Intrusion de site internet, internet, piratage, informatique, Equifax, test d'intrusion, trafic réseau, cryptographie, protocoles réseau, système d'exploitation, vulnérabilités, application web, mapping
Entre les mois de mai et juillet 2017, Equifax, une « société d'évaluation de la cote de crédit »1, a été victime d'un piratage qui a mené au vol d'environ 145 millions de numéros de Sécurité sociale de citoyens américains2. En plus des numéros de Sécurité sociale, cette brèche a également mené au vol d'identifiants fiscaux, de numéros de permis de conduire et de données d'assurance.
[...] mis en place lors de l'exploitation Basiques 1h-4h Application Web (Outil : logiciel de test d'intrusion d'applications web) Moyennes 3.1 Mapping des applications (facultatif si test en White Box) Basiques Fingerprinting des applications • Trouver le serveur d'applications et les technologies utilisées Basiques 1h-4h Analyse fonctionnelle • Comprendre le fonctionnement de l'application Basiques 1h-4h Modélisation du flux du processus • Approfondir la connaissance du fonctionnement de l'application Moyennes 5h-16h Mapping des requêtes/ressources • Identifier les requêtes avec une forte probabilité d'avoir des vulnérabilités Moyennes 5h-16h 3.2 Découverte de l'application • Identifier les vulnérabilités de l'interface utilisateur ou des services web Basiques Test de la configuration • Test de SSL/TLS, interface administrative, etc. Basiques 1h-4h Test d'identification • Ex : mot de passe facile à deviner, authentification multi facteurs, CAPTCHA, etc. [...]
[...] 14h min. 28h min. compétences requises temps estmé Black Box élevées 60h min. basiques 18h min. [...]
[...] Moyennes 5h-16h Test d'autorisation • Ex : escalade de privilèges, bypass autorisation, etc. Moyennes 5h-16h Test de la validité des données • Ex : Injection SQL, XSS, overflows, etc. Basiques 1h-4h Test de déni de service (DoS) Élevées 17h-40h Test de l'interface mobile Basiques 1h-4h 3.3 Exploitation de l'application Basiques Identifier les avenues d'attaque • Les classer par chance de succès Basiques 1h-4h Exploiter les vulnérabilités • Créer une preuve de concept Moyennes 5h-16h Post exploitation • Effacer les codes, données, etc. [...]
[...] En plus des numéros de Sécurité Sociale, cette brèche a également mené au vol d'identifiants fiscaux, de numéros de permis de conduire et de données d'assurance. Toutefois, cette brèche aurait pu être évitée si Equifax s'était soumis à un ou plusieurs tests d'intrusions sérieux. Nous proposerons ci-dessous une ébauche d'un plan d'intrusion qui aurait pu éviter à Equifax de se faire voler plusieurs millions d'informations personnelles de ressortissants américains Test de 3 composantes: protocoles, OS et applicatons Web Sommaire: Protocoles OS Applicatons temps estmé White Box 60h min. [...]
Source aux normes APA
Pour votre bibliographieLecture en ligne
avec notre liseuse dédiée !Contenu vérifié
par notre comité de lecture
