Pentest (test d’intrusion)
Un pentest, ou test d’intrusion, est une attaque simulée et encadrée contre un système, menée pour découvrir des vulnérabilités exploitables avant les attaquants.
Un pentest, ou test d’intrusion en français, est une attaque simulée contre un système d’information, menée par un professionnel dans un cadre contractuel strict. L’objectif n’est pas de cocher des cases : il s’agit de découvrir, puis d’exploiter réellement, les vulnérabilités qu’un attaquant motivé trouverait, afin de les corriger avant lui. Le livrable est un rapport qui décrit chaque faille, sa preuve d’exploitation et les corrections à apporter.
On distingue trois approches selon l’information fournie au testeur. En blackbox, il part de zéro, comme un attaquant externe ; en greybox, il dispose de comptes utilisateurs ; en whitebox, il a accès au code source et à l’architecture. Chacune répond à une question différente, et le déroulement d’un pentest suit toujours les mêmes grandes phases : cadrage, reconnaissance, exploitation, post-exploitation, rapport et restitution.
Un pentest ne doit pas être confondu avec un scan automatique : le scanner énumère des failles connues, quand le pentester enchaîne les vulnérabilités, contourne les protections et éprouve la logique métier. Notre article pentest ou scan de vulnérabilités détaille la différence. Pour passer à la pratique, own2pwn réalise des pentests web blackbox menés par un consultant certifié OSWE.