Principaux défis
Notre client propose une application web dont l’objectif est d’aider les contribuables et intermédiaires à se conformer à leurs obligations déclaratives DAC6 (loi fiscale luxembourgeoise).
Après avoir développé de nouvelles fonctionnalités, le client nous a demandé d’effectuer un test d’intrusion de l’application web pour identifier les vulnérabilités ou failles de sécurité avant sa publication.
Notre approche
Le test d’intrusion de l’application web a été réalisé entièrement manuellement selon la méthode boîte grise (grey box). Nous avons reçu trois types de comptes avec des permissions différentes (administrateur, gestionnaire, utilisateur). L’objectif était d’identifier toute forme de vulnérabilité via ces comptes.
Nos experts cybersécurité ont suivi l’Open Web Application Security (OWASP top 10) car il identifie les failles de sécurité des applications web les plus critiques, et fournit donc des lignes directrices sur les éléments à tester ainqsi que les bonnes méthodes pour les tester.
Nous avons suivi la méthodologie standard des tests d’intrusion divisée en 5 phases indiquées ci-dessous :
1. Reconnaissance
Le nom de domaine a été fourni par le client.
- Adresses IP
- Nom de domaine
- Technologies
- Versions
2. Cartographie
Nous avons fait l’inventaire des actions qui peuvent être faites sur l’application avec les différents comptes donnés par le client.
- Fonctionnalités
- Services
- Relation entre les composants
3. Découverte
- Vulnérabilités
- Mauvaise configuration de la sécurité
- Défauts de sécurité
4. Exploitation
- des vulnérabilités
- Mauvaises configurations
5. Post exploitation
- Informations
- Mot de passe
- Données confidentielles
- Suppression des traces
Pendant toute la durée des tests d’intrusion, nous avons maintenu une communication en temps réel avec le client pour nous assurer que les vulnérabilités que nous avions identifiées avaient effectivement un impact sur l’application. De plus, en cas de découverte de vulnérabilités critiques, nous aurions alerté le client immédiatement afin qu’il puisse agir au plus vite.
Avantages
Nos pentesters ont travaillé sur l’application web pendant 8 jours et ont pu rapidement identifier plusieurs failles de sécurité, dont certaines figurent dans le Top 10 de l’OWASP. Deux principaux types de vulnérabilité ont été identifiés :
- Contrôle d’accès rompu
Il y a rupture du contrôle d’accès lorsqu’un utilisateur peut accéder à une ressource ou effectuer une action alors qu’il n’est pas censé pouvoir le faire.
- Mauvaise configuration sécurité
Les erreurs de configuration sécurité découlent de paramètres de sécurité qui ne sont pas correctement définis lors du processus de configuration ou du déploiement (utilisation de mots de passe par défaut, protocoles et cryptage dépréciés, messages d’erreur révélant des informations sensibles, etc.)
Les failles ont été documentées dans un rapport technique contenant des recommandations générales et spécifiques sur les actions correctives pour toutes les vulnérabilités découvertes. Les recommandations comprenaient : l’ajout de contrôles dans le backend de l’application pour limiter les actions aux utilisateurs autorisés selon les exigences commerciales et l’optimisation des headers sécurisés pour garantir le respect des meilleures pratiques.
Un débriefing a été organisé au cours duquel l’expert cybersécurité en charge du test d’intrusion a présenté les conclusions du rapport au client et a répondu à ses questions pour le guider vers des solutions pour répondre aux vulnérabilités découvertes.
Le client a été informé que son application présentait certaines failles de sécurité qui ont pu être rapidement corrigées grâce au test d’intrusion. Par la suite, grâce à des recommandations générales de sécurité, le client a pu mener les actions nécessaires menant à l’amélioration de la sécurité de sa plateforme. Nos experts ont ainsi pu mettre un sceau de confiance sur l’application et ses nouvelles fonctionnalités qui permettront par conséquent au client de valoriser la vente de ses licenses.
