11

Table des matières

Kali Linux dans une évaluation 281 Types d'évaluations 283 Formalisation de l'évaluation 293

Types d'attaques 294 Résumé 297

Nous avons couvert de nombreuses fonctionnalités spécifiques à Kali Linux jusqu'à présent, vous devez donc bien comprendre ce qui rend Kali spécial et comment accomplir un certain nombre de tâches complexes.‌

Avant d'utiliser Kali, cependant, vous devez comprendre quelques concepts liés aux évaluations de sécurité. Dans ce chapitre, nous présenterons ces concepts pour vous aider à démarrer et fournirons des références qui vous aideront si vous devez utiliser Kali pour effectuer une évaluation de sécurité.

Pour commencer, cela vaut la peine de prendre le temps d'explorer exactement ce que signifie « sécurité » lorsqu'il s'agit de systèmes d'information. Lorsque vous tentez de sécuriser un système d'information, vous vous concentrez sur trois attributs principaux du système :

• Confidentialité: les acteurs qui ne devraient pas avoir accès au système ou aux informations peuvent-ils accéder au système ou aux informations ?

• Intégrité: les données ou le système peuvent-ils être modifiés d'une manière non prévue ?

• Disponibilité: les données ou le système sont-ils accessibles quand et comment ils sont censés l'être ?

Ensemble, ces concepts constituent la triade CIA (Confidentialité, Intégrité, Disponibilité) et sont en grande partie les principaux éléments sur lesquels vous vous concentrerez lors de la sécurisation d'un système dans le cadre d'un déploiement, d'une maintenance ou d'une évaluation standard.

Il est également important de noter que dans certains cas, vous pouvez être beaucoup plus préoccupé par un aspect de la triade de la CIA que d'autres. Par exemple, si vous avez un journal personnel qui contient vos pensées les plus secrètes, la confidentialité du journal peut être bien plus importante pour vous que l'intégrité ou la disponibilité. En d'autres termes, vous ne vous souciez peut-être pas autant de savoir si quelqu'un peut écrire dans le journal (plutôt que de le lire) ou si le journal est toujours accessible ou non. En revanche, si vous sécurisez un système de suivi des prescriptions médicales, l'intégrité des données sera des plus critiques. Bien qu'il soit important d'empêcher d'autres personnes de lire les médicaments qu'une personne utilise et qu'il soit important que vous puissiez accéder à cette liste de médicaments, si quelqu'un était en mesure de modifier le contenu du système (en altérant l'intégrité), cela pourrait conduire à résultats mettant la vie en danger.

Lorsque vous sécurisez un système et qu'un problème est découvert, vous devrez déterminer dans lequel de ces trois concepts, ou dans quelle combinaison d'entre eux, le problème se situe. Cela vous aide à comprendre le problème de manière plus globale et vous permet de catégoriser les problèmes et de répondre en conséquence. Il est possible d'identifier les vulnérabilités qui affectent un ou plusieurs éléments de la triade de la CIA. Pour utiliser une application Web avec une vulnérabilité d'injection SQL comme exemple :

• Confidentialité: une vulnérabilité d'injection SQL qui permet à un attaquant d'extraire le contenu complet de l'application Web, lui permettant d'avoir un accès complet pour lire toutes les données, mais aucune possibilité de modifier les informations ou de désactiver l'accès à la base de données.

• Intégrité: une vulnérabilité d'injection SQL qui permet à un attaquant de modifier les informations existantes dans la base de données. L'attaquant ne peut pas lire les données ou empêcher les autres d'accéder à la base de données.

• Disponibilité: une vulnérabilité d'injection SQL qui initie une requête de longue durée, consommant une grande quantité de ressources sur le serveur. Cette requête, lorsqu'elle est lancée plusieurs fois, conduit à une situation de déni de service (DoS). L'attaquant n'a pas la possibilité d'accéder ou de modifier les données, mais peut empêcher les utilisateurs légitimes d'accéder à l'application Web.

• Multiple: une vulnérabilité d'injection SQL conduit à un accès shell interactif complet au système d'exploitation hôte exécutant l'application Web. Avec cet accès, l'attaquant peut violer la confidentialité du système en accédant aux données à sa guise, compromettre l'intégrité du système en altérant les données et, s'il le souhaite, détruire l'application Web, ce qui compromet la disponibilité du système.

Les concepts derrière la triade de la CIA ne sont pas trop compliqués et sont de manière réaliste des éléments avec lesquels vous travaillez intuitivement, même si vous ne les reconnaissez pas. Cependant, il est important d'interagir consciemment avec le concept car il peut vous aider à identifier où diriger vos efforts. Cette base conceptuelle vous aidera à identifier les composants critiques de vos systèmes et la quantité d'efforts et de ressources qu'il vaut la peine d'investir pour corriger les problèmes identifiés.

Un autre concept que nous aborderons en détail est risque, et comment il est composé des menaces et vulnérabilités. Ces concepts ne sont pas trop complexes, mais il est facile de se tromper. Nous aborderons ces concepts en détail plus tard, mais à un niveau élevé, il est préférable de penser à risque comme ce que vous essayez d'empêcher de se produire, menace comme qui te le ferait, et vulnérabilité comme ce qui leur permet de le faire. Des contrôles peuvent être mis en place pour faire face à la menace ou à la vulnérabilité, dans le but d'atténuer le risque.

Par exemple, lorsque vous visitez certaines parties du monde, vous pouvez être à risque d'attraper le paludisme. C'est parce que le menace de moustiques est très élevé dans certaines régions, et vous n'êtes presque certainement pas immunisé contre le paludisme. Heureusement, vous pouvez contrôler le vulnérabilité avec des médicaments et tenter de contrôler la menace avec l'utilisation d'insectifuges et de moustiquaires. Avec des contrôles en place abordant à la fois les menace et la vulnérabilité, vous pouvez contribuer à garantir la risque ne s'actualise pas.