Pentest #0 - Introduction

Par @Quack1 dans le
Tags : #Introduction, #Pentest, #Serie Pentest,
Partagez cet article! ~ Google+ ~ ~ Linkedin ~ Mail
Flattr this

Il semblerait qu'aujourd'hui le grand sujet à la mode en informatique soit la sécurité. En particulier l'audit et les tests d'intrusion.

Tout les gentils Kévin veulent pouvoir devenir un "hacker" pour pouvoir rentrer dans le profil Facebook de leur ex pour voir si elle a trouvé un nouveau mec. À un niveau supérieur, les gens qui connaissent à s'intéresser à la sécurité veulent connaitre toutes les attaques permettant de s'introduire dans un système informatique de manière non-autorisée.

À force de creuser le sujet, on se rend compte que l'on peut très facilement trouver à peu près toutes les pistes concernant des outils, ou comment développer les notres, afin d'exploiter des failles dans des versions très précises de logiciels rencontrés lors des tests d'intrusion.

En revanche, il existe très peu d'articles ou de documents expliquant dans sa globalité le déroulement d'un test d'intrusion, des premières rencontres avec le client jusqu'au rendu du rapport d'audit.

C'est pour cette raison simple (et également pour en garder une trace) que j'ai décidé d'écrire une série d'articles présentant la conduite de l'audit d'un système informatique.

Cette série d'articles se présentera, à priori, de la façon suivante :

  1. Premiers contacts avec le client, Contrat(s) d'audit
  2. Reconnaissance (passive et publique) de la cible
  3. Reconnaissance (active) de la cible
  4. Gestion des informations récoltées
  5. Recherche de vulnérabilités
  6. Rapports de failles
  7. Rapport d'audit

Il se peut (très fortement) que ce plan évolue au cours du temps. En effet, je vais écrire ces articles "à la volée", et je vais donc certainement penser à certaines choses pendant que j'écris les articles, ce qui mènera à l'écriture de nouveaux posts non prévus initialement.

Enfin, je ne garantis pas la régularité de la publication de tous ces articles. Mon emploi du temps évoluant très souvent et étant un minimum chargé, je ne peux pas écrire autant que je le voudrais. J'essaierais quand même de publier les articles dans un délai raisonnable, si possible un article toutes les 2 à 3 semaines. Ce qui entrainerai la fin de cette série vers février ou mars 2013. J'espère que je pourrais tenir cette cadence ;-)

Dans tous les cas, si vous souhaitez recevoir ces articles lors de leur publication, n'hésitez pas à vous abonner au flux RSS du blog ou à mon compte Twitter sur lequel je publie également les liens des articles lors de leur sortie :-)

Notez bien que je ne suis pas auditeur en sécurité, et que par conséquent les élements que je présenterais ici pourront parfois être sujets à modification et/ou amélioration. Je vous remercie d'avance de vos retours dans ces cas là.

Cet article est libre et diffusé sous une licence Creative Commons CC-BY-NC. Vous pouvez rémunérer son auteur en utilisant le système Flattr :
Flattr this

Comments !