Liminaire#
De même que Margot Priem s'exaspère des clients / prospects qui confondent les missions Red Team et les Tests d'Intrusion, je m’exaspère des professionnels de la sécurité offensive eux-mêmes qui font cette confusion (volontairement ou non).
C'est pourquoi je souhaitais repartager cet article tout en rajoutant une pièce (voir plusieurs) dans la machine au passage.
Beaucoup d'entreprises d'audit et de test d'intrusion (penetration test abrévié pentest en anglais) parlent de mission Red Team (il n'y a pas vraiment de traduction en français) dès lors qu'il s'agit d'un audit combiné incluant un test d'intrusion d'infrastructure interne et un test d'intrusion physique ou une campagne d'hameçonnage (phishing en anglais) alors que la prestation qu'elles réalisent est à des années-lumière d'un Red Team.
En effet, même si parfois les intrusions physiques ou l'hameçonnage peuvent être utilisés lors d'un Red Team, l'approche, la méthodologie, les objectifs, la temporalité, les techniques employées, le périmètre sont fondamentalement différents. C'est-à-dire tout en fait.
Définition#
- Un test d'intrusion est une méthode d'évaluation de la sécurité d'un système d'information, d'un réseau informatique ou d'une application pour y déceler des vulnérabilités susceptibles d'être exploitées par un attaquant.
- Le Red Team est le processus qui consiste à utiliser des tactiques, des techniques et des procédures (TTP) pour simuler une menace réelle dans le but de former et de mesurer l'efficacité des personnes, des processus et de la technologie utilisés pour défendre un environnement.
Méthodologie et objectifs#
Pour commencer, lors d'un test d'intrusion les personnes réalisant la mission sont appelées des auditeurs alors que côté Red Team, on les appelle des opérateurs.
Lors d'un test d'intrusion, les auditeurs sont bruyants, ils vont lancer des scans (exemples : nmap, netexec, pingcastle, nessus, etc.) et vont faire retentir les sonnettes d'alarmes et faire pleuvoir les notifications des outils de détections dès les premières minutes de l'audit. Leur but est d'être exhaustif et de remonter le maximum de vulnérabilités dans le temps imparti. Pour un Red Team c'est l'exact opposé, les opérateurs vont être très discrets, vont mener des actions de manière lente et espacée, leur furtivité doit être maximale. Leur but est d'atteindre un objectif fixé à l'avance ou un ensemble de drapeaux sans se faire repérer. Les opérateurs de Red Team ne détailleront dans leur rapport que le chemin de compromission utilisé pour atteindre leur objectif alors que le rapport de test d'intrusion inclus toutes les vulnérabilités rencontrées.
Le test d'intrusion d'infrastructure interne est donc une démarche très horizontale (exhaustivité, grande couverture du système d'information) tandis que celle de Red Team est une démarche très verticale (exploitation du minimum de vulnérabilités pour mener à bien l'objectif, un chemin d'attaque bout en bout).
La mission de Red Team a pour but de mesurer de l'efficacité des personnes, processus et technologies utilisés pour défendre l'infrastructure. Elle n'a pas bout but d'être une chasse aux vulnérabilités. L'objectif est de comprendre les opérations de sécurité dans leur ensemble. Le résultat d'une mission de Red Team peut identifier des vulnérabilités, mais plus important encore, l'équipe rouge (offensive) permet de comprendre la capacité de l'équipe bleue (défensive) à avoir un impact sur la capacité d'une menace à opérer.
Là où un test d'intrusion va simplement permettre de corriger des vulnérabilités ou attester d'un niveau de sécurité, une mission Red Team peut permettre de répondre aux questions suivantes :
- La capacité d'une menace à accéder à des zones physiques
- Quelle est la capacité d'une menace à accéder aux parties communes ? À accéder à des zones réservées / interdites au public ?
- Quels effets une menace peut-elle avoir grâce à l'accès obtenu ?
- La capacité d'une menace à accéder à des systèmes clés / critiques
- Quelle est la capacité d'une menace à accéder aux systèmes clés / critiques ?
- Quels impacts une menace peut-elle avoir sur les systèmes clés /critiques ?
- La capacité d'une menace à se déplacer librement dans un réseau
- Quelle est la capacité d'une menace à se déplacer librement dans un réseau ?
- La capacité d'une menace à obtenir un accès administratif
- Quelle est la capacité d'une menace à obtenir un accès administratif local ? À obtenir un accès administratif au domaine ?
- Quels effets une menace peut-elle avoir grâce à l'accès obtenu ?
- Capacité d'une menace à accéder à des informations sensibles
- Quelle est la capacité d'une menace à accéder à des informations sensibles ? À les identifier ?
- Capacité d'une menace à exfiltrer des données à l'extérieur d'une organisation
- Quelle est la capacité d'une menace à exfiltrer des données à l'extérieur d'une organisation ?
- Quelle quantité de données doit être exfiltrée pour avoir un impact sur une organisation ?
- Capacité d'une menace à agir sans être détectée pendant un laps de temps donné
- Combien de temps une menace peut-elle passer inaperçue ?
- Une menace peut-elle atteindre ses objectifs sans être détectée ?
- Que doit faire une menace pour susciter une réaction de la part d'une organisation ?
- Capacité d'une menace à avoir un impact opérationnel
- Quels sont les effets d'une menace sur une organisation ?
- Comment une menace peut-elle affecter la production ? La réputation ? L'approvisionnement ?
Temporalité#
Un test d'intrusion d'infrastructure interne s'étale typiquement sur une ou deux semaines en continu tandis qu'un Red Team s'opère généralement sur 3, 6 ou 9 mois (un mois au minimum) de manière discontinue.
Les auditeurs vont donc aborder leurs missions séquentiellement en enchaînant les grandes étapes (découverte / reconnaissance, analyse / énumération, exploitation) et établir une boucle de rétroaction dessus (chaque exploitation réussie ouvrir l'accès à plus de ressources à tester). Alors que les opérateurs de Red team vont, par exemple, commencer par une collecte d'informations passive, mais attendre un mois avant de commencer une première tentative de d'obtention d'un accès initial. Durant cette période, ils pourront élaborer des scénarios et chemins d'attaque, améliorer leur plateforme, développer leur arsenal, mais aussi, très certainement, travailler sur d'autres missions de Red Team. Les opérateurs parallélisent donc les missions.
La quantité de temps allouée de la mission joue aussi sur un autre facteur : la personnalisation de l'outillage. En effet, durant un test d'intrusion les auditeurs utiliseront des outils sur étagères ou maisons pré-existants, mais n'auront absolument pas le temps d'en développer de nouveaux. De même, les auditeurs pourront tenter d'exécuter des scripts de d'exploitation en les modifiants légèrement, mais ne pourront pas écrire des scripts d'exploitation spécifiques si la complexité est élevée, d'autant plus que cela nécessiterait probablement de déployer un laboratoire (plateforme / application de test) afin de faire des tests et étudier les impacts. Si les auditeurs n'ont pas l'outillage nécessaire à l'exploitation d'une vulnérabilité, ils remonteront alors un potentiel de risque et passeront à la suite dans le but de consacrer leur temps restant à l'identification du maximum de vulnérabilités. Tandis que si des opérateurs de Red Team sont devant la seule porte possible pour accéder à leur objectif et qu'ils n'ont pas l'outillage adéquat, ils pourront se permettre de passer plusieurs jours à développer ce qu'il leur manque. D'autant plus que c'est exactement ce que feraient les acteurs de la menace qu'ils simulent dans des proportions certainement encore plus grandes d'ailleurs.
Approche#
Comme le but d'un Red Team est de rester furtif, il est habituellement recommandé de mettre le moins de personnes au courant de l'existence de la prestation. Idéalement, seul le commanditaire de la mission est au courant côté audité / client (c'est lui qui la commande tout de même, à moins d'être amnésique, il sera forcément au courant) et les opérateurs côté prestataire.
Limiter le nombre de personnes ayant connaissance de la prestation permet de diminuer les chances de fuite d'information pouvant compromettre les opérations ainsi que d'éviter que les employés de l'entreprise auditée se comportent différemment de qu'elles auraient pu faire en conditions réelles.
Pour garantir une discrétion maximale, certains responsables de mission Red Team peuvent choisir d'attribuer un nom de code au projet et de n'utiliser que celui-ci pour la communication interne. Ainsi, par exemple, le secrétariat ou le responsable administratif et financier ne connaîtra pas l'identité réelle du client afin d'éviter toute fuite par inadvertance. De même, les opérateurs pourront ne pas connaitre la véritable identité du client avant le début de la mission. Celle-ci pourra leur être révélée lors de la phase de reconnaissance.
Pour une mission de test d'intrusion classique, les auditeurs travailleront le plus souvent en binôme, en fonction des disponibilités. C'est une généralité, car pour des missions très courtes ou avec un périmètre très restreint, l'auditeur pourra être amené à travailler seul ou a contrario à beaucoup plus pour des missions avec un périmètre exceptionnellement large. ⚠️ Nombre d'opérateurs par mission Red Team ? découpage ? au moins 2 pour avoir un témoin ⚠️
Pour le test d'intrusion, c'est d'abord l'efficacité qui est recherchée et en boite blanche ou grise des informations sont volontairement communiquées au prestataire d'audit. Pour le Red Team, c'est le réalisme qui est recherché afin de simuler le plus fidèlement une menace réelle et leurs tactiques, techniques et procédures, quasiment aucune information n'est communiquée au prestataire.
Rapport#
Dans un rapport de test d'intrusion, dans les grandes lignes, on va retrouver : une synthèse pour les responsables, un tableau de synthèse des vulnérabilités et des recommandations, un rappel du périmètre, de quelques informations liées au déroulement de l'audit et de l'approche sélectionné (boite blanche/grise/noire), le détail des vulnérabilités identifiées (description, constat et preuves, recommandations, quelques métriques dont le niveau de risque).
Pour un rapport de Red Team, on va retrouver une méta-structure similaire avec une synthèse et une partie technique parlant abordant les vulnérabilités. Cependant, dans le détail, le contenu est assez différent. Dans la partie sur l'organisation de la mission, on va retrouver les objectifs initiaux et atteints, les scénarios. Dans la partie technique, on retrouvera, par exemple, un arbre d'attaque (cheminement et enchainement des vulnérabilités), le résumé des étapes critiques ainsi que des observations et recommandations par rapport à des scénarios ou des mesures organisationnelles déficientes et non pas pour l'ensemble des vulnérabilités exploitées.
Techniques#
Je ne vais pas m'étendre sur la méthodologie, qui mériterait un dossier entier, et uniquement me concentrer sur des aspects techniques qui diffèrent.
Dans une mission de Red Team, les opérateurs vont utiliser un serveur de commande et de contrôle (C2 ou C&C) afin de gérer toutes les machines compromises, extraire de l'information, etc. Ce qui n'existe pas en test d'intrusion puisque les auditeurs vont directement interagir avec les machines compromises sans avoir besoin d'un serveur intermédiaire.
Lors d'un test d'intrusion d'infrastructure interne, l'auditeur ne va pas forcément essayer de contourner un antivirus ou un EDR, ou alors de manière très succincte, car il n'en a pas le temps et a bien d'autres pistes à explorer. Il va plutôt essayer de trouver un autre chemin d'attaque, il n'a pas forcément d'intérêt à compromettre cette machine en particulier. Ces tentatives d'exécutions ou de contournements seront détectées et des alertes remontées. Alors qu'un opérateur Red Team, fera de la collecte d'information en amont pour savoir quelle solution de sécurité est en place et essayera de la contourner hors ligne dans un laboratoire pour ne pas remonter d'alertes.
Lors d'un test d'intrusion web, les auditeurs journalisent généralement tous les évènements via leur serveur mandataire (ex : Burp Suite) mais pas systématiquement lors d'un test d'intrusion d'infrastructure interne. D'une part, contrairement au Red Team, il n'y a pas un besoin de pouvoir retracer une frise chronologique des évènements pour entrainer une équipe défensive. D'autre part, les tentatives infructueuses ne sont pas remontées, le rapport d'audit ne remonte que les vulnérabilités. Idéalement cette journalisation devrait tout de même être faite en audit afin de pouvoir confirmer ou infirmer qu'une action à une heure précise est ou non la cause d'un problème dans le système du client. Mais en pratique ce n'est souvent pas fait, car c'est complexe : beaucoup d'outils n'ont pas d'options pour passer à travers un serveur mandataire ou sortir des journaux d'évènements.
Les opérateurs de Red Team doivent se concerter entre eux avant d'exécuter une action afin de s'assurer de ne générer aucun effet de bord qui pourrait compromettre toute l'opération de manière prématurée. Ce qui ne sera pas le cas en audit car il n'y a pas de besoin de discrétion.
Pour les missions de Red Team, chaque outil doit être analysé et validé avant de pouvoir être utilisé afin de maitriser les traces laissées ou les comportements qui pourraient être détectés. De plus, parfois, des erreurs volontaires dans les Preuves de Concept et les outils offensifs (écouter l'épisode S01E05 du balado Service Hacktion) sont positionnées afin que l'attaque puisse être détectée facilement.
Les opérateurs de Red Team ne peuvent pas se permettre d'utiliser des canaux de communication non chiffrés, car le contenu malveillant serait simplement détecté par un IDS ou autre système défensif sur le réseau. Il en va de même pour attaquer des sites web ou des services réseaux non chiffrés, ce qui va exclure ses chemins pour les opérateurs. Les auditeurs n'ont pas cette problématique et vont au contraire remonter l'utilisation de protocoles ou de services réseaux non chiffrés comme étant une mauvaise pratique.
Lors d'un test d'intrusion, si un auditeur veut tenter une élévation de privilège avec un binaire, il va l'exécuter depuis le dossier courant ou un dossier temporaire, par soucis de simplicité. Au contraire, l'opérateur Red Team devra exécuter depuis un emplacement typique sur le système d'exploitation, comme c:\programdata, c:\progam files ou c:\windows\ sur Microsoft Windows. Un emplacement atypique serait hautement suspect et facilement détectable.
De toute manière, les opérateurs préféreront détourner l'utilisation d'une commande déjà présente sur le système plutôt que de venir déposer des binaires. Voir la vidéo Astuces - GTFOBins et compagnie afin de découvrir des ressources pour les techniques de d'exploitation des ressources locales.
Périmètre#
À mon avis, c'est ici que réside la source majeure de l'amalgame.
Comme discuté en introduction, souvent les entreprises parlent de Red Team à tord, parlent en réalité d'une offre groupée de plusieurs prestations pouvant inclure :
- un test d'intrusion d'infrastructure interne,
- une campagne de manipulation psychosociale (social engineering en anglais),
- une campagne d'hameçonnage (phishing en anglais),
- un test d'intrusion physique.
Sans même parler de combiner les 4, le simple fait d'associer un test d'intrusion d'infrastructure interne et une campagne d'hameçonnage ou un test d'intrusion physique, et c'est partit pour l'abus de langage extrême.
Pourquoi ? Essayons de nous introduire dans la tête de ceux qui ont le mot léger et d'identifier les sources de confusion.
Première piste, la prestation rare. Le test d'intrusion d'infrastructure interne est une prestation classique, qu'il n'est pas rare d'effectuer et qui se vend généralement seule. Au contraire, par exemple, le test d'intrusion physique est une prestation rarement vendue, et quand c'est le cas, elle n'est quasiment jamais vendue seule, elle accompagne quasi systématiquement un test d'intrusion d'infrastructure interne. D'un part les tests d'intrusion physique sont rares dans le monde de l'audit, mais sont courants dans les missions Red Team. On peut même dire qu'ils sont un élément symbolique de celles-ci. Ici l'amalgame s'agit donc de parler de Red Team dès qu'il y a usage d'un test d'intrusion physique. Vous l'avez déjà compris par la lecture des sections précédentes, bien que l'offre groupée de test d'intrusion et la mission Red Team peuvent toutes deux inclure une intrusion physique, tout dans la méthodologie, les objectifs, la temporalité, l'approche, la rédaction de rapport, les techniques employés sont très différents. Comme nous le verrons par la suite, le profil des opérateurs / auditeurs et les clients cibles le sont aussi.
Seconde piste, la combinaison. En combinant plusieurs types de prestation ensemble, on adresse plusieurs aspects de la sécurité de l'entreprise. Par exemple, le test d'intrusion d'infrastructure interne va couvrir l'aspect technique de l'interconnexion des systèmes, des différents services réseaux et des applications qui y sont déployées ; et la campagne d'hameçonnage va couvrir l'aspect humain, les mesures organisationnelles de traitement d'incidents, l'efficacité de la sensibilisation, l'efficacité des mesures de protections, etc. Il semblerait que cela soit suffisant pour que certains se laissent happer par la tentation d'appeler cette prestation Red Team. Je ne vais pas le rappeler encore une fois, la méthodologie, les objectifs, … tout est différent.
Il y a cependant une chose que l'on peut synthétiser à propos du périmètre : globalement le test d'intrusion est unitaire et la mission de Red Team est globale. À partir de maintenant, je vais parfois utiliser l'abréviation TI pour test d'intrusion, ça va soulager mes doigts et épargner vos yeux. Pour un TI web, on se concentre souvent sur une seule application, pour un TI d'infrastructure interne sur un ensemble de sous-réseaux (voir l'ensemble des sous-réseaux) mais l'on ne sera pas exhaustif et on n'analysera pas forcément les applications, pour un audit de configuration sur un seul système, pour une campagne d'hameçonnage sur un échantillon d'utilisateur, pour une campagne de manipulation psychosociale sur un seul utilisateur, pour un TI physique sur un seul bâtiment, etc. Évidement, le prestataire obtient l'autorisation d'audit que sur le périmètre audité. Alors que pour la mission de Red Team, on est presque sur une carte blanche, l'ensemble de l'entreprise et de son organisation est prise en compte, toutes les machines, tous les salariés, toutes les mesures, tous les biens physiques ou bâtiments, etc. Il y aura beaucoup moins de limites, les maillons les plus faibles permettront d'arriver aux objectifs fixés. Les opérateurs ne sont pas figés sur un aspect de l'entreprise, toute carte est bonne à jouer si elle permet de remporter la partie. En test d'intrusion, on considère avant tout l'aspect technique, alors qu'en Red Team, on vient y ajouter l'aspect organisationnel.
Hétérodoxie#
En test d'intrusion, l'auditeur a peu de temps, il doit être efficace, il ne va pas y aller par 4 chemins, il va rester classique, se conformer à ce qui se fait habituellement. S'il doit tester une application, il ne va pas chercher à improviser une approche surprenante pour accéder à l'application puisqu'il n'y a qu'un moyen d'y accéder. Alors qu'en Red Team, l'opérateur n'a pas pour but d'identifier la maximum de vulnérabilité dans l'application, il a un objectif à atteindre. Par exemple, pour rentrer dans l'entreprise, il n'est pas obligé de passer par cette application, il peut en exploiter une autre, ou bien déposer une clé USB sur le parc de stationnement des véhicules des employés et attendre qu'il la branche, ou téléphone à la personne en charge de la réception, etc. L'opérateur peut naviguer comme il le souhaite entre tous ces vecteurs, pour lui l'entreprise est comme une immense carte où il est libre d'emprunter le chemin le plus à même de le mener à son objectif.
En Red Team, l'opérateur pourra employer des techniques non conventionnelles si cela est le plus efficace ou le moins à même d'éveiller des soupçons. Donnons quelques exemples remettant en cause l'orthodoxie des techniques des tests d'intrusion pouvant être utilisé en Red Team. Un complice se faisant passer pour un livreur pourra déposer un meuble contenant en fait son collègue pour le faire entrer dans une zone restreinte, à la manière du cheval de Troie. Aller brancher une clé USB l'ordinateur portable d'un employé lors d'un salon où la sécurité physique est moindre. Utiliser un grappin et une échelle en corde pour escalader jusqu'au balcon d'un étage où la sécurité périmétrique est moindre comparé au rez-de-chaussé. Dégonder une porte à l'aide d'un coussin gonflable.
Le profil des opérateurs vs le profil des auditeurs#
⚠️
équipes séparées ?
- certificatiosn OSCP, PNPT,OSWE, eCPTX,eWPTX vs CRTE,CRTP,CRTO,MRT,ZPRTO,CRTOP,DV RTOS
Client cible#
⚠️
maturité sécu
pas une presta mieux que l'autre
Finalité de l'amalgame#
⚠️
- commercial / marchandisation
- incompétence, n'ayons pas peur de dire les termes
- méconnaissance (je rappelle que cet article traite des professionnels de la cybersécurité offensive, pas des clients) excusable pour un client dont se n'est pas le métier alors que l'arrogance de ceux qui proclament savoir ce que c'est tout en n'en ayant jamais fait ni vu est tout bonnement insupportable.
Récapitulatif#
| 🗒️ | Test d'intrusion | Red Team |
|---|---|---|
| Nom des intervenants | Auditeurs | Opérateurs |
| Niveau de discrétion | Bruyant | Furtif |
| Exhaustivité | Oui (dans le temps imparti) | Non (ce qui ne permet pas d'atteindre l'objectif est ignoré) |
| Fréquence des actions | Très proches | Espacées |
| Couverture du SI (ou de l'application) | Large | Faible |
| Directionnalité principale | Horizontale | Verticale |
| Objectif | Identifier des vulnérabilités et évaluer la robustesse d'un système ou d'une application | Mesurer l'efficacité des mesures défensives et évaluer la robustesse de l'organisation |
| Niveau de l'évaluation | Atomique (système ou application) ou sous-ensemble (infrastructure ou réseaux) | Global (l'organisation toute entière et pas uniquement l'aspect technique) |
| Réalisme | Non (c'est d'abord l'efficacité qui est recherchée et en boite blanche ou grise des informations sont volontairement communiquées au prestataire) | Oui (simulation de menace réelle et de leurs tactiques, techniques et procédures) |
| Développement d'outils durant la mission | Non (ou alors script très court) | Oui (si besoin) |
| Personnes au courant de la mission dans l’organisation ciblée | Le commanditaire, les responsables des départements, le chef de projet, les développeurs ou administrateurs | Le commanditaire |
| Nombre d'auditeurs / opérateur par mission | Généralement 2 | ⚠️ ??? ⚠️ |
| Approche recherchée | Efficacité | Réalisme |
| Quantité d'informations communiquée au prestataire | Grande (selon boite noire, grise, blanche) | Très faible |
| Partie technique du rapport | Détails sur toutes les vulnérabilités rencontrées | Arbre d'attaque, résumé des étapes critiques, détails sur des scénarios ou des mesures organisationnelles |
| Utilisation d'un C2 | Non | Oui |
| Contournement d'antivirus | Non ou succinctement | Oui si besoin |
| Journalisation des actions | Partielle | Systématique |
| Concertation avant action | Rare | Quasi-systématique |
| Validation des outils utilisés | Non | Oui |
| Analyse des outils utilisés | Très succincte | En détail |
| Utilisation de canaux en clair | Oui si besoin | Non |
| Emplacement d'exécution | Indifférent | Typique |
| Exploitation des ressources locales | Rarement, si besoin | Préférée |
| Périmètre | Unitaire | Global |
| Conformisme des pratiques | Orthodoxe | Hétérodoxe |
| ⚠️ | ⚠️ | ⚠️ |
| Enchainement des missions | Séquentiel | Parallèle |
| Étalement de la mission | Continu | Discontinu |
| Durée de la mission | 1 à 2 semaines | Plusieurs mois |
Après-propos#
Avec les différences entre test d'intrusion et Red Team qui sont légion et les points communs qui sont peu nombreux, il est difficilement concevable que vous puissiez continuer à amalgamer l'un avec l'autre à la suite de cette lecture.
Merci de bien vouloir rediriger, avec bienveillance, les personnes de votre entourage ayant tendance à abuser de ce terme fantasmé et plein de mystère qu'est le Red Team dans le but de diffuser la lumière là où l'obscurantisme s'était installé.