Le petit monde d'un pentester

Commentaires

1. Le mercredi, 26 mai 2010, 19:44 par Razy

Bonjour,

Serait-il possible de rajouter une liste de certifications qui d'après vous sont reconnues en entreprise?

2. Le mercredi, 26 mai 2010, 19:51 par Hurukan

Alors la certification la plus reconnue est le CISSP.
http://fr.wikipedia.org/wiki/Certif...

En général, quand tu es confirmé/senior tu peux la passer. Ca te permet parfois d'être mieux payer et de montrer que tu t'y connais un minimum en sécu...

Ceci dit ça ne prouve pas que tu fais de la technique, je connais pas mal de personnes qui ne font que du fonctionnel qui ont eu cette certif.

Sinon niveau technique, certains clients nous demandent d'être certifié CEH:
https://www.eccouncil.org/certifica...

Voilà sinon après c'est des certifs fonctionnelles et organisationnelles comme la Lead Auditor par exemple.

3. Le mercredi, 26 mai 2010, 20:15 par Romain

Excellent article.

Je rajoute que pour les certifications, vous avez une liste assez précise sur lestutosdenico ;)

http://www.lestutosdenico.com/diver...

4. Le mercredi, 26 mai 2010, 20:37 par Hurukan

Très bon lien, très complet

J'oubliais la certif CHFI pour le Forensics.
Mais c'est relativement rare les missions de forensics, à part pour faire virer des gens...

5. Le mercredi, 26 mai 2010, 21:57 par Heurs

Hello !

Bon petit retour d'expérience perso, je suis pentester et aimerai clarifier une chose, même en ayant un parcoure chaotique on peut devenir pentester, c'est possible ! (pas facile mais possible)

Perso j'ai un bac+2, j'ai fais un BEP et un Bac pro avant, rien de bien glorieux quoi, néanmoins je suis passé devant tous les bac+5 et autres rouleurs de mécaniques parce que j'étais passionné autodidacte. Bien sûr je vous l’accorde ce parcoure est rare mais il mérite d'être cité je pense, rien que pour encourager les amateurs de talent à poursuivre leurs efforts.

La petite pub pour la boite dans laquelle je bosses, elle n'a pas été citée :'( SYSDREAM.

En espèrent avoir apporté une pierre de plus à cet article très complet et bien construit je vous souhaite une bonne journée / soirée

6. Le mercredi, 26 mai 2010, 22:37 par JyB

Un autre point important : les tests d'intrusions font partie des prestations facilement supprimées quand les finances sont à marée basse (sauf obligation réglementaire).
Donc, et c'était sous entendu sur l'aspect "fin d'année", les débuts d'année sont parfois difficiles.

7. Le jeudi, 27 mai 2010, 00:01 par Hurukan

Exactement tu as complètement raison, les périodes de début d'année sont souvent creuses (reste plus que les banques ;))

8. Le jeudi, 27 mai 2010, 09:12 par Toto

Salut :-)
Je pense que l'on peut ajouter (si l'on veut aller plus loin) :
- savoir parler / écrire l'anglais : beaucoup de rapports sont en anglais... Et certaines prestas se font avec des interlocuteurs anglais (India power... ;-)

Pour moi le plus important dans un job de Pentest, du côté employeur, c'est un manager qui comprend ce que vous faites (bon un commercial qui comprend c'est le top mais très rare malheuresement).
Le manageur doit avoir de bonnes grosses couilles des fois pour tenir tête au client quand il lui demande de downgrader le risque d'une vulnérabilité parce que ça fait tache... Et pas simplement forwarder la requête au consultant, a faire "pour hier" :-)

Oui le bon feeling avec l'équipe et ses supérieurs est important, plus que dans certains jobs...

Allez, et n'oubliez pas, cover your ass ;-)

9. Le jeudi, 27 mai 2010, 10:14 par Trance

Je ne peux que plussoyer cet excellent article.
Comme le dit mon collègue Heurs, il n'est pas toujours nécessaire d'avoir un bac+5 pour rentrer dans une boîte de pentest, mais il faut avouer que cela reste rare...

En tout cas si j'ai un conseil à donner aux pentesters en herbe ce serait : faites-vous connaître ! N'hésitez pas à monter un site perso / blog, publiez des articles et des projets persos, rejoignez une communauté, participez à des événements, des challenges, rencontrer des gens du milieu, etc. Et bien entendu, mettez tout cela en avant lors du recrutement, tout en n'oubliant pas de rester humble...

Et mon deuxième conseil serait bien sûr de continuer vos études tant que vous en avez la capacité et la motivation. Même si ces études sont parfois un peu (trop) théoriques, cela ne pourra que vous être bénéfique.

En tout cas, encore bravo pour cet article qui je pense en aidera plus d'un.

10. Le jeudi, 27 mai 2010, 12:33 par Mic

Apogee à été racheté il y a quelques années par Devoteam.
Il y a une cellule Audit / Pentest dans leur BU Sécurité : http://www.devoteam.fr

11. Le vendredi, 28 mai 2010, 01:42 par Christophe

Hello !
Je souhaitais moi aussi apporter mon petit témoignage : il est possible de prendre du galon en ne s'éloignant pas (trop) de la technique, en fonction de l'employeur. Les (bonnes) crêmeries considèrent à juste titre qu'un chef de projet, ou un manager en pentest doit absolument savoir de quoi il parle ! Sinon, bonjour la crédibilité à la moindre question tordue du client...

Voire... je connais des endroits où les managers sont en mission chez le client la plupart du temps, en plus du reste ;-) Un peu fatigant, mais ça permet d'avoir la chèvre ET les choux ;-)

D'ailleurs... si tu es un consultant en sécurité parfait, et que tu as envie de me supporter au quotidien, n'hésite pas à me contacter : on recrute sec !

12. Le lundi, 31 mai 2010, 15:15 par hector

Ok pour tout cela.

Ce que j'en conclus en lisant cela:
-Un pentester va pisser du pentest en jouant de l'outil automatique et en emballant tout ça dans un fichier Word a la présentation soignée.
-Un pentester ne saura jamais ou il sera la semaine suivante, il va faire trois fois le tour de france par mois.
-Un pentester sera parisien, et ça, rien que ça ça discrédite complètement le métier. Vous connaissez des boites de pentest dans les régions? Où?
-Le pentester aura au mieux 4-5 ans de bon, avant de faire du management. Mais ça, c'est la France. Même un excellent gars dans la technique sera poussé à faire du management même si ça le saoule et qu'il est mauvais en management. S'il continue en tech, son salaire va baisser et il finira chez Paul emploi.
-Le pentester devra bosser dans l'urgence en permanence sans jamais pouvoir terminer le pentest (par contre le doc Word, ça il faudra qu'il soit fini).

Mouais mouais mouais... Ca fait pas vraiement envie de faire pentest. :-/
C'est bête, c'est vraiment un truc qui m'aurait intéréssé, mais à lire ces témoignages, ça me donne plutôt envie de fuir.
Il ne me reste plus qu'a devenir codeur php dans une boîte de webdesign :-) Ou alors, qu'est ce qui reste comme métier dans la sécurité? Comme métier un peu /hardcore/ ou on te laisse le temps de pousser tes analyses et tes idées?

13. Le lundi, 31 mai 2010, 16:24 par Hurukan

Je reprends juste les points déconnants selon moi ;-)

"Un pentester va pisser du pentest en jouant de l'outil automatique."

- Non, on fait très peu d'automatique, en général on fait 1/4 d'automatique pour 3/4 de tests manuels. C'est d'autant plus compliqué de finir ses rapports ;-)

- On ne fait pas le tour de la france. On se déplace relativement rarement même si celà dépend pas mal du type de client.

- Les sociétés sont sur Paris, car les sièges des grosses sociétés françaises sont sur Paris et pas mal de datacenters aussi. Qui dit clients sur Paris dit pentest sur Paris...

- En province, je connais juste Digital Network qui se trouve dans les Bouches du Rhône.

- Quand les missions sont mal vendues, effectivement, tu termines ton rapport tard le soir / tôt le matin ;-)

- Si tu veux + pousser tes analyses / idées, tu peux essayer de joindre le public où je pense que la qualité prime sur les soussous. En contrepartie, tu seras moins bien payé.

Tu peux aussi t'orienter vers de la 'recherche' (j'aime pas trop ce mot dans ce contexte là mais bon) et essayer d'aller dans des sociétés comme Sogeti ou Eads (Il me semble). Il y'a des notions de Lab, tu feras des analyses + poussées sur des produits de sécurité par exemple.

14. Le lundi, 31 mai 2010, 17:37 par Hector

Test automatique/ Manuel.
Lorsqu'on a 2 ou 3 jours pour faire un pentest dont 50% dédiés à l'écriture du rapport, il me semble difficile d'innover. Automatique pour moi, c'est du metasploit, du nmap ou lister les patchs de sécu d'une machine. Ca permet de remplir un rapport avec des preuves factuelles, mais ça ne va pas chercher _the_ faille qui va pwner le réseau. Manuel, je ne vois pas trop comment faire pour avoir le temps pour vraiment creuser et aller au bout.

Je me demande comment faire pour que je me fasse vraiment une idée.. Est-ce qu'il existe une propale client 'type' avec un rapport 'type'. Cela permettrait vraiment de se faire une idée de ce qu'on demande.
A titre d'exemple, on m'avait filé une étude de sécurité d'un soft. Le gus avait plié ça en trois jours, et s'estimait heureux car il avait détecté _une_ "faille potentielle". Le client avait du être content, la société de service également (regardez comme on est fort, on trouve des failles, nous mossieur). Au final, la sécurité ne s'en est pas trouvé grandie. Je suis sur que le soft n'a pas bougé, que le rapport traine sur une étagère et que l'auditeur continue à trouver des "failles potentielles" à l'arrache.
[Précision à la relecture: trouver une faille, c'est bien, mais s'arrêter là en disant "Mission accomplished" ça fait léger et ce n'est pas ce que j'appelle auditer un soft. Surtout qu'il s'agissait d'une appli open-source et que le gars commence en disant: "y'a trop de lignes de code, je vais l'auditer en boite noire, comme un soft closed source." Arf.]

Pour les déplacements je me demande en fait si ce sont des pentest "in situ", genre le scénario du stagiaire malveillant, ou bien des audits d'applis ou de pentests externes sur archis webs &co.
Quoique je connais la réponse qui risque d'être: "ça dépend du client" :-)

Ensuite, Paris, bah ouais, mais pour moi, c'est tout sauf paris. Si la sécurité informatique ne se fait qu'à Paris, alors la sécurité informatique vivra sans moi et j'irais planter des tulipes. Merci pour Digital Networks j'irai jeter un oeil. Pour le public, je suppose que c'est une structure qui commence par AN et qui finit par SSI :-) parisienne également donc hors scope pour moi. .

Je suis peut-être un peu incisif dans mes propos, mais ça m'intéresse vachement et je me demande vers quoi je vais m'orienter et c'est rare d'avoir quelqu'un du métier qui répond aux questions :-)

15. Le lundi, 31 mai 2010, 21:28 par Hurukan

La moyenne des pentests varient entre 5 jours et 10 jours. Admettons que le pentest soit vendu 7 jours au total pour une application Web. En général, tu vas avoir 1 jour d'infra (voire moins) où tu lanceras du nmap, du nessus et tu feras des tests basiques genre nikto, ou  Appscan (scan appli automatique).

Les 3 jours de tests suivants, tu vas les passer à faire des tests manuels (recherche d'injections SQL, de XSS, de CSRF, cloisonnement ...). Enfin, tu prendras 2,5 jours pour faire le rapport et 0,5 pour les slides de restitution et pour la restitution chez le client.

(On utilise rarement du metasploit en externe par exemple, on ne rentre quasi plus sur une machine via l'infrastructure externe depuis déjà plusieurs années, c'est les failles applicatives qui permettrent de rentrer depuis l'externe).

Niveau creusage, ça dépend du périmètre et si la mission a été bien vendue. En général, sur des missions de 7 jours, ils nous manquent toujours 1 ou 2 jours de technique où on aimerait bien 'gratter' un point particulier.

Le soucis est que si l'on ne vend pas moins de jours, on perd souvent la mission... Depuis plusieurs années les pentests ont été sous vendus et du coup, la concurrence est rude.

Concernant propale et rapport type, ça existe mais aucune chance que je publie ça sur mon blog ;-)

On se s'arrête pas d'auditer lorsque l'on a trouvé une faille autant critique soit elle. Le but est de trouver le maximum de failles et d'être exhaustif au mieux...

Je dirais qu'on pense couvrir entre 70/80% des fonctionnalités d'une l'application avec une mission bien vendue. Reste 30% de chances d'avoir raté une fonctionnalité et une grosse faille.

- Certains clients veulent que l'on démonte leurs applications (ou des produits commerciaux) qui sont poussés sur le SI en production. On est soulagé de trouver des failles, + pour ne pas perdre le client et montrer que l'on connait notre boulot. Trouver 0 faille est tout de suite louche pour un client qui à payer relativement cher. On risque de le perdre, même si le pentester est expérimenté. Dommage.

- Dans mon cas, en général, les déplacements ont lieu dans des PME dont le siège n'est pas sur Paris ou bien lorsqu'il s'agit d'audits dans des pays étrangers. En général il s'agit de tests du stagiaire ou bien d'audit de clients lourds un peu touchy.

La majorité des tests applicatifs Web se font en externe, la majorité des tests de clients lourds sont internes mais là encore, les sièges sociaux sont à Paris donc on ne fait que du Paris intra muros.

Si tu n'es pas sur Paris (et banlieues), tu as peu de chances de faire du pentest de grosses sociétés.

Pour le public, tu peux faire du pentest à l'ANSSI en étant auditeur interne, il me semble. Tu peux faire du reverse et de la veille au CERTA.

Tu peux faire du pentest aussi dans des services un peu spéciaux genre DST/DGSE pour tout ce qui est attaque (faut pas se voiler la face).

16. Le mardi, 1 juin 2010, 09:37 par Razy

@Hector : pour avoir des rapports type va sur ce twitter : http://twitter.com/it_audit, c'est des publications de vieux audits effectués par le SANS et donc ça pourra te donner une petite idée.

Deuxième chose que je voudrai préciser, on a tendance à confondre audit et pentest et ce n'est pas du tout la même chose. Alors que le pentest va vraiment se baser sur une partie précise du SI (appli métier, site web, etc), l'audit lui va rester très théorique et se baser sur un ensemble de parties (similaire aux méthodes d'analyses de risques, ISO 2700x, MEHARI et autres)

17. Le mardi, 1 juin 2010, 10:27 par Hurukan

Effectivement, il m'arrive sûrement de faire des raccourcis rapides entre audit et pentest ce qui n'est pas la même chose.

Le terme audit est global. Dans le petit monde en sécurité informatique, on va retrouver de l'audit technique et de l'audit fonctionnel. Les tests d'intrusion forment une sous partie de l'audit technique.

Faudrait que je fasse un article sur ça ;-)
Mais j'ai la flemme.

18. Le mardi, 1 juin 2010, 11:25 par Hector

<I>manuels (recherche d'injections SQL, de XSS, de CSRF, cloisonnement ...). </I>

pour moi, c'est encore du test automatique (fait à la main), mais bon, une fois qu'on a compris ce qu'est le XSS ou l'injection SQL, c'est toujours la même chose. Pareil avec le reverse, s'il faut trouver toujours le jne dans un hexdump, c'est pas glop non plus. Il est bien plus intéressant de modéliser le problème, mais le répeter chez x-mille clients, bof, quoi.
J'aurai peur dans ce métier de m'ennuyer dès la 3e mission en fait...

Par contre, dérouiller le DNS comme l'a fait Kaminsky, trouver encore une faille dans TCP comme le 'broken beyond fixing', ou réfléchir sur quels outils peuvent être utiles à des pentesters, ça serait tout de même plus intéressant. Sur les buts à atteindre pour un pentester aussi, ça serait intéressant. Pourquoi se fatiguer à trouver un XSS? Tout le monde sait ce que ça fait, les risques etc etc.. Ca doit rassurer le client (il a surement du vaguement en entendre parler), mais pourquoi ne pas innover sur des nouvelles failles ? (sauf que ça se fait pas en 7j je pense :-) )

On me présente souvent le métier de pentester comme le top pour ceux qui veulent faire de la sécu, mais peut-être qu'il faut que je m'oriente vers autre chose en fait.

Quoi qu'il en soit merci pour ce blog et ces commentaires très intéressant :-)

19. Le mardi, 1 juin 2010, 11:43 par Hurukan

Je pense qu'il faut que tu t'orientes carrément vers de la recherche.

Le but d'une société, c'est entre autre de gagner de l'argent.

Chercher une vulnérabilité super sexy, ça prend du temps et ça rapporte pas grand chose en terme d'argent. Ca rapporte juste de la notoriété, c'est 'tout'.

La notoriété est importante pour ramener des nouveaux clients, mais ça ne fait pas tout. On garde les clients en faisant du bon boulot de manière récurrente. Et le bouche à oreille compte aussi énormément. En france, certaines sociétés ne se mettent pas en avant dans les conférences, mais ont une bonne réputation pour les clients.

Tout ça pour te dire que payer quelqu'un à chercher de la pure vuln (et donc sans garantie de résultats) , c'est plus un rêve d'étudiant qu'une réalité. Ca n'existe pas dans le privé en France. En général pour de la recherche privée, ça sera plus des études sur des solutions de sécurité, des certifications de produits, ou de la doc expliquant pourquoi tel ou tel produit c'est le mal.

Trouver de la vuln sexy, c'est plus envisageable à titre personnel pour se lancer et se faire un nom dans le milieu, mais ça s'arrête là.

PS: C'est par contre pas mal utilisé en Amérique par des sociétés qui veulent faire du buzz autour d'une marque...

Il faut garder à l'esprit que ce qui ne rapporte pas de thune, ça ne dure pas longtemps dans le privé (hélas).

20. Le mardi, 1 juin 2010, 13:38 par Hector

Ok, merci pour ces réponses franches. Mais où faire de la recherche en france? Inria?CNRS? (je vais voir s'il n'existe pas un blog "Le petit monde d'un chercheur en Sécurité Info" :-) )

<I>Trouver de la vuln sexy, c'est plus envisageable à titre personnel pour se lancer et se faire un nom dans le milieu, mais ça s'arrête là.</I>

Et moi qui croyait qu'il fallait ouvrir un blog et un compte Twitter pour se "lancer" ;-)

21. Le mardi, 1 juin 2010, 13:48 par Hurukan

Peut être que des gens de Sogeti ou d'EADS? qui lisent ce blog pourront te répondre.

Pour le public, franchement connaissant pas mal de maîtres de conférences et de profs, ça fait pas rêver.
Faut être motivé, entre le manque de moyens, les salaires très bas et le pistonnage à gogo. Sinon oui le CNRS ou l'INRIA. L'avantage de la recherche public, c'est que tu es souvent libre de choisir un sujet qui te plait.

Pour l'inria, voilà peut être le genre de sujet qui peut t'intéresser: http://hal.inria.fr/inria-00471556/...
Je connais une des personnes qui est très compétente.

Sinon un blog 'anonyme' ça aide pas pour être connu ;-)
Si tu découvres un truc sexy, mets ton vrai nom et oublie les pseudos ;-)

22. Le mardi, 1 juin 2010, 14:12 par Hector

Oui, ce genre de sujet est particulièrement intéressant. Voilà ce que je cherche comme moyen de passer mes journées sur de la sécurité informatique (ou de l'insécurité, plutôt, au vu de la thèse :-) ).

Je vais voir du côté des INRIA. Le problème, comme tu dis, et comme on m'a déjà prévenu, c'est que si tu n'as pas déjà fait ton cursus en université, que tu n'est pas connu et poussé par un mandarin local, alors tu peux oublier. Et si tu es pris, il faut juste espérer manger des pates pendant 5 ans, le temps de la thèse.
Brmf.

23. Le mardi, 1 juin 2010, 14:15 par Mat

<I>Si tu découvres un truc sexy, mets ton vrai nom et oublie les pseudos ;-)</I>

Et après c'est direct en prison sans toucher les 20 000 F ;) (ou plutôt le bon procès au cul car la société/le produit de la société que tu troues n'apprécie pas vraiment, cf Guillermito vs Tegam)

24. Le mardi, 1 juin 2010, 14:18 par Hurukan

Effectivement, j'avais pas pensé à ça. Sur des softs commerciaux ou sur du reverse gloooops...

Maintenant, faut avoir le courage de ses opinions et de ses découvertes ou pas ;-)

Hein Mat! Fortin****t 0dayz par milliers!!!

25. Le mardi, 1 juin 2010, 14:21 par Mat

hein? quoi? qui me parle? :)

26. Le mardi, 8 juin 2010, 01:18 par Nicob

Salut,

je vais en profiter pour "témoigner" moi aussi (long). Pour ceux qui vont au SSTIC, on pourra toujours continuer IRL ;-)

Tout d'abord (et afin de rassurer Hector), il ne faut pas limiter la sécurité offensive dans le privé au seul test d'intrusion.

Si on définit le TI comme l'analyse externe du niveau de sécurité d'une infrastructure en prod, c'est clairement une facette amusante (parfois) mais aussi incomplète (souvent) du métier. D'ailleurs, c'est rarement le meilleur investissement pour un client (tout dépend amha de la maturité de la réflexion SSI du client en question) (danger : troll !!!).

Donc, il y a aussi :
- les audits en amont des mises en production (avec intégration aux équipes de dev, revue de code *et* des méthodes/outils utilisés pour le générer/stocker/tester/tracer)
- les revues d'architecture ou fonctionnelles (qui représentent un exercice tout particulier mais assez kiffant, style piquer une base de données 'sur spec' depuis son hamac ;-)
- les revues de sécurité intégrées au process de "short listing" lors d'appels d'offres (permet de monter des bancs de test automatisé aka fuzzing)
- la revue de produits (chez les éditeurs) : les tests devant être déroulés sur chaque version, là encore le fuzzing peut avoir sa place, avec calcul de la quantité de code couvert, recherche des "root causes", zolis graphs, ...
- les "missions impossibles" : tout scénario tordu auquel pensera le client ("voici un laptop construit à partir de notre 'gold build' VIP, vous l'avez volé dans le train, que pouvez-vous en tirer ?" ou "êtes-vous capable d'infiltrer physiquement mon data-center")
- j'en oublie sans doute ...

Pour résumer, c'est varié !

En ce qui concerne les études, je pense qu'un parcours bien axé sur les réalisations (de tutoriaux, d'outils, de confs, d'exploits, ...) est préférable à un bon diplôme. Surtout que cela permet du coup d'identifier les employeurs pas trop bêtes et qui savent ce qu'ils cherchent.

De plus, si le gars est un hacker dans l'âme, il y a pas mal de compétences qui sont réutilisables/transposables, du lock-picking au "mod" de consoles ...

Enfin, il est clair que du temps perso doit être consacré à la veille/recherche si on veut être/rester compétent et surtout facilement adaptable (grosso modo, il faudrait que ce soit un hobby). Par exemple, si vous devez vous interfacer avec un serveur binaire pour faire du fuzzing, et que vous avez fait ça déjà 10 fois en lab', ce sera plus rapide, la presta sera mieux dimensionnée, etc.

Il faut aussi bien maitriser le français (et l'anglais), afin de pouvoir fournir des livrables clairs et sans photes. Un poil de vision business et de méthode d'analyse de risques (27005 ?) permet de mettre en perspective les trouvailles, ce qui est après tout ce que veut réellement le client (connaitre l'impact possible sur son métier et son CA plutôt que s'extasier devant votre shellcode).

Juste un petit mot sur la remontée/publication de failles, pour conclure : c'est jouable, même en France, mais il ne faut pas hésiter à être (très) prudent, à faire jouer des intermédiaires (CERTA, ZDI, votre client, ...) et à garder des traces des échanges. L'idéal étant évidemment d'être mandaté par un très gros client du fournisseur du logiciel buggé ;-)

Ah oui, et il n'y a pas que Paris, loin de là. Les boites en province sont plus petites, éventuellement moins visibles, mais pas pour autant inactives. Et quand des "gars de la Capitale" viennent faire une presta mal torchée et approximative, ben c'est une raison de plus pour le client de se la jouer "local" :-P

27. Le vendredi, 11 juin 2010, 14:40 par ad

Hurukan a décrit parfaitement et très précisément le travail d'un pentesteur. On a l'impression de travailler dans la même boîte! :-)

28. Le mardi, 22 juin 2010, 12:20 par Bad-Shadow

Salut!

Effectivement , comme l'a dit Heurs , Sysdream n'a pas été citée (c'est quand même les co-organisateur de la Nuit du Hack).

Sinon il y a la Licence Pro CDAISI à Maubeuge qui est sympa pour apprendre le Pentest à niveau Bac+3 .

Sinon sympa le blog :)

La discussion continue ailleurs

Rechercher

• Accueil -
• Archives