Retour d’expérience de Pentest de Positive Technologies

Retour d'expérience de Pentest

Bonjour à tous, aujourd’hui je vous partage de la bonne lecture de retour d’expérience de Pentest qu’un collègue m’a fait suivre (merci Phiphi). Il s’agit d’un bilan de pentests réalisés par la société Positive Technologies en 2020 que vous pourrez lire ici :

https://www.ptsecurity.com/ww-en/analytics/external-pentests-results-2020/

Si c’est trop long pour vous (titre), après avoir rappelé ce qu’est un pentest, comment ça fonctionne, à quoi ça sert, qui en fait, et pourquoi ; ils attaquent un peu des statistiques de leurs résultats et comment ils sont rentrés dans les SI dans les grandes lignes.

Bon à l’ouest rien de nouveau, hein :

  • l’intrusion est réussie dans 9 cas sur 10 ;
  • il faut en moyenne 4 jours pour rentrer dans un SI ;
  • dans 7 cas sur 10, il ne faut pas de compétences particulières ;
  • les applications web sont la porte d’entrée n°1.

On a pas forcément accès à ce genre de document facilement et toutes les sociétés de sécurité ne communiquent pas forcément la-dessus.

Du coup, c’est super intéressant pour ceux qui travaillent dans le défensif, vous avez une liste des éléments couramment regardés par les pentesteurs : corrigez-les en interne avant de faire appels à leur service, … Lire la suite

Le Pentest physique, C’est quoi ?

PenTest Physique et casser un p12

Salut à tous, aujourd’hui je vous propose une vidéo (à la fin de l’article) sur le PenTest Physique. Il s’agit d’une intervention faite au wild west hacking fest 2017. Dans les trucs à retenir :

  • L’états d’esprit d’un pentest en informatique et d’un pentest physique sont exactement les mêmes.
  • Personne ne crochète des serrures, si un attaquant doit en arriver là c’est plutôt un bon signe.
  • Les clé standards : c’est le mal.
  • Ne faite pas de câlins à un inconnu, même s’il est sympa… et encore plus si vous avez votre carte d’accès sur vous…
  • Personne ne se méfie du gars qui répare les ascenseurs, en particulier s’il a un badge et un paperboard.
  • On peut troller les hotlines des d’urgence des ascenseurs (mais ne le faites pas, c’est comme les services de secours, hein).
  • Comme en informatique, tous les outils qui vont bien existent.
  • Ne laissez pas trainez vos clés sur une voiturette de golf…

Bref, tout ça pour vous (re)dire que s’il est utile de se toucher la nouille toute la journée sur d’éventuelles zero-day et de patcher vos serveurs à tout bout de champs. Si votre salle machine a une issue de secours avec une porte … Lire la suite