Audit offensif

Identifier les vulnérabilités avant qu’elles ne soient exploitées par des attaquants. L’équipe Audit Offensif mène un travail de veille (CERT) et de recherche (zero day) au quotidien pour maintenir un haut niveau de d’expertise et de connaissance des failles existantes

Nos offres :

  • Reconnaissance avancée (OSINT)
  • Tests d’intrusion réseau, wi-fi et infrastructure / Cloud
  • Tests d’intrusion applicatif / application mobile
  • Audit de code
  • Audit de poste de travail & terminaux (caméra, imprimante, IoT)
  • Audit de configuration
  • Audit de sécurité organisationnel et physique
  • Campagne de sensibilisation (phishing)
  • Tests en continu des ressources exposées sur Internet avec un outil développé en interne : MyCyberEyes

Les offres

Audit de code

Objectifs

L’objectif de l’audit de code est d’identifier des vulnérabilités à partir du code source de l’application.
Nous réaliserons une revue de sécurité des parties sensibles du code développé. L’objectif n’est pas de revoir l’ensemble du code source, mais de focaliser notre attention sur les fonctions critiques pouvant avoir un impact sur la sécurité de l’ensemble de l’application.
EvaBssi adaptera ses analyses aux particularités du langage (fonctions sensibles, gestion de la mémoire, appel de composants externes, etc.).

Réalisation

Cet audit sera réalisé en deux étapes :

  • Étape statique : L’auditeur combine une lecture pas-à-pas du code et des outils d’analyse de code afin de détecter l’utilisation de fonctions non sécurisées.
  • Étape in vivo : L’auditeur analyse les fonctions sensibles du code tout en testant manuellement sur l’application. Les fonctions sensibles sont les parties du code liées aux traitements et au contrôle des entrées utilisateurs. Les hypothèses de vulnérabilités spécifiques aux aspects fonctionnels et logiques détectés lors des tests seront ainsi approfondies.

Au cours de notre analyse, les axes suivants sont audités :

  • Authentification
  • Autorisation
  • Cryptographie
  • Gestion des erreurs
  • Validation des données
  • Gestion des sessions
  • Journalisation des événements (traçabilité)
  • Ces derniers font partie du guide code review de l’OWASP

Audit de sécurité de l’architecture

Objectifs

  • L’objectif d’un audit d’architecture est d’évaluer la sécurité relative au choix, au positionnement et à la mise en place des composants matériels et logiciels implémentés dans le Système d’Information.
  • L’audit permettra de vérifier que l’architecture auditée est conforme avec le triptyque : confidentialité, intégrité et disponibilité.
  • Une attention particulière sera portée sur les exigences HDS afin d’évaluer le gap avec l’existant.

Réalisation

L’équipe analysera l’ensemble des composants formant l’architecture du SI actuel.

  • Analyse documentaire (architecture technique)
  • Entretiens avec les responsables IT & fournisseur DC
  • Visite du DC & d’un site représentatif
  • Formalisation des constats & des risques associés
  • Un atelier de partage et de confrontation des constats
  • Un atelier de partage des recommandations et des axes à approfondir
  • Un atelier pour estimer financièrement le coût des recommandations
  • Rédaction du rapport
  • Présentation

Maturité du modèle de sécurité :

Maturité du modèle de sécurité

 

Reconnaissance avancée (OSINT)

Objectifs

L’objectif de la phase de reconnaissance avancée (OSINT – Open Source INTelligence) est de rechercher des informations sur l'entreprise, la personne, ou toute autre donnée permettant d’élargir sa surface d’attaque. Nous nous basons sur les données présentes publiquement sur Internet.

Réalisation

L’étape de recherche d’informations permet de récolter l’ensemble des données utiles pour identifier la surface d’attaque de l’organisation

Nous recherchons par conséquent des données via divers canaux, afin de faciliter la réalisation d’attaques au cours des tests d’intrusion

  • Bases WHOIS
  • Analyse des enregistrements et de la configuration DNS
  • Indentification de sous-domaines
  • Identification de la nature et de la version des éléments sous-jacents
  • Divulgation d’informations techniques ou confidentielles
  • Identification des différents interfaces d’administration
  • Profilage LinkedIn notamment pour identifier les employés de l’organisation

Tests d’intrusion réseau et infrastructure

Objectifs

L’objectif des tests d’intrusion système et infrastructure est d’évaluer la sécurité des composants de votre Système d’Information publiquement exposés sur Internet.

Réalisation

L’étape de recherche d’informations (cf. partie reconnaissance avancée, ci-dessus) permet de récolter l’ensemble des données relatives à un test d’intrusion et aux composants faisant partie du périmètre de l’audit.

Une fois la recherche passive d’informations effectuée, nous tentons de cartographier le plus précisément possible le Système d’Information. Nous effectuons ces actions grâce à :

  • Des scans de ports (services exposés)
  • L’analyse des applications web
  • L’identification des systèmes sous-jacents (banner grabbing et fingerprinting)

Tests d’intrusion applicatifs

Objectifs

  • L’objectif des tests d’intrusion applicatifs est d’évaluer la sécurité de l’intégralité de votre application web grâce à la détection de vulnérabilités.
  • Au cours des tests d’intrusion applicatifs, les Consultants EvaBssi s’appuieront sur les méthodologies OWASP et OSSTMM afin de détecter manuellement les vulnérabilités impactant l’application : paramètres utilisateur, partie administrative, gestion des droits au sein de l’application, fonctionnalité d’envoi de mail ou de gestion de documents, etc.

Réalisation

Deux types de tests complémentaires existent :

  • Les tests en mode « boîte noire » sont réalisés sans aucune information sur le fonctionnement de l’application à l’instar d’un attaquant.
  • Les tests en mode « boîte grise », réalisés dans un second temps, sont réalisés grâce à des informations supplémentaires sur l’application (comptes utilisateurs, matrice de droits/privilèges, documentation technique, etc.) permettant de simuler le comportement d’un utilisateur malveillant ayant une connaissance minimale sur l’application auditée.

Audit flash de conformité RGPD

Objectifs

L’objectif de cet audit flash de conformité RGPD est de déterminer les écarts existants avec les points clés du RGPD et d’établir une feuille de route pour la mise en œuvre de la conformité.

Réalisation

Cette prestation s’effectue en 3 étapes :

  • Revue du site Internet : L’auditeur EvaBssi parcourt le site internet page par page et identifie les conformités/non-conformité au regard de la réglementation applicable. Un accès temporaire aux espaces authentifiés sera nécessaire pour explorer l’intégralité du périmètre.
  • Échange à distance avec le responsable du traitement (DPO) : Une interview à distance avec le DPO ou le(s) responsable(s) de traitement permet de déterminer si les processus de traitement des données personnelles liés au site internet sont conformes.
  • Rédaction des livrables : Construction d’une feuille de route afin d’élever l’adéquation du Système d’Information au RGPD en fonction des conformités / non-conformités mises en avant

Tests d’intrusion d’applications mobiles

Objectifs

  • Évaluer la sécurité des applications mobiles iOS et Android et des web services associés.
  • Identifier les vulnérabilités affectant les applications mobiles qu’il serait possible d’exploiter dans le cas du vol / perte d’un périphérique ou bien dans le cas de la présence d’une application malveillante.

Réalisation

Axes des tests des applications Android iOS :

  • Stockage des informations sensibles en clair sur le périphérique
  • Gestion des permissions, utilisation du keychain (ou keystore)
  • Utilisation de solution complémentaire de chiffrement
  • Analyse des logs / des fichiers de configuration / des bases de données
  • Sécurisation des connexions
  • Étude des mécanismes d’authentification et d’autorisation
  • Utilisation de bibliothèques tierces vulnérables / obsolètes

Tests pour web services :

  • « Boîte noire » : URL du WSDL ou URL identifiées lors de l’analyse dynamique de l’application mobile
  • « Boîte grise » basés sur la documentation des web services

Illustration – web services

Illustration du Web Services

Tests d’intrusion internes

Objectifs

L’objectif des tests d’intrusion internes est d’évaluer la sécurité du réseau cible par un attaquant situé au sein de celui-ci

Réalisation

Types de tests

  • « Boîte noire » : réalisés sans aucune information sur le réseau interne. Simule un utilisateur de passage
  • « Boîte grise » : réalisés avec des informations supplémentaires sur le périmètre (comptes utilisateurs) permettant de simuler le comportement d’un utilisateur malveillant au sein même du réseau interne

Méthodologie (non exhaustive)

  • Découverte et identification de la topologie réseau
  • Recherche et acquisition d’informations
  • Exploitation

Audit des imprimantes

Objectifs

  • L’objectif d’un audit d’imprimantes est d’évaluer la sécurité des composants d’impression accessibles sur votre réseau d’entreprise
  • Les tests permettront d’identifier des vulnérabilités au sein des axes suivants :
  • Stockage des informations sensibles en clair sur le périphérique
  • Analyse de la configuration / traçabilité des événements
  • Sécurisation des connexions (flux chiffré)
  • Étude des mécanismes d’authentification et d’autorisation
  • Vérification de versions des firmwares (vulnérables / obsolètes)

Réalisation

Recherche d’information et de vulnérabilités

  • Scan de ports
  • Identification de la nature et de la version des éléments sous-jacents
  • Identification des différentes interfaces d’administration

Exploitation de vulnérabilités et intrusion

  • Tests « boîte noire » sans information
  • Tests « boîte grise » en simulant un employé malveillant
  • Tests « boîte blanche » pour auditer la configuration mise en place pour les administrateurs système

Illustration – Scénario d’attaque

Illustration d'un scénario d’attaque Illustration d'un scénario d’attaque

Audit de configuration

Objectifs

L’objectif d’un audit de configuration est d’évaluer le niveau de sécurité des éléments audités vis-à-vis des meilleures pratiques en matière de sécurité (normes, référentiels et exigences internes de la société, guides de configuration, etc.).

Réalisation

Étape 1 : Récupération de la configuration

  • Utilisation des scripts de collecte d’information de la configuration du système

Étape 2 : Analyse statique : Consultation de l’ensemble des éléments récoltés en portant attention sur les éléments suivants

  • Mécanismes cryptographiques utilisés (algorithmes, etc.)
  • Mécanismes d’authentification (robustesse des dispositifs, etc.)
  • Règles de filtrage réseau, cloisonnement entre les différents réseaux
  • Durcissement des systèmes d’exploitation, des configurations des serveurs applicatifs et des services subsidiaires exposés
  • Journalisation des évènements
  • Gestions des correctifs de sécurité

Audit de sécurité organisationnel et physique

Objectifs

L’objectif d’un audit organisationnel est d’évaluer la conformité des procédures définies pour assurer le bon fonctionnement opérationnel et de sécurité du Système d’Information

Réalisation

L’audit organisationnel et physique doit permettre de mesurer la conformité du système d’information audité par rapport aux référentiels et identifier les écarts présentant les vulnérabilités majeures du système. L’audit couvrira les deux axes suivants :

  • Procédures d’administration, de surveillance et d’exploitation (charte de sécurité, politique de sécurité, procédure de sauvegarde/restauration, mise à jour, gestion des incidents, sensibilisation du personnel, etc.)
  • Sécurité physique de la société (contrôle d’accès physique - badges, gardiens, alertes intrusives - alarmes/caméras, détection de catastrophes environnementales - inondations, incendies, etc.)

Audit de postes de travail

Objectifs

L’objectif d’un audit de postes de travail est d’évaluer la sécurité des services et programmes installés, ainsi que la configuration des GPO (pare-feu, restrictions, politique de mots de passe, etc.)sur votre poste de travail d’entreprise.

Réalisation

  • Recherche d’information
    • Cartographie de l’ensemble des AP
    • Analyse des méthodes d’authentification
    • Identification des protocoles de chiffrement réseau utilisés
    • Identification des différentes interfaces d’administration des points d’accès
    • Identification de la nature et de la version des points d’accès
  • Scénario d’attaque (non authentifié sur le réseau wi-fi)
    • mettre en place un faux point d’accès wi-fi comportant le même SSID. Ceci dans l’optique de dérober le mot de passe partagé (PSK) permettant l’accès au réseau Wi-Fi interne
  • Recherche de vulnérabilités (authentifié sur le réseau wi-fi)

Audit de mots de passe

Objectifs

L’objectif d’un audit de mots de passe est de tester la robustesse de ces derniers, afin d’évaluer le niveau de sensibilisation des employés (et administrateurs) vis-à-vis de la sécurité informatique notamment, mais aussi pour évaluer la surface d’attaque exposée aux attaquants extérieurs.

Réalisation

  • Récupération des fichiers ou annuaires comportant les empreintes de mots de passe
  • Phase dynamique de cassage des empreintes, puis analyse des résultats :
    • Cassage des empreintes de mots de passe
    • Analyse des résultats
    • Statistiques

Exemple résultat audit

Audit Amazon Cloud AWS

Objectifs

L’objectif d’un audit Amazon Cloud AWS est d’évaluer la sécurité relative aux services hébergés sur le Cloud d’Amazon. Il permet de s’assurer que l’ensemble des bonnes pratiques est appliqué et qu’aucune donnée sensible issue du Système d’Information ne se retrouve dans les mains des attaquants.

Réalisation

Les lignes directrices de l’audit peuvent être peuvent être résumées aux points de vérification suivants :

  • Infrastructure globale (cohérence et compréhension métier)
  • Règles de filtrage réseau (en entrée, en sortie, table de routage, NAT, etc.)
  • Cloisonnement entre les différents réseaux (segmentation VLAN, etc.)
  • Mécanismes d’authentification (robustesse des dispositifs, etc.)
  • Utilisateurs et groupes
  • Journalisation des évènements (traces)
  • Chiffrement des données (chiffrement via SSE-C ou KMS - Key Management Service)
  • Durcissement des serveurs indépendamment (EC2, S3, …)

Formation au développement sécurisé

Objectifs

  • L’objectif est de présenter les meilleures pratiques en termes de développement sécurisé. Cette sensibilisation est effectuée par le biais d’une découverte des attaques inhérentes aux applications web, le risque qu’elles représentent ainsi que les recommandations à mettre en place.
  • Nous avons choisi d’appuyer nos sessions de formation au développement sécurisé sur l’OWASP (Open Web Application Security Project) dont les travaux ciblent les principaux thèmes du développement des applications web : gestion des sessions, authentification, contrôle des entrées utilisateurs, etc.

Réalisation

  • Phase 1 - Préparation et personnalisation du support en fonction du contexte
  • Phase 2 - Animation d'une session de formation auprès de 10 collaborateurs (maximum) :
    • Session de formation de trois jours avec deux Consultants EvaBssi
    • Formation théorique et cas pratique

Top 10 Vulnérabilités OWASP

Top 10 Vulnérabilités OWASP

Sensibilisation des utilisateurs : campagne de phishing

Objectifs

  • L’objectif des campagnes de Phishing est de sensibiliser les utilisateurs par le biais d’attaques réelles souvent utilisées par les attaquants dans le but d’obtenir des informations sensibles (mots de passes, identifiants, coordonnées bancaires, etc.)
  • Au cours de ces campagnes de sensibilisation, l'objectif d'EvaBssi est de persuader les employés de cliquer ou d’ouvrir des mails spécialement conçus dans le but d’accéder à des informations sensibles

Réalisation

  • Obtention des informations concernant les utilisateurs cibles
    • Nom, prénom, adresse mail
  • Envoi de mail frauduleux. En fonction du scénario choisi, les mails envoyés aux différents utilisateurs peuvent contenir :
    • Un lien standard
    • Un lien redirigeant vers un site malveillant
    • Une pièce jointe malveillante
  • Analyse des résultats
    • Étude sur la robustesse des mots de passe (si c’est possible)

RedTeam (1/2)

Objectifs

  • Éprouver le périmètre contrôlé par les équipes défensives du Groupement Synergie (ou employés sensibilisés)
  • Contrôler les règles de sécurité en condition réelle d’attaque
  • Identifier des périmètres hors contrôle

Les scénarii d’attaque seront réalisés unitairement sur la base des points d’entrée habituellement identifiées. En cours d’audit d’autres pourront être identifiés et ajoutés dans de nouveaux scénarii.

Réalisation

Pour réaliser les audits RedTeam :

  • Réunion d’identification des cibles
  • Formalisation des scenarii
  • Validation des scenarii
  • Réalisation des scenarii sur site
  • Rapport d’audit (alimente le rapport global)
  • Présentation des résultats

Périmètre contrôlé

RedTeam (2/2)

Exemples de scenarii

  • Tentative de branchement physique sur l'infrastructure, afin d’essayer de prendre le contrôle de l'infrastructure
  • Compromission maîtrisée du serveur comportant les données sensibles (NAS, imprimantes...), en vue de montrer la possibilité d’un scénario « ransomware » pouvant immobiliser le SI
  • Mise en place d'un système d'exfiltration de données de manière pérenne au sein de la société (cf. espionnage par mail par exemple)
  • Compromission de postes utilisateurs haut placés (ou avec de hauts privilèges, cf. admin) via des attaques de Phishing / Smishing / Vishing
  • Dérober les accès wi-fi (ou via du social engineering)
  • Accès au CRM et récupération des données clients / employés

Pour la réalisation de la RedTeam, un mandat d’autorisation mentionnant les scénarios de test incluant (les noms de domaine, adresses IP, etc.) devra être complété, signé et renvoyé à EvaBssi.

MyCyberEyes

Objectifs

L’objectif de MyCyberEyes est de tester en continu la sécurité de vos ressources exposées sur Internet et votre exposition au risque cyber.

Réalisation

  • Nous détectons et alertons en temps réel l’apparition de nouvelles vulnérabilités
  • Notre équipe R&D met au point de nouveau tests et contrôles en permanence, ce qui permet de nous adapter à la menace
  • Nous permettons à nos clients de connaître en temps réel le niveau de sécurité́ de leur plateforme digitale exposée à Internet
  • Nous fournissons un label MCE permettant d’attester du niveau de sécurité de la plateforme vis-à-vis de tiers

MyCyberEyes

MyCyberEyes

Vue d’ensemble des offres

Notre mission est de protéger le patrimoine informationnel
et garantir un SI performant, au service des métiers de nos clients.
Nous avons conçu nos offres autour de trois piliers aux missions complémentaires et transversales

Nous avons conçu nos offres autour de trois pilliers...

Maitriser les risques cyber des organisations

Identifier, se protéger, détecter, répondre et rétablir

Imaginer, construire et opérer des SI innovants et performants

… trois piliers aux missions complémentaires et transversales :