• Isora Vachot

Pentest ou audit boite blanche ?

Bien souvent, lorsqu’on parle “cybersécurité”, on pense tout de suite “pentest” (pour penetration testing).


Le pentest (ou “hacking éthique”) est un test d’intrusion, dont l’objectif est de simuler une cyberattaque en conditions réelles, afin de déceler les vulnérabilités du réseau informatique, vulnérabilités qui pourraient être exploitées par des attaquants malveillants.



Le pentest est donc, dit autrement, un audit de sécurité. Un audit de sécurité a pour but est d’évaluer le niveau de sécurité d’une infrastructure réseau, d’identifier les portes d’entrées potentielles pour les acteurs malveillants, afin de corriger ces failles.


Il existe trois principaux types d’audit de sécurité : l’audit boite noire (le pentest), l’audit boite grise, et l’audit boite blanche, qui ont chacun leurs particularités.



L’audit boite noire (ou pentest)


Comme expliqué ci-dessus, l’audit boite noire est un test d’intrusion (penetration testing), un audit de sécurité, qui a la particularité de simuler une attaque informatique au plus près des conditions réelles.

Ainsi, aucune information n’est donnée aux testeurs avant qu’ils ne perpètrent l’attaque, ils n’ont à leur disposition qu’un nom d’entreprise, éventuellement une adresse IP ou une URL.


Les hackers dits “éthiques” se mettent dans la peau d’un attaquant qui ciblerait une entreprise en particulier. L’attaquant (i.e. le consultant) n’ayant ainsi aucune information sur l’entreprise, le périmètre d’attaque peut alors être très vaste, bien qu'il soit malgré tout possible de pré-définir un périmètre d'audit.


Cet audit est considéré comme l’un des plus simples à réaliser : en effet, il ne demande que très peu de préparation, et est rapide à réaliser dans la mesure où le testeur n’a pas besoin de connaitre le fonctionnement interne de l’entreprise. L’audit boite noire est souvent considéré comme étant l'audit le moins intrusif des trois types d’audits.



L'exploitation des failles de sécurité


Comme expliqué précédemment, l'audit boite noire est souvent considéré comme étant l'audit le moins intrusif des trois types d'audits, dans la mesure où les documents d'architecture, de configuration, etc. ne sont pas partagés avec les consultants.

Cependant, un audit boite noire peut également aller jusqu’à l’exploitation de la faille (en fonction de la demande de l’organisation auditée) : il devient alors beaucoup plus intrusif. Ainsi, dans le cadre de certains audits de sécurité de type pentests, les consultants en cybersécurité exploitent les failles de sécurité découvertes et démontrent ainsi de quelle manière ils ont pu, par exemple, accéder et chiffrer les données clients, ou de quelle manière ils ont pu infecter et stopper toute activité numérique dans l’entreprise : le consultant découvre la faille, l’exploite, et en donne la preuve, devenant alors un peu plus intrusif.


L'audit boite noire reste malgré tout l'audit le plus superficiel des trois : dans la mesure où les codes sources ne sont pas étudiés, il n’est pas possible, en cas de problème, de savoir quel code source est en cause. Il peut également être redondant, dans le cas où l’entreprise réaliserait d’autres tests, et dans la mesure où les éléments analysés lors d'un audit boite noire sont généralement inclus dans les autres tests.


De plus, les résultats d’un audit boite noire ne permettent pas de formuler des mesures de remédiation mises en contexte.


L’audit boite blanche


L’audit boite blanche est à l’opposé de l’audit boite noire. Dans ce type d’audit, aucun pentest, aucun test d’intrusion à proprement parler n’est réalisé. Il s’agit surtout d’une analyse approfondie de la sécurité des systèmes d’information. Cet audit fournit une évaluation complète des vulnérabilités internes et externes des réseaux. Pour ce type d’audit, le consultant a alors toutes les informations dont il a besoin à sa disposition, pour mener à bien son analyse : des documents d’architecture réseaux, des accès administrateurs à certains serveurs, l’accès aux codes sources, etc. Le testeur doit pouvoir avoir une vue globale du fonctionnement du système d’information et de l’application, et des éléments qui les composent.


En effectuant ce type d’audit, on peut alors voir quelle ligne de code est sollicitée pour chaque fonctionnalité, l’idée étant qu’en testant l’ensemble des scénarios de test, toutes les lignes de codes soient vérifiées.

Cet audit est particulièrement utile dans le cadre du développement d’un produit numérique ou d’une application, mais son utilité reste valide tout au long des différentes cycles de vie d’un produit/projet.


Tout comme pour un audit boite noire, il est tout à fait possible de définir un périmètre d’audit pour la réalisation d’un audit boite blanche. Cependant, et dans la mesure où le consultant a accès à tous les documents d’architecture et de configuration, l’audit boite blanche restera le plus exhaustif des deux, même lors de l'audit d'un périmètre pré-défini.


L’audit boite blanche reste le plus exhaustif des trois, car il permet de tester l’ensemble du système sans rien laisser passer. Cet audit permet également de déceler les vulnérabilités qui auraient put être cachées intentionnellement pas le développeur/concepteur/éditeur.

Cependant cet audit est le plus complexe, le plus chronophage des trois, mais également celui qui nécessite la plus grande implication de la part des Dirigeants de l’organisation.


L’audit boite grise


Ce type d’audit combine les avantages des deux approches précédentes.

C’est un niveau d’audit intermédiaire, dans lequel les attaquants ont à leur disposition quelques informations sur l’entreprise ou sur leur cible (accès à un compte utilisateur par exemple). Le testeur connait ici le rôle du système et ses différentes fonctionnalités, et a une connaissance relative des mécanismes internes à l’entreprise. Cependant, et contrairement à l’audit boite blanche, le testeur n’a pas accès aux codes sources.


Là encore, l’attaque est menée au plus près des conditions réelles : les informations que les hackers éthiques ont à leur disposition sont des informations qu’ils auraient pu trouver en ligne, ou grâce à diverses techniques de phishing.



Pentest ou audit boite blanche ?

Audit boite noire / pentest

Audit boite blanche

Réalisation d'un pentest, simulation d'une attaque informatique

Réalisation d'une analyse approfondie

Aucune information n'est donnée à l'attaquant

Toutes les informations nécessaires sont fournies au consultant

Fait état des symptômes, des conséquences

Fait état de la source du problème

Rapport de vulnérabilités à l'exhaustivité variable

Rapport de vulnérabilités exhaustif + explications des causes et propositions des corrections

Point de vue d'un attaquant

Point de vue d'une administrateur réseau

Difficile de proposer de mesures de remédiation contextualisées

Pertinence des contres-mesures de remédiation proposées puisque mises en contexte

Ne nécessite pas une grande implication de la part de la direction

Nécessite une implication importante de la part de la direction

Inconvénient : audit peu exhaustif, il est donc possible de passer à côté de vulnérabilités critiques

Inconvénient : audit très exhaustif : long et parfois difficile à cadrer


Pour conclure


Le pentest reste tout de même une méthode très utile pour vérifier l’efficacité de l’implémentation des contre-mesures, à la suite d’une campagne d’audit boite blanche et de remédiation. Il permet notamment de vérifier, suite à un audit boite blanche, que les correctifs mis en place sont efficaces et pertinents.

Cependant, il ne peut pas être au coeur d’une stratégie de cybersécurité, car sa superficialité il ne lui permet pas de créer une véritable sécurité pérenne.


L’audit boite blanche a l’avantage de permettre une détection plus précise des problèmes mais également des sources du problème, et son exhaustivité lui garantit plus de pertinence. Bien que sa mise en oeuvre et son déroulement soient beaucoup plus longs (surtout pour les plus grosses entreprises dont les systèmes d'informations sont parfois très complexes), il permet une vision plus globale et plus complète.


Une bonne stratégie de cybersécurité se base ainsi sur un recours pertinent aux audits boites blanche, grise ou noire, en fonction du contexte, du besoin et des objectifs de l'organisation auditée.

56 vues