc je te redonne la parole pour continuer à nous expliquer la différence entre Pentest et Bug Bounty, et selon toi, quels sont les avantages et les inconvénients des deux ?
Merci. Sur le volet Bug Bounty, effectivement, c'est aussi un modèle économique qui est différent, puisque la gratification se fait finalement à la faille. On trouve une faille, si elle est validée et avérée, donc on est toujours sur du factuel, finalement, comme pour le Pentest, comme pour un Pentest de qualité. Tu m'as demandé de définir avant. En fonction de la gravité de la faille, on est payé plus ou moins. Donc il y a une grille de rémunération pour une faille faible, c'est peut-être, je ne sais pas, 200 euros, 1000 euros pour une faille moyenne, 2000 euros pour une faille haute et 5000 euros pour une faille critique. Les grilles de rémunération varient en fonction de la taille des entreprises et de leur niveau de maturité, cybersécurité d'une part et puis combien de temps ils font du bug bounty également. Depuis plus un programme de bug bounty. à de l'historique et finalement plus il devient dur de trouver des failles très critiques parce que beaucoup de gens sont passés dessus on parle là de programme qui tourne 24 24 7 jours sur 7 donc n'importe qui à quel moment de la journée de la semaine ou du week-end peut s'y atteler et essayer de découvrir des failles alors
avec un tout petit bémol quand même qui est que les systèmes d'information des entreprises évoluent avec le temps quand on fait un pen test un instant t on est quasiment sûr des vulnérabilités à ce moment là Mais il ne faut pas oublier que les systèmes vivent. Il peut y avoir des erreurs, des mauvaises manipulations qui sont faites au niveau des systèmes qui vont créer des failles de sécurité qui peuvent éventuellement être détectées par les bug bounties.
C'est ça, c'est la partie vraiment photographie à un instant T pour le pentest d'une part et plus un modèle de surveillance continue sur le bug bounty, sur tout un périmètre. C'est toujours la notion de périmètre qui revient. Les deux, je les perçois de manière totalement complémentaire. avec un holà tout de même vis-à-vis du bug bounty, ne jamais avoir fait de pentest et démarré directement en bug bounty, ça va être un carnage. Ça va être un carnage parce que sur le bug bounty, vous vous retrouvez avec des acteurs qui, au lieu d'avoir une mission à réaliser, comme tu le disais tout à l'heure, sur un temps réduit d'une semaine par exemple, peuvent très bien prendre le temps de faire un travail de recherche. Quand je pense par exemple à certains GAFAM qui ont des programmes monstrueux en termes de gratification financière, on peut prendre le temps. de risquer peut-être six mois de recherche pour aller atteindre le jackpot en termes de rémunération, tout en prenant le risque au passage de potentiellement ne rien trouver. Ce qui fait que du coup, ça va souvent être des vulnérabilités qui sont bien plus pointues et d'un niveau de complexité supérieur qui peuvent être mis en exergue. à travers le spectre du bug bounty. Mais ce qui est bien au passage, c'est que même si elles sont plus complexes, la politique de transparence du bug bounty, généralement vu que ce sont des entreprises avec un niveau de maturité certain, parce qu'ils ont déjà l'habitude du pen test, et ils viennent compléter avec une surveillance continue à travers le prisme du bug bounty, de par leur niveau de maturité, beaucoup d'entreprises commencent à s'orienter vers une politique de transparence. J'aurais jamais imaginé par exemple, que puis à... il y a 10 ou 15 ans quand je démarrais, que des entreprises comme Microsoft, par exemple, un jour nous autorisent à publier nos travaux de recherche de vulnérabilité trouvée chez eux, une fois que celles-ci ont été corrigées. Et c'est génial parce que ça, on retrouve aussi l'esprit même du hacking, qui est un mantra auquel on tient énormément, qui est le sharing is caring Quand on trouve une faille innovante, mais qu'on est sous couvert de l'accord de confidentialité, qu'on ne peut pas en faire bénéficier la communauté à des fins de recherche et d'amélioration parce qu'un père... Un pair a aussi de la connaissance sur le sujet et va améliorer nos propres découvertes. Le bug bounty, avec sa stratégie de transparence, alors qu'elle n'est pas totale parce que certaines ne le permettent pas en cours, fait avancer la recherche et la découverte de nouveaux vecteurs d'attaque bien plus pointus. Et c'est pour cette raison qu'à titre personnel, on recrute majoritairement des hunters au sein de BZ2. Parce qu'on est sur des collaborateurs qui vont déjà avoir un niveau de résilience certain. Quand on se casse les dents six mois avec le syndrome de l'imposteur, émotionnellement, c'est très challengeant et on pourrait faire l'analogie avec le poker. Il faut arriver à vivre avec l'adrénaline de la découverte d'une faille et de la prime qu'on touche et puis de la redescente derrière qui dit bon ben voilà, j'ai fini, sur quoi je passe maintenant comme nouvelle recherche ? Et ça développe énormément la résilience et ça fait prendre beaucoup de recul par rapport au syndrome de l'imposteur. Et ces valeurs-là appliquées au Pentest, moi je trouve ça génial.
Mais dis-moi, parce que Bug Booty, c'est-à-dire Chaser de Prime, là tu viens parler de la fièvre de l'or, ça fait un peu Far West quand même tout ça.
Très clairement, oui. En termes de dénomination de l'activité, c'est clairement inspiré du Far West. Tu vois, le monde se divise en deux catégories. Ceux qui ont un pistolet chargé et ceux qui creusent. Toi, tu creuses.
Ok. Alors justement, si maintenant on parle un petit peu de l'avenir, parce qu'on a tracé les grands traits des pentests, et je pense que les auditeurs maintenant ont bien compris à quoi ça servait, comment on pouvait compléter aussi l'activité de pentesting avec un programme de bug bounty, selon toi, comment ton métier va évoluer justement ? Est-ce que ça va continuer à être un petit peu ce Far West ? Comment tu vois l'avenir ? Est-ce que certaines choses vont se démocratiser ? Est-ce que tu penses que l'intelligence artificielle, par exemple, va améliorer certaines choses ? On a parlé, par exemple, des scanners que tu utilisais pour trouver un petit peu, déjà, on va dire, les vulnérabilités les plus basiques. Mais est-ce que tu penses que demain, par exemple, on peut peut-être utiliser de l'IA pour aller automatiquement trouver des failles potentielles dans du code source ? Ou alors, est-ce qu'il y a peut-être d'autres sources ou d'autres outils qui, demain, permettront d'améliorer l'open test ? et ou le bug bounty ?
C'est déjà le cas d'une certaine manière. Je me dis que les outils que j'utilise à l'heure actuelle ou que l'équipe utilise lorsqu'on réalise un pen test, lorsqu'on réalise de la recherche en bug bounty, c'est des outils qui, il y a 10 ans, n'existaient pas, où les opérations étaient plus, effectivement, manuelles, mais on est en train d'industrialiser au fur et à mesure qu'on partage la connaissance, que les générations se succèdent, et c'est ce qui fait que le métier évolue. le fait de me dire dans dix ans j'aurai plus de travail, je suis pas inquiet. Pour quelles raisons ? Parce qu'effectivement on voit l'intelligence artificielle qui se développe, alors de là à crier sur tous les toits Pentest is dead je reste très modéré dans le propos, mais en fait je le vois plus comme un atout qu'un adversaire. Parce que nous-mêmes, si demain sur les tâches redondantes, un peu plus pénibles de notre activité au quotidien, on peut arriver à servir Par exemple, de l'intelligence artificielle, et on l'a vu assez récemment avec ce qui se passe depuis trois semaines avec l'outil gratuit qui a été mis à disposition, qu'est ChatGPT, pulsé par une association, je crois que ce n'est pas une entreprise qui s'appelle OpenAI. On l'a utilisé et on l'a confronté à ce qu'on fait au quotidien. Effectivement, on s'est rendu compte que sur certains aspects techniques, ça pouvait être un allié. Certains en interne l'appellent même un peu l'esclave. mais qui nous améliore notre confort et notre travail au quotidien pour se concentrer sur ce qu'à date, elle n'est pas capable de faire. Et puis même si dans six mois, de par ses évolutions, elle devenait capable de faire des choses où là on se sentirait dépassé. Au final, on lui confierait ce qu'on fait, mais plutôt que de s'attaquer à des systèmes d'information, si elle le fait très bien pour nous demain, on va juste déplacer le problème. Le nouveau challenge sera de trouver des vulnérabilités au sein même de l'intelligence artificielle. Notre état d'esprit ne changera pas. On nous donne un nouveau jouet technologique qui évolue. Et dans l'informatique, le cycle de vie d'une technologie, je crois que c'est cinq ans en moyenne. Il va falloir qu'on grandisse avec et qu'on continue d'évoluer avec. Si aujourd'hui on casse des machines Windows par exemple et des sites web, si dans 5 ans ce sera des intelligences artificielles qui nous feront à notre place, on se concentrera sur l'intelligence artificielle. Hello, Ausha.
Super. Écoute, je pense qu'on a bien fait le tour de ce que c'est qu'un pentest. Est-ce que tu peux peut-être nous rajouter le mot de la fin ou quelque chose qui te semble être pertinent par rapport au pentest pour que tout le monde comprenne l'importance de ce genre de choses ?
Aujourd'hui, au-delà d'être effectivement le fondateur de l'entreprise, Je continue de conserver la casquette et je sais que ça... Je fais un clin d'œil à Marc-Antoine qui va s'arracher les cheveux quand il va entendre que je tiens ce genre de propos. Je me désigne en tant que hacker éthique. On a eu un très long débat sur ce qu'est un hacker éthique et l'oxymore que représente ce terme. Je suis un passionné d'informatique, dont le terrain de jeu, c'est Internet. Internet, pour moi, c'est une boîte de Lego sur laquelle il n'y a pas de manuel et un nombre de pièces illimitées. Le métier de pentester, c'est de se lever le matin et de se dire... quelle nouvelle fabrication Lego je pourrais faire, ou à défaut, on me confie un nouveau jeu d'énigmes, comment je pourrais le résoudre. C'est un métier de passionné qui est assez éprouvant parce qu'il demande un temps dédié à l'apprentissage qui est bien supérieur à ce que malheureusement encore à ce jour on nous enseigne dans les écoles ou dans les cursus. Alors même s'il y a une transition qui est en cours, on a un long chemin à parcourir. Mais c'est un métier dans lequel vous vous épanouirez à condition que vous soyez passionné et curieux. Donc apprenez à apprendre et à partir de là, en tant que pentester, vous n'aurez plus de limites parce que chaque jour sera nouveau et les failles que vous découvrirez, même au bout de 10 ans d'activité, je ne me suis jamais dit une seule fois, je m'ennuie.
Je crois que tu as tout dit par rapport au métier de la cybersécurité parce que c'est des métiers qui sont extrêmement durs, mais tellement passionnants. Et justement, quand on est passionné, c'est ça qui nous fait tenir et c'est ça qui nous fait justement... progresser dans le métier avec une envie évidemment de découvrir des nouvelles choses et toujours de mieux faire. Et ce, quel que soit aussi son rôle en matière de cybersécurité, que ce soit des gens qui travaillent plutôt dans le pentest ou que ce soit des gens qui travaillent plutôt dans l'organisation. Tous les métiers qui sont liés à la cybersécurité sont vraiment des métiers de passion. En tout cas, Brice, je te remercie. Je te souhaite de jouer encore très très longtemps avec cette énorme boîte de Lego. Et je te souhaite bon courage dans tes activités de Pentest. J'espère qu'on aura l'occasion de se revoir, peut-être dans des conférences ou des choses plutôt liées à cette activité. Et donc, pour finir, comme vous le savez, pour certaines personnes, la cybersécurité est un enjeu de vie ou de mort. C'est bien plus sérieux que ça.
Share
Embed
You may also like