Contexte et enjeux

Notre client est une société dans le domaine le e-commerce sur le marché français avec un effectif d’environ 50 salariés.

L’enjeu principal de cette entreprise est de vérifier les possibilités d’un cybercriminel à attaquer le site web marchand de l’entreprise. Ils ont besoin de connaitre leurs vulnérabilités et leurs failles pour augmenter leurs niveaux de cybersécurité. Une cyberattaque peut représenter une perte financière importante pour ce client ainsi qu’une atteinte à l’image et à la réputation de l’entreprise. Et notamment en cas d’indisponibilité du site web pendant une période charnière comme les soldes ou les Blacks Fridays.

Scénario mise en place par Piirates

Les équipes Piirates ont délimité le périmètre du pentest web, et ont une idée précise des objectifs à atteindre à la fin de la mission et des besoins spécifiques du client. Le pentest Blackbox est un moyen utile pour mettre en place des scénarii en cas d’attaque venant de l’extérieur de l’entreprise.

Nos pentesters se mettent en place afin de tester leur niveau de sécurité sur la partie serveur web ainsi que la couche applicative. À partir des failles identifiées, tant au niveau des serveurs que de la couche applicative, différentes attaques web seront alors réalisées afin de franchir le premier niveau de sécurité, et ainsi pénétrer le système d’Information.

Quelques étapes de la mission

Investigation

Phase de reconnaissance : Collecte des données et renseignements propres à la cible, sur des sources d’information accessibles à tous les utilisateurs (moteur de recherche, réseaux sociaux, DNS)

Cartographie : Cartographie de l’ensemble des actifs du système d’information cible,

Exploitation

Recherche de vulnérabilités : les données collectées nous permettent d’analyser les faiblesses des applications, sites et systèmes de la cible.

Exploitation : pénétration du système à travers quelques vulnérabilités détectées au sein de l’infrastructure de l’entreprise cliente.

Résultats

Grâce à cette mission, nous avons pu remonter à notre client des vulnérabilités et failles à impact facile, moyen et critique dans le rapport de cette mission de test d’intrusion web. Nous leurs avons proposé des mesures correctives adaptées et priorisées.