1 an de pentests et d'audits

11 avril 2023

Après un an de pentests et d’audits, il est temps pour @GB, expert en cybersécurité chez Agaetis, de faire un bilan.

Le marché de la cybersécurité est en pleine expansion, et pour cause ! Celui de la cybercriminalité l’est tout autant.

De plus en plus d’entreprises se donnent aujourd’hui les moyens de prévenir, d’agir et de réagir face aux risques que représentent des cyberattaques, en faisant notamment appel à des experts pour réaliser des audits et des tests d’intrusion (aussi appelés « pentests », pour «  penetration test  ») de leur système d’information.

Dans cet article, nous avons décidé de mettre en avant ce que nous avons envie d’appeler « les données clés ». C’est ce que nous retenons d’un an d’audits, mais aussi ce que nous avons observé de façon générale au cours de l’année écoulée en m atière de protection des données. 


 Combien de vulnérabilités identifies-tu en moyenne lors d’un audit ?

Nous sommes en moyenne à une dizaine de vulnérabilités par audit d’intrusion, que ce soit dans les applications web ou sur les infrastructures. 

Pour les applications web, cela peut inclure des vulnérabilités telles que les failles de sécurité Cross-Site Scripting (XSS), les injections SQL, les failles de sécurité CSRF (Cross-Site Request Forgery), les erreurs de configuration de sécurité, etc. Pour l'infrastructure, cela peut inclure des vulnérabilités telles que des serveurs non patchés contre les failles de sécurité connues, des configurations incorrectes des pare-feux, des erreurs de configuration des serveurs, des faiblesses dans les protocoles de communication, etc.


 Combien de temps mets-tu pour devenir administrateur du domaine lors d’un audit ?

Mon «  speedrun  » pour devenir administrateur du domaine durant un audit d’intrusion est de moins 20 minutes.

C’était un compte administrateur local, sur un serveur où le mot de passe était le même que le login. L’administrateur du domaine avait une session sur ce serveur, donc j’ai pu y récupérer son mot de passe.

Voici un schéma pour mieux comprendre le lien de cause à effet entre les sessions qui m’a permis de devenir administrateur : 

En moyenne, on devient administrateur du domaine en une demi-journée.


 Quels sont les pires mots de passe pour toi, ceux qui facilitent le plus ton travail lors d’un audit de sécurité ?

On retrouve très souvent des mots de passe trop simples durant les audits d’intrusion. Trop souvent , les collaborateurs d’une entreprise utilisent le nom de leur entreprise, ou un dérivé (pour Agaetis on pourrait par exemple retrouver : @ga3t1s). 

Malheureusement, avec certains outils comme hashcat, il est très facile de cracker ces types de mots de passe. 

Voici un exemple de génération automatique des mots de passe à tester, toujours en partant d’Agaetis  :


Quelles sont les vulnérabilités que tu retrouves le plus souvent ? 

L'une des vulnérabilités les plus courantes est le Cross-Site Scripting (XSS).  C’est une technique d'attaque qui permet à l’attaquant d'injecter du code malveillant dans une page web, qui peut alors être exécuté sur les navigateurs des utilisateurs qui visitent cette page.


Les attaquants utilisent souvent des vulnérabilités XSS pour voler des informations d'identification, des cookies ou d'autres données sensibles des utilisateurs. Ils peuvent également utiliser cette technique pour rediriger les utilisateurs vers des sites web malveillants, ou pour installer des logiciels malveillants sur leur ordinateur.


Le XSS est une vulnérabilité courante, car facile à exploiter, et le code malveillant peut être introduit dans un site web de différentes manières. Je pense notamment à l'ajout de code dans des champs de saisie de formulaire, des commentaires ou des messages de forum. Les entreprises peuvent se protéger contre ces attaques en utilisant des techniques de validation et de filtrage de données ( plus d’informations ici ), en limitant l'exposition des données sensibles et en appliquant régulièrement des correctifs de sécurité sur leurs applications web. 


 Quelles sont les attaques les plus fréquentes auxquelles les entreprises peuvent avoir à faire face ?

L'une des vulnérabilités les plus courantes constatée lors des tests d'intrusion sur les systèmes informatiques est l'utilisation de mots de passe faibles, souvent associée à une attaque de type «  password spray  ».


L'attaque de password spray est une technique où l’attaquant tente de se connecter à un grand nombre de comptes utilisateur avec quelques mots de passe couramment utilisés, tels que « password123 » ou « 123456 ».

Si les mots de passe sont faibles, l'attaquant peut réussir à compromettre plusieurs comptes, en utilisant les mêmes mots de passe pour plusieurs utilisateurs.


Cette vulnérabilité est courante car de nombreuses organisations ne mettent pas en place de politiques de gestion de mots de passe solides, ce qui permet aux utilisateurs d'utiliser des mots de passe faibles ou faciles à deviner.

Cela peut être dû à un manque de sensibilisation à la sécurité, à une gestion inefficace des politiques de mots de passe, ou à un manque de contrôles de sécurité appropriés.


Pour se protéger contre cette vulnérabilité, il est essentiel de mettre en œuvre des politiques de gestion de mots de passe solides, qui incluent la nécessité d'utiliser des mots de passe complexes, de les changer régulièrement et de ne pas réutiliser les mêmes mots de passe sur plusieurs comptes.

Il est également important de surveiller les tentatives de connexion suspectes et d'appliquer les correctifs de sécurité appropriés pour prévenir les attaques de password spray et autres attaques similaires.

La sensibilisation à la sécurité et la formation des utilisateurs sur les bonnes pratiques de gestion des mots de passe sont également des mesures importantes pour renforcer la sécurité d'une entreprise. 

Sais-tu quelle est la plus grosse rançon demandée/reçue sur les dernières années ?

Les informations concernant les demandes de rançon et les paiements effectués restent compliquées à trouver. Néanmoins une des plus grosses rançons connue sur les années 2021/2022 a été demandée à la société de collecte de poubelles Trafford Amey PLC, pour un montant de 2 milliards de dollars. Le montant payé (ou non) par la société n’a quant à lui pas été révélé. Les données volées qui ont fuitées contenaient entre autres des contrats, des passeports et des détails financiers. 

Le géant des ordinateurs Acer a lui aussi été frappé par une attaque au ransomware , et s’est vu demander 50 millions de dollars. La société a proposé 10 millions au groupe de hackers REvil Ransomware, mais ces derniers ont refusé la proposition. Les informations récupérées contiennent des documents financiers, et des échanges avec des banques.

Il a également été révélé que la société allemande Chemical Distribution a dû régler la somme de 4,4 millions de dollars sur les 7,5 millions de la rançon au groupe DarkSide Ransomware. 


(Source : Cyber Management Allia nce



Quels sont d’après toi le ou les pires comportements à adopter ?

La liste est à rallonge et a d’ailleurs tendance à s'agrandir avec le temps, mais voici mon top 4 :

  • un utilisateur du domaine qui est administrateur local, 
  • des mises à jour non réalisées, 
  • des mots de passe trop faibles, 
  • une mauvaise configuration des pare-feux. 


 D’ailleurs combien de temps faut-il en moyenne pour détecter que l’on a été “hacké” ?

Le délai entre une intrusion et sa détection est de 94 jours en moyenne. Plus ennuyeux, moins d'un quart (24 %) des incidents seulement sont identifiés par les services de cybersécurité des entreprises. 31 % des attaques sont identifiées à cause de leurs impacts directs, comme une interruption de service ou une fraude très visible. Pour en savoir plus, vous pouvez lire cet article qui est très intéressant sur le sujet : Entre 3 et 7 semaines pour se rétablir après une cyberattaqu e . 


Pour toi, quel est le “bon moment” pour faire un pentest ? 

Sans aucun doute : avant qu’il ne soit trop tard ! 

Il est essentiel de considérer la sécurité comme une priorité dès le début d'un projet. Cela signifie intégrer des référentiels de sécurité dès la phase d'initialisation du projet, tels que les bonnes pratiques de sécurité telles que l'OWASP Top Ten Project pour les applications web, ou les normes de sécurité telles que ISO 27001 pour les systèmes d'information. Cela permet de s'assurer que les exigences de sécurité sont prises en compte dès le départ et que les vulnérabilités potentielles sont identifiées et corrigées dès le début du processus.

De plus, il est recommandé de planifier des tests d'intrusion réguliers tout au long du cycle de vie d'un projet, et ce, avant la mise en production. Pour les applications web, des pentests réguliers, idéalement avant chaque mise en production, permettent de détecter les vulnérabilités éventuelles et de les corriger avant qu'elles ne soient exploitées par des attaquants. Pour l'infrastructure, il est recommandé d'avoir au minimum un pentest par an, voire deux si l'infrastructure évolue rapidement, pour détecter les vulnérabilités potentielles et renforcer la sécurité du système.

En intégrant la sécurité dès la conception et en planifiant des tests d'intrusion réguliers tout au long du cycle de vie d'un projet, on peut identifier et corriger les vulnérabilités avant qu'il ne soit trop tard, minimiser les risques de cyberattaques, protéger les données sensibles, et garantir la sécurité et la fiabilité des systèmes informatiques de l'organisation.


En conclusion, nous avons trop souvent observé que l’opinion publique pense que seules les grandes entités sont exposées aux risques cyber. Mais nous constatons, surtout depuis la crise sanitaire, que cette information est fausse. Toutes les entités, quelle que soit leur taille, devraient se soucier de la sécurité de leurs données. 

De façon générale, tout le monde devrait s’approprier ce sujet, se protéger et protéger ses données personnelles, devenues des informations très précieuses dont la valeur augmente avec le temps.

Ressources Agaetis

ORY 4 : L’entrepôt d'Amazon le plus robotisé de France

par Florian Ruynat 15 mai 2024
 Introduction : Florian Ruynat, Architecte Cloud, a récemment réalisé une visite captivante de l'entrepôt ORY4, l'un des complexes les plus automatisés d'Amazon en France. Au cœur de cette installation logistique de 152 000 m², où 3 000 employés orchestrent l'approvisionnement et la préparation des commandes, la technologie de pointe est omniprésente. Cette visite a permis d'explorer les possibilités d'intégration de l'IT moderne dans les usines de quatrième génération via le cloud, avec une attention particulière portée à la gestion proactive des pannes, la surveillance des conditions opérationnelles comme la température, ainsi que la gestion des stocks.

Sora : Transformer les Textes en Scènes Vidéo Réalistes et Imaginatives

par David Walter 16 février 2024
OpenAI, a récemment dévoilé SORA, un outil de génération de vidéo. SORA monte encore une marche, offrant des capacités de génération de vidéos réalistes. Cet article explore les caractéristiques clés de SORA, son impact potentiel sur diverses industries, les points de réflexions et l'impact pour l'avenir de la création de contenu. Qu'est-ce que SORA ? SORA est une interface avancée conçue par OpenAI qui permet de générer des séquences vidéo à partir de descriptions textuelles simples. Utilisant des techniques de pointe en matière d'intelligence artificielle et d'apprentissage profond, SORA est capable de comprendre des commandes complexes et de les traduire en contenus visuels impressionnants. Une qualité de génération inégalée La capacité de SORA à générer des vidéos époustouflantes souligne un tournant dans le domaine de la production vidéo, où la qualité et la créativité ne sont plus entravées par des contraintes techniques ou financières. Cette avancée s'inscrit dans un contexte plus large où l'IA transforme profondément les industries créatives, offrant des outils puissants pour la transcription, le doublage, la création d'avatars générés par IA, et même la suppression de fonds vidéo, rendant ces processus plus accessibles et flexibles​​​​​​. Des outils comme Descript et Adobe Premiere Pro intègrent des fonctionnalités AI pour améliorer le processus d'édition vidéo, depuis la rotation des yeux jusqu'à la génération de transcriptions et sous-titres​​. De même, la comparaison entre DALL-E 3 et Midjourney montre comment l'IA peut capturer des détails et des ambiances spécifiques dans les images, un principe également applicable à la vidéo​​. La révolution du streaming vidéo illustre comment l'adaptation numérique bouleverse les modèles économiques traditionnels, offrant une perspective sur la manière dont les technologies génératives pourraient remodeler le paysage médiatique​​. L'impact de ces technologies dépasse la simple création de contenu ; elles remodèlent également notre compréhension de la créativité et ouvrent de nouvelles voies pour l'expression artistique et la communication. Avec des outils comme SORA, la barrière entre l'idée et sa réalisation se réduit, permettant à un plus grand nombre de personnes de donner vie à leurs visions créatives sans les contraintes traditionnelles de la production vidéo. Cet élan vers une qualité de génération inégalée par l'IA soulève des questions importantes sur l'avenir du contenu créatif et la manière dont nous valorisons l'interaction entre l'humain et la technologie dans le processus créatif. Alors que nous explorons ces nouvelles frontières, il est crucial de rester attentifs aux implications éthiques et aux défis que ces technologies posent, tout en reconnaissant leur potentiel pour enrichir notre monde visuel et narratif.
Show More
Share by: