Les entreprises sont de plus en plus friandes de tests de pénétrations ou autres tests de sécurité visant les principales ressources critiques de l’entreprise. OSSTMM propose une méthodologie visant à homogénéiser les démarches de tests de sécurité, de la définition du périmètre jusqu’au rapport et aux indicateurs de résultats de tests.
La méthode OSSTMM a pour objectif de mettre en place un ensemble de tests systématiques, cadré dans une démarche automatisable. Attention toutefois… car elle ne doit pas s‘apparenter à un simple test de vulnérabilités. Elle doit prendre en compte le contexte de l’entreprise et un maximum de biens dans un périmètre de test homogène et cohérent. Elle donnera en résultat une tendance et un indicateur récurrent quant à la dérive éventuelle de la sécurité du périmètre audité. C’est cette approche que promeut l’Institute for Security and Open Methodologies (ISECOM), qui est l’institut développant la méthode OSSTMM (Open Source Security Testing Methodology Manual).
Cette méthode visait à l’origine, (notamment en version 2.2 apparue en 2001) à définir une approche formelle plus scientifique et structurée du test technique de sécurité. Toutefois cette version 2.2 était insuffisamment cadrée. Elle ne permettait pas d’avoir une vision claire de la surface d’attaque, mais proposait déjà des indicateurs de niveau de risques : les RAV (Risk Assessment values). La version 2.2 définit des métriques de sécurité basés sur une quantification du risque. Cela introduit une polémique sur la capacité à appliquer des valeurs empiriques à un risque sans prendre en considération la probabilité de réalisation ni valoriser l’impact sur le bien.
OSSTMM version 3 : un recadrage nécessaire
OSSTMM 3 revient sur la définition des RAV ainsi que sur l’exhaustivité des métriques qui doivent pouvoir couvrir tous les biens d’un périmètre et quantifier aussi bien les évènements de faible importance que les évènements les plus connus. Les RAV sont à présent des mesures de la surface d’attaque plutôt que des mesures de risques. L’affectation de poids est considérée comme facteur de biais de l’analyse ; tout comme la quantification arbitraire de vulnérabilités découvertes par des outils automatiques ne tenant pas compte du contexte de la machine ou du système testé. Le RAV ne correspond pas à un une photo instantanée du système audité mais prend son sens par la récurrence avec laquelle les tests sont menés. Afin de limiter le biais introduit par la technicité et l’expertise du testeur, la méthodologie permet de guider le testeur et d’éviter une dérive trop « imaginative » et pouvant donc biaiser la tendance.
Enfin, le rapport est constitué de métriques indiquant une mesure de l’écart avec une sécurité jugée parfaite et mesurée selon les critères OSSTMM. Pour ISECOM, un rapport doit être simple, concis et pertinent afin d’assurer qu’il sera lu. Ce dernier, une fois « anonymisé », peut être soumis à ISECOM, qui vérifie que la démarche a été respectée et alors apposer sa certification.
La démarche commence par la méthode de vente, l’entreprise prestataire doit respecter une certaine éthique, ne pas avoir un discours alarmiste ni survendre le consultant… Un mandat précis est établi entre l’entreprise et le testeur et une procédure est en place pour informer le client en cas de test pouvant causer des dégâts sur le système audité. Enfin, le rapport est dépourvu de passion et doit se contenter d’être factuel. Ces points ne sont pas réservés à la vente d’un audit OSSTMM. Un spécialiste des tests de sécurité et des tests d’intrusion proposera la même approche.
Le principe est de tester la sécurité par un processus itératif et discret dans un environnement stochastique. L’auditeur devra choisir des techniques de tests homogènes (boîte blanche, grise, test en aveugle…) et garder ces techniques à chaque itération afin de pouvoir comparer les résultats et les éventuelles déviations.
Une démarche structurée et pragmatique
L’analyse du périmètre regroupe les cibles à auditer ainsi que la définition de la posture qui constitue le cadre légal, normatif, réglementaire régissant la cible.
Les cibles seront testées par des canaux, c’est-à-dire des types de tests regroupés en modules. Un vecteur est le sens avec lequel le test sera effectué. Depuis l’extérieur vers l’intérieur de la zone cible par exemple. Ensuite, la réalisation de l’audit est ordonnée par canal.
Ces canaux sont regroupés en trois catégories : la sécurité des communications (COMSEC), la sécurité physique (PHYSEC) la sécurité spectrale (SPECSEC). Ces trois canaux d’interaction sont adressés sur cinq domaines logiques qui représentent les technologies ou ressources disponibles : la sécurité physique, les réseaux de données, les réseaux de télécommunication, les facteurs personnels et humains, les communications sans fils.
Pour chaque canal on va distinguer 17 modules de tests regroupés en quatre phases d’audit qui reprennent le contexte, la vérification des contrôles en place, la gestion des informations et le déroulement des contrôles interactifs.
En sortie des tests techniques, certains résultats peuvent être quantifiés, d’autres non. On définit donc un condensat basé sur les calculs de la sécurité opérationnelle, des contrôles, des limitations.
Le calcul des RAV
Le calcul des RAV se base en premier lieu sur le calcul du OPSEC (Operational security). Ce métrique mesure la visibilité du périmètre cible, les possibles émanations voulues ou non. Il détermine également la confiance, les interactions non authentifiées entre les éléments du périmètre (par exemple l’accès aux interfaces de paramétrage d’un serveur d’application sans authentification). Enfin la mesure des accès évalue la capacité à accéder à ces cibles, par exemple les ports ouverts sur une machine. Les calculs de « visibilité », « accès » et « confiance » définissent la quantité d’exposition dans le périmètre audité.
Le calcul des contrôles
Ces contrôles protègent le périmètre dont l’exposition a été mesurée par le calcul de l’OPSEC.
La méthode identifie 10 types de contrôles. Certains sont classiques tels que les contrôles de l’authentification, de la confidentialité, de la non répudiation, ou encore de l’intégrité et de la continuité du service. D’autres contrôles sont formalisés tels que :
- « Privacy » : visant à garantir la protection d’une donnée relative à la vie privée d’un client par exemple ;
- Dédommagement « indemnification » : mise en place de protection visant à garantir une indemnisation en cas d’intrusion ou d’activité malveillante sur les systèmes ;
- Sûreté : comportement des mécanismes de sécurité en cas de défaillance pour continuer à protéger les interactions avec le périmètre ;
- Continuité : capacité du processus à continuer ses interactions même en cas de défaillance d’un composant ;
- Alarme : notification efficace en cas de dysfonctionnement d’un contrôle.
Le calcul des contrôles consiste à mesurer le nombre d’opérations couvertes par des contrôles. À noter qu’OSSTMM définit le postulat que « dix contrôles permettent d’annuler un OPSEC » ;
Le pourcentage restant non couvert sera soumis au calcul des limitations
Les limitations sont regroupées en vulnérabilités, faiblesses, expositions et anomalies. Une faiblesse est un défaut qui va diminuer ou anéantir l’efficacité d’un contrôle. Elle peut ne pas être quantifiable. Une exposition est une faille augmentant la visibilité, comme la divulgation d’information dans un forum par exemple. Enfin, la notion d’anomalie décrit un comportement d’un système ou d’un élément audité qui est inattendue mais qui ne remet pas en cause la sécurité de la cible testée.
La synthèse de ces trois indicateurs fournit l’indice de « sécurité actuelle ». Dans ce calcul, le logarithme décimal est utilisé pour réduire les nombres manipulés. Les concepteurs partent du principe que l’humain préfère travailler avec des pourcentages et des nombres de taille raisonnable. L’indicateur est un pourcentage décrivant l’équilibre entre les opérations et les contrôles en tenant compte de leur limitation. Il indique donc un état actuel de la protection du périmètre audité. Il permet de donner une grande tendance, une vision macroscopique de sa sécurité en focalisant sur les ensembles présentant le plus grand nombre de trous de sécurité (porosité) ainsi que les contrôles les plus faibles.
En conclusion, OSSTMM semble être un outil intéressant de mesure récurrente de la tendance de la sécurité d’un périmètre. Pragmatique, la méthode permet avec un peu d’entraînement de rationaliser les coûts des tests de sécurité. Toutefois, idéalement, la démarche devrait être complétée par des tests d’intrusion pratiqués ponctuellement par un professionnel reconnu. Il mettra en œuvre une démarche imaginative, à l’état de l’art des chemins d’attaques connus, exploitera le contexte, les erreurs trouvées à un instant donné pour s’engouffrer dans le système. Enfin, les résultats de tels tests pourront contribuer à un rajustement de la démarche systématique OSSTMM.
Michael Chochois, ALMERYS, Orange Business Service
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE