II. Le métier de Pentester
A. Pentester, Consultant, Auditeur
Pentester vient de Penetration Testing. Pour vulgariser, le travail d’un pentester, c’est de se mettre dans la peau d’un attaquant et de simuler une attaque contre une entité sur un périmètre précis. De fait, ce métier amène à faire des choses normalement illégales, à accéder à des informations sensibles et confidentielles parfois très compromettantes, à avoir accès à l’envers du décor, etc. C’est un métier grisant mais exigeant.
Mais avant d’être pentester on est consultant et auditeur. Le but est donc de rapporter au client une vision précise du niveau de sécurité de son système d’information en se basant sur les faits, puis de le conseiller et l’aider à améliorer sa sécurité. Le pentester ne fait pas n’importe quoi et intervient dans le strict respect de la loi, les règles fixées par le commanditaire de l’audit et a un devoir de confidentialité. C’est principalement ce qui le différencie d’un pirate : l’éthique.
B. Le travail du pentester
Une entreprise peut donc faire appel aux service d’un pentester pour tester son exposition sur internet, détecter des vulnérabilités sur une application web, démontrer qu’un stagiaire est en mesure de compromettre l’intégralité de son système d’information, réaliser une campagne de phishing visant les employés d’une entreprise afin de les sensibiliser, tester la sécurité de protocoles, réaliser des intrusions physiques, etc : Les missions d’un pentester sont diversifiées.
Et même si cela varie d’une entreprise et d’une mission à l’autre, dans le cas d’une mission simple d’une semaine, on peut imaginer 3,5 jours de tests techniques et 1,5 jour de reporting, le tout ponctué par une restitution au client. Souvent l’auditeur est amené à se déplacer ce qui amène un côté sympa au métier.
III. Alors comment devient-on pentester ?
A. Le virus de la sécurité
On ne devient pas un bon pentester en se contentant de suivre son cursus à l’école. Il faut bien plus que cela. Le point commun de beaucoup de pentesters, c’est la passion. Elle est dévorante et provoque une soif d’apprendre constante qui pousse à dépasser ses propres limites. Par passion, notre bibliothèque finit par se remplir de gros pavés indigestes pour le commun des mortels ; on aime passer des heures à résoudre des challenges techniques compliqués pour s’amuser ; on participe à des événements de sécurité informatique pour sortir ; on rejoint des associations pour s’entourer de gens passionnés comme nous ; et on finit par travailler là-dedans. On vit sécurité. C’est un peu caricatural, mais finalement pas tant que cela.
B. Par où commencer ?
La sécurité informatique, c’est vaste. Il convient d’abord de connaître les différents profils métiers de la cybersécurité ainsi que de connaître le positionnement de l’audit & pentest par rapport à tout ces métiers. Cela aide à apprécier pleinement l’intérêt et l’importance de ce métier.
Il est important ensuite de lire des livres survolant l’ethical hacking pour se donner une grosse idée de la chose. On peut par exemple débuter par Ethical Hacking qui, s’ils ne rentrent pas dans le détail, a le mérite de donner une très bonne idée générale des différentes subdivisions de l’ethical hacking (y compris un volet juridique bien senti). Pour ce qui est des magazines, mettez-vous aux MISC qui sont probablement ce qui se fait de mieux en France. Côté articles sur internet, il y a vraiment de quoi faire et on trouve vraiment tout à condition de chercher. Niveau réseaux sociaux, on peut trouver son compte en suivant certains Twittos. Lire, se tenir informer, c’est important pour ce métier. Note : L’anglais, vous n’y couperez pas.
Avant de commencer le technique, cela peut sembler évident, mais il faut avoir des bases solides en informatique (la programmation, le réseau, le fonctionnement des ordinateurs, etc).
Il est ensuite temps de mettre les mains dans le cambouis en étudiant les vulnérabilités, et en s’entrainant à les exploiter. Le but est de se faire une base de connaissance des vulnérabilités courantes et de s’entrainer à les exploiter via des sites comme Root-me ou Zenk-Security. Ne rushez pas, comprenez-les, approfondissez. Ne vous contentez pas de résoudre les challenges associés.
Lorsque vous aurez poncé ces deux sites et serez à l’aise avec la majorité des vulnérabilités courantes, il sera temps de vous mettre au boot2root. Il s’agit d’attaquer des machines volontairement imaginées et créées pour être vulnérables. L’objectif est de rooter ces VM : en prendre le contrôle total.
Avant de vous lancer, imprégnez-vous de la méthodologie du boot2root en regardant les vidéos write-up Hack The Box de IppSec sur YouTube. Pour les impatients et pour résumer la méthodologie du boot2root c’est :
- Reconnaissance initiale & recherche de vulnérabilités
- Exploitation, obtention d’un shell limité et du flag intermédiaire
- Reconnaissance en tant qu’utilisateur limité & recherche de vulnérabilité
- Élévation de privilèges
- Root
Une fois que vous serez à l’aise avec cela, lancez-vous sur Hack The Box, PentestIt ou VulnHub. Faites un maximum de ces petites machines virtuelles en commençant par les plus simples avec les solutions au tout début afin de ne pas vous frustrer. On apprend énormément avec le boot2root, et c’est vraiment très fun.
Après quelques semaines intensives de boot2root, vous serez en mesure de vous lancer dans l’aventure OSCP. Au delà de la certification reconnue dans le milieu, c’est un lab assez dingue, vivant et très cool. Mais l’intérêt principal de l’OSCP, c’est de dépasser vos limites, de rechercher l’information par vous même. C’est très formateur. Try harder!
Une fois que vous en serez là, vous serez largement en mesure de savoir quoi faire ensuite ;-).
C. Petit mot sur les études
Nul besoin à mon sens de faire de longues études pour être un bon pentester. Mais le fait est là, en France du moins, il n’est pas fréquent d’embaucher des pentesters en dessous de bac + 3, voir bac + 5. Donc si vous en avez la possibilité, faire des études longues avec une spécialisation en sécurité informatique vous donnera un avantage.
Conclusion
Pour conclure, le métier de pentester est un métier assez éloigné de l’imaginaire collectif, mais il n’en reste pas moins un métier atypique extrêmement grisant.
Ce qui ressort souvent, c’est que le meilleur moyen d’y arriver, c’est d’être passionné (ça doit se voir au travers de vos expériences, hobbies, etc), avoir des qualités humaines (curiosité, être malin, avoir une éthique) et posséder des qualités techniques évidentes. Le métier est exigeant, il faut savoir se mettre au niveau rapidement, réaliser un travail de veille important et constant car les technologies et les vulnérabilités changent, les missions aussi.
On oublie bien souvent aussi qu’un pentester est avant tout un consultant qui doit s’adapter à son auditoire en vulgarisant parfois, et qu’il doit s’exprimer aussi bien à l’oral (quelques fois devant un public) qu’à l’écrit. Être pentester, c’est de temps à autre aussi faire un peu de politique car l’audité n’est pas toujours le commanditaire de l’audit par exemple. Le pentester n’est donc pas qu’un geek dans sa cave.
Et pour finir, il faut garder à l’esprit que c’est aussi un métier demandant une certaine expertise : citons par exemple le fait qu’il est facile de faire planter toute l’infra d’un client et lui faire perdre beaucoup d’argent, par la simple pression de la touche Entrée. Il faut donc savoir ce que l’on fait.
aas_s3curity, Consultant Sécurité chez Akerva