Je prĂ©fĂšre prĂ©venir tout de suite. Cet article n’est pas Ă©crit pour les guru sĂ©curitĂ© mais simplement pour des gens qui s’intĂ©ressent un peu Ă la sĂ©curitĂ© et qui voudraient tester leur systĂšme d’information. Je sais que j’enfonce des portes en disant ça , mais la valeur ajoutĂ© d’un vrai audit de sĂ©curitĂ© ne repose pas dans les outils utilisĂ© mais dans le savoir faire et l’expĂ©rience des auditeurs.
Maintenant que cela est dit, attaquons nous Ă se bon marronnier. Dans cet article je vais uniquement me consacrer Ă quelques outils d’audit gratuit (parfois mĂȘme libre) et non aux mĂ©thodes (MEHARI, EBIOS, OSSTM, etc). Je vais massivement utiliser les prĂ©sentations Youtube des diffĂ©rents outils afin de le rendre accessible. Cet article n’Ă©numĂšre qu’une infime partie de tous les outils disponible pour faire du pentest. Des solutions de LiveCD tel que Backtrack et le plus rĂ©cent NodeZero Linux contiennent une quantitĂ© bien plus importante d’outils d’investigations et d’audit que ce qui est dĂ©crit dans cet article.
En matiĂšre d’audit, avant toute chose, il faut forcĂ©ment que je parle du Trio de base que tout bon Script Kiddies doit connaitre :
1 / Nmap pour découvrir le réseau (NmapSi4 est sympa si vous voulez un GUI).
2 / Nessus / OpenVAS pour découvrir les vulnérabilités des machines et des éléments actifs du réseau « découverts par nmap».
3 / Metasploit/Meterpreter pour exploiter les vulnérabilités «découvertes avec nessus» et en faire POC (Proof Of Concept).
Bon c’est une base. Maintenant il faut voir ce que l’on peut trouver comme outils par famille de pentest. Je vais classer ces outils en 3 familles :
- Les outils d’audit GĂ©nĂ©raliste (le trio de choc)
- Les outils d’audit RĂ©seau et SystĂšme (Cisco, Juniper, Virtualisation, etc)
- Les outils d’audit Applicatifs (web, java, etc)
Continuer la lecture de Quelques outils de pentest et d’audit sĂ©curitĂ©