Dans le cadre d’audits applicatifs web, nous testons tout d’abord les failles web les plus largement exploitées (top 10 vulnerabilites – 2010)

• Injections (SQL Injection, Blind SQL Injections)
• XSS (cross-site scripting)
• Mauvaise authentification et étanchéité des sessions
• Absence de contrôle de session ou de variable (LFI)
• CSRF (Cross site Request forgery)
• Mauvaise configuration de la sécurité
• Mauvaise gestion des URLs protégées
• Redirections invalides
• Mauvais stockage cryptographique
• Mauvaise protection des transferts des données

S’ajoutent à cela:

• La collecte d’information applicative et métiers
  • Path disclosure
  • Découverte des versions logiciels
  • Découverte des versions CRM / CMS / ERP
• Les failles découvertes au jour le jour par les chercheurs internationaux en sécurité informatique que nous mettons quotidiennement à jour grâce à notre activité de veille.
• Les failles découvertes par notre équipe recherche qui sont connues et exploitables uniquement par Wargan Solutions
• La réalisation de POC (proof of concept) pour les failles découvertes lors de l’audit
• Un méthode interne précise d’optimisation de la découverte de failles basée sur un scanner développé par Wargan Solutions qui permet de recenser le maximum de pages disponible.
• La rédaction d’un rapport précis contenant les failles, leur criticité, les méthodes d’enrayement, et autres. Consulter notre partie méthodologie.

Il est important de noter que contrairement à d’autre société nous ne nous cantonnons pas à exécuter un scanner de vulnérabilités. Nous réalisons l’audit à la main, testons chacune des possibilités et exécutons à la fin un scanner (développé par Wargan Solutions) afin de nous assurer que nous n’avons rien oublié. Ainsi les deux axes d’investigation sont réalisés.

Cheminement méthodologiquement d’un audit de sécurité au sein de Wargan Solutions:

1. Suite à votre prise de contact, nous établissons ensemble le périmètre du projet. Tout d’abord nous mettons un point d’honneur à cerner l’intégralité des enjeux du client. Un audit ne doit pas être envisagé seul mais replacé dans son contexte client.
2. Une fois les problématiques cernées, nous vous proposons le type d’audit ou de test qui correspond le mieux à votre besoin. Plusieurs points peuvent orienter notre choix:
   • Les besoins et enjeux clients.
   • Le caractère d’urgence de l’intervention, un audit qui fait par exemple suite à un piratage du client doit être réalisé rapidement et avec toutes les méthodes permettant de gagner du temps.
   • Les volontés et directives du RSSI
3. Nous rédigeons conjointement un ordre de mission. Nous précisons dedans le périmètre d’action, les machines à auditer, les outils que nous utiliserons, les mesures d’urgences et ainsi de suite.
4. Nous réalisons l’audit en respectant ce que nous avons énoncé en point 3. Nous testons tous les processus d’attaque, réalisons une collecte d’information et surtout maximisons les intervenants sur l’audit. En effet, sur un développement maximiser les intervenants peut-être dangereux, sur un audit c’est à chaque fois fortement positif. Chaque consultant a une méthode, une technique, une analyse qui lui est propre.
5. Nous rédigeons le rapport d’audit. Ce rapport sera le document de référence (client – Wargan Solutions) afin d’évoquer la sécurité du réseau. Il contient (non exhaustif):
   • Le périmètre du projet
   • La méthodologie employée
   • Les informations que nous avons pu collecter sur votre système d’information (et qui devraient donc potentiellement être masquée)
   • L’intégralité des tests qui nous avons réalisés sur votre infrastructure / application (et qui ont aboutis, ou non)
   • Les failles que nous avons pu recenser:
     • Nous estimons leur criticité
     • Nous estimons leur difficulté d’exploitation
     • Nous estimons leur difficulté de correction
     • Nous réalisons un POC (proof of concept) pour la faille
     • Nous vous expliquons comment patcher cette faille
     • Nous vous expliquons à quels dommages peut aboutir une telle faille
   • Nous évoquons ensemble les procédures de sécurité mise en place et comment nous avons pu les contourner (WAF, XSRF Security Token, …)
   • Nous concluons sur la sécurité global de l’applicatif / infrastructure audité en lui attribuant une note et en annotant l’intégralité des procédures à mettre en place (au délà du correctif des failles), pour augmenter la note.
6. Nous vous proposons un rendez vous pour vous expliquer des points qui pourraient vous sembler obscures à la lecture du rapport.

Si notre méthode semble correspondre à vos attentes, cliquez ici pour accéder à nos audits de sécurité et tests d’intrusion.

Notre méthode

La force de notre méthode est d’allier les principes énoncés par des fondations telles que l’OWASP qui sont mondialement reconnues à notre expertise technique acquise au gré de nos multiples audits. En d’autre termes, là où un prestataire appliquera à la lettre les recommandations d’un consortium, nous, nous enrichissons de notre côté la technicité de l’audit à l’aide de nos outils et découvertes personnelles.Lire la suite: Méthodologie des audits de sécurité.

Le test d’intrusion applicatif

Le test d’intrusion applicatif est le test idéal si vous souhaitez évaluer la qualité du développement de votre site Internet.  Le consultant se place dans la peau d’un pirate et analyse l’intégralité de l’application en aveugle. Il utilise pour ce faire l’intégralité des failles connues et documentés en matière d’audit web auxquelles il ajoute ses propres découvertes.
Lire la suite: test d’intrusion applicatif.

L’audit de code

L’audit de code est à notre sens le corollaire du test d’intrusion applicatif. Cet audit permet généralement d’approfondir efficacement le test d’intrusion applicatif. Dans le cas d’un site internet sur lequel un audit a été réalisé, l’audit de code permettra de mieux comprendre les mauvais cheminements, de proposer des patchs plus précis, mais aussi d’évaluer la qualité et la sécurité globale de l’application, chose impossible lorsque nous nous plaçons uniquement dans la peau d’un pirate.
Lire la suite: Audit de sécurité de code.

Le test d’intrusion en boite noire

Le test d’intrusion en boite noire permet de raisonner global. Si le test d’intrusion applicatif nous met dans la peau d’un pirate sur l’application, le test d’intrusion en boite noire nous met dans le rôle d’un pirate qui étudierait la globalité de votre système d’information. De ce fait l’intégralité de votre infrastructure est auditée: applicatifs, services, serveurs extranet, serveurs intranet, serveurs de base de données,etc…  Nous remontons jusqu’où nous le pouvons, sans limite.
Lire la suite: test d’intrusion en boite noire.

L’audit de sécurité interne

L’audit de sécurité interne analyse tous les maillons de la chaine de votre système d’information. Tout d’abord sans information, nous agissons en pirate au sein du réseau. Puis nous entamons notre collecte d’informations, que vous complétez (parfois à votre insu), puis nous analysons vos processus métiers, et enfin nous élargissons l’audit de sécurité à l’intégralité de l’infrastructure (serveurs, postes de travail, DMZ, configurations WAF, etc).
Lire la suite: audit de sécurité interne.

La veille et la découverte de failles

Si votre structure possède déjà un pôle informatique aguerri et sensible à la sécurité informatique, et si vous souhaitez externaliser votre veille en matière de sécurité informatique et de découverte de vulnérabilités; nous vous proposons un service qui vous permettra d’être tenu au courant en cas de découverte de failles. Concrètement, vous accédez à l’interface, choisissez vos produits, technologies, langages,  services, et dès lors qu’une faille est découverte sur l’un de ces vecteurs d’intrusions, notre système vous alerte et vous propose le cas échéant un correctif de faille. Ce service de veille intègre en son sein les découvertes de nos chercheurs en sécurité.
Lire la suite: veille en vulnérabilités et découverte de failles.