Boite blanche
Le test d'intrusion en boîte noire (black box)
Le pentester ne voit pas ce qu’il y a dans la boîte qui est entièrement fermée !
Définition
Le test d’intrusion en boîte noire (black box), consiste à réussir à s’introduire à l'intérieur d'un système (la boîte) sans disposer de la moindre information. Le pentester s'introduit dans le système comme le ferait un hacker (pirate) lui permettant d'identifier les failles de sécurité qu'un hacker pourrait utiliser.
Dans quels cas l'utiliser ?
Les tests en black box sont le plus souvent utilisés tout simplement sur des sites vitrines, sans espace membre car aucune information supplémentaire utile ne permettrait au hacker d’aller plus loin dans la démarche de cette attaque.
Avantages
Le test en black box permet donc de montrer au client quels types d’informations le hacker serait capable d’obtenir et ainsi de mettre en avant les risques encourus dans le cas d’une attaque.
Le test d'intrusion en boîte grise (grey box)
Vous voyez partiellement dans la boîte
Définition
Cette méthode dite « boite grise » ou « grey box » consiste, quant à elle, à tenter de s’introduire dans le système d’informations en disposant d’un nombre limité d’informations sur l’organisation et son système. Ce cas permet de vérifier les failles d’un système en se positionnant soit en tant que collaborateur de l’entreprise ayant accès en interne à quelques informations, soit en tant que point de départ d’un hacker qui aurait réussi à avoir accès à un compte utilisateur au sein de l’organisation.
Dans quels cas ?
En général, lors d’un test en Grey Box, le pentester dispose alors d’identifiants et mots de passe lui permettant d’aller au-delà de l’étape d’authentification. On utilise cette approche dans le cas d’un site marchand ou d’un site non marchand disposant d’un espace membre ou espace clients.
Avantages
Le pentester ne démarre pas à l’aveugle. En ayant un nombre limité d’informations, il peut plus facilement simuler des attaques et aller au-delà de ce qu’il aurait pu faire en mode Black Box.
Les limites de l'approche Grey Box
La méthode Grey Box est la plus souvent utilisée dans le cadre de test d’intrusion auprès des entreprises car elle est souvent la plus réaliste. Le hacker dispose en effet dans la majorité des cas de quelques informations, ou si ce n’est pas le cas, il aura trouver comment accéder à ses informations et pourra pousser son attaque au-delà d’une étape d’authentification.
Cependant, le pentester ou hacker éthique ne peut pas garantir que le hacker n’aura pas trouver une nouvelle technique de piratage et ainsi trouver une nouvelle faille exploitable. Il y a donc toujours une limite de test d’intrusion même si le risque est minimisé.
Le test d'intrusion en boîte blanche (white box)
Vous voyez tout ce qu’il y a dans la boîte !
Définition
Le test d’intrusion en black box, appelé également pentest en mode « boite noire » consiste à réussir à s’introduire dans un système (la boîte) sans avoir la moindre information, tel un hacker découvrant pour la première fois ce système. Le pentester n’a alors aucune connaissance de l’environnement et teste à l’aveugle. Depuis l’extérieur, son objectif est donc de trouver comment s’introduire dans le système cible comme un attaquant extérieur pourrait le faire.
Dans quels cas ?
En général, lors d’un test en Grey Box, le pentester dispose alors d’identifiants et mots de passe lui permettant d’aller au-delà de l’étape d’authentification. On utilise cette approche dans le cas d’un site marchand ou d’un site non marchand disposant d’un espace membre ou espace clients.
Avantages
Le pentester ne démarre pas à l’aveugle. En ayant un nombre limité d’informations, il peut plus facilement simuler des attaques et aller au-delà de ce qu’il aurait pu faire en mode Black Box.