Pentest
Recherche et analyse des vulnérabilités sur un périmètre ciblé.
Les pentests se concentrent essentiellement sur les aspects techniques sur différents type de périmètre : application android, site/application web, active directory,…
Différentes approches sont possibles:
- boite noire: seul le point d’entrée du périmètre à tester est connu. Cela permet de vérifier ce que peut réalisateur un attaquant sans droit d’accès.
- boite grise: un ou plusieurs comptes utilisateurs sont fournis. Les scénarios testés vont porter sur le même type de vulnérabilités qu’en boite noire. On ajoute des tests sur les cloisonnements des données (est-ce qu’un utilisateur peut accéder aux données des autres utilisateurs) et les élévations de privilèges (est-ce qu’un utilisateur peut obtenir des droits plus étendus que ce qui lui est attribué).
- boite blanche: on ajoute un accès aux codes sources des applications testées (s’ils sont disponibles).
| Scénarios | Boite noire | Boite grise | Boite blanche |
|---|---|---|---|
| Accès non autorisé | ✓ | ✓ | ✓ |
| Fuite d’informations | ✓ | ✓ | ✓ |
| Contournement d’authentification | ✓ | ✓ | ✓ |
| Accès aux données des autres utilisateurs | ✓ | ✓ | |
| Elevation de privilèges | ✓ | ✓ | |
| Analyse des sources de l’application | ✓ |
Note: En fonction des vulnérabilités trouvées, les scénarios testés peuvent s'enrichir. En obtenant un accès non autorisé lors d'un test en boite noire, les scénarios 'boite grise' seront également testés.