Tout ce que vous devez savoir sur cet audit de sécurité
Les applications dites client lourd (« thick client ») sont des applications logiciel qui s'exécutent directement sur l'ordinateur de l'utilisateur en local. Elles se caractérisent généralement par une complexité accrue par rapport aux applications Web simples, rendant leur sécurisation plus difficile. Le caractère historique (« legacy ») de certaines de ces applications peut d’ailleurs compliquer l’application de correctifs de sécurité et l’utilisation de mécanismes de sécurité robustes. De surcroît, la surface d'attaque et les possibilités de mouvement latéral au sein d’un réseau qu'elles peuvent offrir en font des cibles privilégiées pour les attaquants.
Qu’est-ce qu’un client lourd ?
Un client lourd est une application qui a la particularité d’utiliser les ressources locales de la machine hôte pour s'exécuter sur l'ordinateur de l'utilisateur, contrairement à une application web qui est accessible au travers d’un navigateur Web.
Les ressources de la machine hôte sont utilisées pour assurer les fonctionnalités applicatives. Une communication avec un serveur distant requiert généralement un accès au réseau.
Exemple de cas d’usage pour une application client lourd :
• Applications nécessitant une puissance de calcul locale importante (ex : application de traitement vidéo)
• Applications nécessitant de pouvoir fonctionner avec un accès réseau discontinu (ex : application sur un poste nomade)
Le test d’intrusion clients lourds (« thick client » en anglais) est une évaluation de sécurité permettant d’identifier de potentielles vulnérabilités exposées par la surface d’attaque d’une application client lourd (client, échanges réseau, serveur). Nos auditeurs réalisent des tests poussés afin d’évaluer la sécurité de vos logiciels pour identifier et vous permettre de corriger les failles avant qu'elles ne soient exploitées.
Le pentest client lourd est un outil important car ces applications présentent des surfaces d'attaque spécifiques qui doivent être évaluées selon une méthodologie adaptée. Les clients lourds sont exposés à divers risques, tels que l'extraction d'informations sensibles, la rétro-ingénierie ou encore la manipulation des données. De plus, leur exécution en local introduit des risques supplémentaires, comme l’absence d’isolation des processus ou les privilèges accordés à l’application sur le reste de la machine, qui pourraient être exploités par un attaquant. Enfin, les communications entre le client et les serveurs distants constituent également un vecteur d'attaque majeur qui nécessite une attention particulière lors des tests.
Notre méthodologie de test d'intrusion pour les clients lourds est basée sur l’OWASP Thick Client Application Security Verification Standard. Il s’agit d’une norme reconnue qui couvre la surface d'attaque des applications type clients lourd.
Le pentest client lourd peut être réalisé selon différentes approches : boîte noire, boîte grise ou boîte blanche, selon vos objectifs et besoins.
Test d'intrusion en boîte noire :
L'auditeur ne dispose d'aucune information et d’aucun compte. Seules les limites du périmètre autorisé à auditer sont connues (ex : exécutable ou fichier d’installation).
Cette approche simule un attaquant anonyme.
Test d'intrusion en boîte grise :
L'auditeur dispose de davantage d’éléments sur la cible à auditer, tels que des identifiants de comptes applicatifs.
Les identifiants peuvent appartenir à différents profils d'utilisateurs afin de tester différents niveaux de privilèges.
Cette approche simule un attaquant authentifié ou qui serait parvenu à compromettre l’un des comptes applicatifs.
Test d'intrusion en boîte blanche :
L'auditeur dispose d'autant d'informations techniques que possible pour réaliser le test d’intrusion (architecture, code source, identifiants, privilèges élevés, etc.).
Cette approche permet la réalisation de tests plus exhaustifs en permettant d’identifier une surface d’attaque moins visible depuis les approches précédentes.
1. Cadrage et préparation
Tout pentest client lourd commence par une phase de cadrage et de préparation. Le périmètre et les objectifs du test sont définis en collaboration avec vous. Les applications, versions et environnements à tester sont identifiés. Dans la mesure du possible, les tests sont réalisés sur un environnement de test isolé de la production.
2. Reconnaissance et collecte d'informations
La collecte initiale d’informations permet de rassembler un maximum de données pour comprendre la cible et son fonctionnement. Cela consiste notamment à identifier le langage et framework de développement utilisé (ex : C# .NET, Java, C++, etc ).
Cette phase combine une analyse statique (étude de l’exécutable) et une analyse dynamique (observation du comportement en cours d'exécution). Les fichiers de configuration, les logs et le stockage local sont examinés. L'architecture applicative et les flux de données vers le serveur sont cartographiés.
3. Recherche de vulnérabilités
Une série de tests est menée pour identifier les vulnérabilités potentiellement présentes sur la surface d’attaque. Les mécanismes de contrôle d'accès, les fonctions cryptographiques ou encore la protection des échanges sur le réseau sont évalués et font l'objet de tests approfondis.
4. Exploitation
Les vulnérabilités identifiées sont exploitées de manière contrôlée pour valider leur impact réel. Cela peut impliquer une escalade de privilèges, un accès à des fonctions ou données non autorisées. Les impacts potentiels (fuite de données, prise de contrôle de compte, etc.) sont démontrés. La possibilité de rebondir sur des systèmes connectés (serveurs backend par exemple) est également vérifiée.
5. Reporting et restitution
Un score de criticité est calculé pour chaque faille selon des critères d’impacts et de facilité d'exploitation en utilisant le système Common Vulnerability Scoring System (CVSS). Un rapport détaillé est rédigé, incluant une synthèse managériale à destination d’un public non technique, une description technique des vulnérabilités, les preuves d'exploitation ainsi qu'une évaluation de leur criticité. Le rapport formalise également des recommandations concrètes de remédiation, pragmatiques et priorisées permettant de corriger chaque vulnérabilité. Les résultats sont restitués à l'ensemble des parties prenantes : les consultants prennent le temps d'expliquer pédagogiquement les scénarios d'attaque exploités et surtout les risques opérationnels et business qui en découlent. Le plan de remédiation est également expliqué.
Les types d’attaque suivants ne sont pas tentés lors d’un pentest client lourd :
• Ingénierie sociale (ex : piéger une personne à son insu pour voler ses identifiants)
• Déni de service (ex : rendre l’application ou son serveur API volontairement indisponible)
Une restitution orale des résultats peut être organisée auprès de vos équipes afin de revenir sur les vulnérabilités identifiées, les propositions de remédiation et de répondre aux interrogations. C'est aussi l'occasion de sensibiliser vos collaborateurs et de les mobiliser autour d'un plan d'actions commun.
Expérience et Expertise Technique
Avec plus de 100 audits techniques réalisés chaque année et 7 ans d’expérience en moyenne nos auditeurs techniques expérimentés garantissent un fort niveau d’expertise dans la réalisation des tests techniques. La certification et la formation régulière de nos auditeurs assurent le maintien à jour de leur expertise technique et connaissance des vulnérabilités les plus récentes.
Approche Personnalisée
Les consultants de Holiseum personnalisent leurs tests d’intrusion interne en fonction des besoins et objectifs spécifiques de chaque client pour offrir des solutions sur mesure.
Savoir-faire
L’utilisation des méthodologies basées sur les standards reconnus (OWASP…) assure la qualité de nos interventions. Notre qualification Prestataires d’Audit de la Sécurité des Systèmes d’Information (PASSI) sur les 5 portées (test d’intrusion, revue de configuration, audit de code, audit d’architecture, audit organisationnel et physique) ainsi que notre qualification Prestataires d’accompagnement et de conseil en sécurité des systèmes d’informations (PACS) garantissent une intervention respectant les exigences formulées par l’ANSSI. Notre approche holistique de la cybersécurité vous garantit la formulation de préconisations pertinentes et adaptées à votre contexte.
En tant qu’acteur majeur de la cybersécurité des infrastructures critiques et industrielles Holiseum met son expertise au service de la protection de vos actifs critiques. Contactez-nous dès maintenant pour échanger sur vos besoins de pentest interne et obtenir un devis personnalisé.
Holiseum propose des solutions innovantes en matière de cybersécurité pour les infrastructures critiques, ainsi que du conseil et services en cybersécurité
.png){kind=small}