Rien ne vaut un retour d’expérience terrain pour comprendre les risques concrets et mieux s’en protéger et c’est exactement l’objectif de cette étude de cas : partager les enseignements d’un pentest externe réalisé pour une entreprise afin que d’autres puissent éviter les mêmes pièges.
Dans cette mission, nous avons testé la résistance d’une infrastructure face à une menace interne.
Cette méthode est un moyen essentiel d’anticiper les menaces réelles et de renforcer la sécurité.
Nous avons donc décidé de partager ici les résultats et recommandations afin d’aider d’autres entreprises à mieux se protéger.
1️⃣ Contexte
Dans le secteur du bâtiment, où la gestion efficace des projets et la protection des données clients sont primordiales, l’entreprise étudiée compte environ 130 salariés répartis dans le sud-est de la France.
🔹 L’entreprise manipule des données sensibles liées à la gestion des chantiers, aux clients et aux sous-traitants.
🔹 Consciente des menaces internes potentielles, la direction a souhaité évaluer la sécurité de son réseau interne pour identifier les vulnérabilités exploitables par un employé malveillant ou un attaquant ayant déjà un pied dans le système.
L’enjeu était de taille : un attaquant interne peut-il compromettre l’infrastructure et accéder à des données critiques ?
2️⃣ Risques Identifiés
Les menaces potentielles pour une telle entreprise incluent :
🔓 Accès non autorisé aux données sensibles : un utilisateur interne pourrait exploiter des failles pour accéder à des informations confidentielles.
⚠️ Élévation de privilèges : un compte utilisateur standard pourrait obtenir des droits administratifs, compromettant l’ensemble du système.
🕵️ Propagation de logiciels malveillants : une infection initiale pourrait se propager rapidement en raison de configurations réseau inadéquates.
Pour anticiper ces risques, l’entreprise a fait appel à notre équipe afin de réaliser un pentest interne visant à identifier et exploiter les failles de sécurité internes.
3️⃣ Objectif et Approche du Pentest
🎯 Objectifs du Test d’Intrusion
L’objectif principal était de simuler une menace interne pour déterminer si un utilisateur disposant d’un accès légitime pouvait :
✅ Élever ses privilèges pour accéder à des ressources restreintes.
✅ Se déplacer latéralement au sein du réseau pour compromettre d’autres systèmes.
✅ Accéder à des données sensibles sans autorisation appropriée.
🛠 Méthodologie utilisée
Nous avons adopté une approche black box, où les testeurs ont reçu un accès utilisateur standard, similaire à celui d’un nouvel employé ou d’un stagiaire. Les étapes suivies incluent :
🔍 Reconnaissance : cartographie des actifs du système d’information.
⚠️ Élévation de privilèges : exploitation de vulnérabilités pour obtenir des droits accrus.
🔄 Propagation : mouvements latéraux pour évaluer la portée d’une compromission.
📑 Rapport et recommandations : documentation des failles découvertes et propositions de mesures correctives.
4️⃣ Déroulement du Pentest et Techniques Utilisées
1️⃣ Phase de Reconnaissance
Nous avons commencé par identifier les ressources accessibles avec un compte utilisateur classique :
🔹 Cartographie du réseau : identification des machines, serveurs et autres actifs connectés.
🔹 Analyse des partages réseau : recherche de dossiers et fichiers accessibles contenant des informations sensibles.
🔹 Identification des services actifs : détection des services et applications en cours d’exécution susceptibles de présenter des vulnérabilités.
👉 Exemple : L’analyse des partages réseau a révélé que des fichiers RH sensibles étaient accessibles à tous les employés.
2️⃣ Élévation de Privilèges
Nous avons exploité différentes vulnérabilités pour obtenir des accès avancés :
🔓 Exploitation de logiciels obsolètes pour contourner les restrictions d’accès.
⚠️ Utilisation de mots de passe par défaut sur des systèmes critiques.
🛠 Accès à des identifiants stockés en clair dans des fichiers de configuration.
👉 Exemple : L’exploitation d’un script automatisé a permis de récupérer un mot de passe administrateur stocké en clair.
3️⃣ Propagation et Mouvements Latéraux
Une fois les privilèges élevés, nous avons tenté de compromettre d’autres systèmes :
🔄 Accès à d’autres machines en réutilisant les identifiants collectés.
🔓 Exfiltration de données sensibles stockées sur des serveurs partagés.
🚪 Mise en place de backdoors pour conserver un accès persistant.
👉 Exemple : Une mauvaise segmentation du réseau a permis d’accéder aux bases de données contenant les informations clients.
5️⃣ Résultats et Recommandations
⚠️ Résultats
Le pentest a mis en évidence plusieurs vulnérabilités critiques :
❌ Mises à jour manquantes sur des serveurs internes.
❌ Accès excessifs aux partages réseau, exposant des données confidentielles.
❌ Absence de journalisation des événements suspects, rendant la détection d’intrusion difficile.
✅ Recommandations
🔒 Mettre en œuvre une gestion des accès stricte : revoir les permissions sur les fichiers et partages réseau.
🔄 Segmenter le réseau interne : limiter les interactions entre les différentes zones critiques.
🚨 Améliorer la surveillance : mettre en place un monitoring des activités suspectes.
🎓 Former les employés : sensibilisation aux bonnes pratiques de sécurité pour éviter les erreurs humaines.
6️⃣ Conclusion
Ce pentest a démontré que les menaces internes sont une réalité qu’il ne faut pas négliger. Même avec une politique de sécurité bien définie, des erreurs de configuration ou un manque de surveillance peuvent exposer l’entreprise à des risques majeurs.
🚀 Tester régulièrement son infrastructure permet de renforcer la sécurité et de prévenir des attaques potentielles avant qu’elles ne surviennent.
