Sécurité du Réseau Interne
Comprendre les Tests d’Intrusions

Qu’est-ce que le Test d’Intrusion Interne (TI) ?

Le Test d’Intrusion Interne est un exercice qui se déroule dans l’intégralité du réseau de l’entreprise audité. Nous nous mettons à la place d’un attaquant qui a réussi à se connecter au réseau via une prise Ethernet, le poste d’un utilisateur compromis ou même par le Wi-Fi de l’entreprise. Notre objectif est de découvrir les vulnérabilités et les failles potentielles qui pourraient être exploitées par de véritables cybercriminels qui se retrouveraient dans cette situation.

Quelles sont nos cibles ?

1. Active Directory : Le Graal des Tests d’Intrusion

La cible principale de nos tests d’intrusion internes est l’Active Directory (AD). Pourquoi ? Parce que l’AD est le cœur névralgique de l’infrastructure informatique d’une entreprise et donc une cible de choix pour un attaquant. Qu’un compte soit possédé ou non, notre but est d’identifier et de simuler des scénarios de compromission du domaine. Ces scénarios ressemblent à ce que ferait un ransomware : prendre le contrôle de tous les postes et serveurs de l’entreprise. Nous pouvons ainsi simuler l’intrusion d’un appareil malveillant dans le réseau ou la compromission d’un poste de travail suite à un phishing. Les résultats de ces tests permettent à l’entreprise de renforcer la sécurité de ses serveurs et des postes de travail en déployant des contre-mesures adaptées.

2. Défauts de Sécurité dans les Équipements Réseau

Outre l’AD, nous examinons également les défauts de sécurité qui peuvent être présents dans les équipements réseau. Cela inclut les imprimantes, les caméras de surveillance, mais surtout les routeurs, les pare-feux et la ségrégation du réseau du périmètre. Ces éléments sont souvent négligés, mais ils peuvent constituer une augmentation de la surface interne accessible aux attaquants après exploitation.

3. Sécurité des Réseaux Wi-Fi

Enfin, nous testons la sécurité des réseaux Wi-Fi. Ces derniers facilitent l’introduction d’appareils inconnus dans le réseau, et ils présentent souvent des vulnérabilités méconnues des utilisateurs. Cet exercice permet aussi d’identifier ces faiblesses et de proposer des solutions pour les corriger.

Comment réalisons-nous cet exercice ?

1. La reconnaissance

La première étape, commune à tout test d’intrusion, consiste à reconnaître les actifs à attaquer. Pour cela, nous effectuons des scans réseau approfondis. Nous cherchons à identifier les points d’entrée potentiels, les serveurs, les postes de travail et les équipements réseau.

2. Techniques d’attaque

Une fois les cibles identifiées, différentes techniques peuvent être utilisées :

Empoisonnement du trafic réseau :
Nous interceptons des identifiants en manipulant le trafic réseau.

Test de mots de passe :
Nous tentons de réutiliser ou de casser des mots de passe, permettant aussi d’évaluer la politique de mot de passe de l’entreprise.

Exploitation de vulnérabilités connues :
Nous exploitons des vulnérabilités publiques pour compromettre rapidement des serveurs ou des applications critiques pour l’entreprise.

Recherche d’identifiants :
Nous cherchons des identifiants laissés dans des partages de fichiers accessibles sur le réseau.

3. Déplacement Latéral et Atteinte des Systèmes Critiques

Une fois en possession d’identifiants, nous nous déplaçons horizontalement entre les serveurs et les postes de travail. Notre objectif est d’accéder à des identifiants privilégiés et finalement d’atteindre les systèmes critiques et nos cibles. Toutefois, le défi réside dans le fait de réaliser ces actions sans être détecté par les sondes réseau, les équipes de sécurité, les antivirus, voire même les solutions de détection et de réponse aux incidents (EDR). C’est la partie pimentée du test d’intrusion interne !