Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des...
Transcript of Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des...
![Page 1: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/1.jpg)
_______ _______ _______ _______ _| \ / | \__ __/ ( ____ ) ( ____ ) ( ___ ) ( \| ) ( | ) ( | ( ) | | ( ) | | ( ) | | (| | | | | | | (____) | | (____) | | (___) | | |( ( ) ) | | | ___) | ___) | ___ | | |\ \_/ / | | | (\ ( | ( \ ( | ( ) | | |
\ / ___) (___ | ) \ \__ | ) \ \__ | ) ( | | (____/\\_/ \_______/ | / \__/ | / \__/ | / \ | (______/
OSSIR – 12/12/2017
Stéphane Jourdois / Romain Castel
![Page 2: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/2.jpg)
Digital Security
Digital Security est structurée autour de2 expertises, portées par6 prestationsdifférentes
EXPERTISES
Sécurité du SI
Sécurité des objets connectés (IoT)
PRESTATIONS
Audit Conseil Formations
Services CERT
Intégration & Projet
Sécurité Opérationnelle
2 Dec 2017 OSSIR
![Page 3: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/3.jpg)
Digital Security
COMMANDITAIRE
PENTESTER
LIVRABLES
RESPONSABLE DE MISSION
Le test d’intrusion
Dec 2017 OSSIRP. 3
Les objectifs Le point de jonction
![Page 4: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/4.jpg)
Digital Security
Le pentesteurLa production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de l’ignorer jusqu’au dernier moment.
Dec 2017 OSSIRP. 4
![Page 5: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/5.jpg)
Digital Security
Le pentesteurLa production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de l’ignorer jusqu’au dernier moment.
Dec 2017 OSSIRP. 5
![Page 6: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/6.jpg)
Digital Security
Le pentesteurLa production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de l’ignorer jusqu’au dernier moment.
Dec 2017 OSSIRP. 6
![Page 7: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/7.jpg)
Digital Security
Le pentesteurLa production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de l’ignorer jusqu’au dernier moment.
Dec 2017 OSSIRP. 7
![Page 8: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/8.jpg)
Digital Security
Le pentesteurLa production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de l’ignorer jusqu’au dernier moment.
Dec 2017 OSSIRP. 8
![Page 9: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/9.jpg)
Digital Security
Le pentesteurLa production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de l’ignorer jusqu’au dernier moment.
Dec 2017 OSSIRP. 9
![Page 10: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/10.jpg)
Digital Security
Les moments d’une mission
Dec 2017 OSSIRP. 10
Le cadrage
Les tests
La formalisation
La restitution
![Page 11: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/11.jpg)
Digital Security
Démo
Dec 2017 OSSIRP. 11
![Page 12: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/12.jpg)
Digital Security Dec 2017 OSSIRP. 12
Cahier des charges
VIRRAL
Outil en ligne de commande
Multi-plateformes
Un fichier d’entrée unique
Plusieurs fichiers de
sortie :
pdf, xlsx, pptx…
Limiter la duplication des
entrées
![Page 13: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/13.jpg)
Digital Security
L’introduction des documents
Les constats
La synthèse managériale
Les informations de la mission
Dec 2017 OSSIR
Les informations des documents
P. 13
La définition des informations nécessaires
![Page 14: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/14.jpg)
Digital Security
Ressource concernée
Impact technique sur le périmètre
Description du constat
Identifiant
Note
Dec 2017 OSSIRP. 14
La définition d’un Constat
![Page 15: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/15.jpg)
Digital Security
Le fichier d’entrée en trois parties
Dec 2017 OSSIRP. 15
![Page 16: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/16.jpg)
Digital Security
Proof of concept Très peu d’optimisation du temps !
AvecDes includes {
dans des includes {dans des includes{
Dec 2017 OSSIR
et
P. 16
Version 0.1
![Page 17: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/17.jpg)
Digital Security
Version 1.0
Dec 2017 OSSIRP. 17
Templates,Conf.
VIRRAL
Constats
pdfXlsxPptx…
XE
/
/
![Page 18: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/18.jpg)
Digital Security
Version 1.0
Dec 2017 OSSIRP. 18
Core
Graphiques
Métriques
Parseur
Templating
![Page 19: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/19.jpg)
Digital Security
Le moteur
Dec 2017 OSSIRP. 19
![Page 20: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/20.jpg)
Digital Security
Le moteur
Dec 2017 OSSIRP. 20
![Page 21: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/21.jpg)
Digital Security
Notre système de gradationSeverite.pyIf Impact*Menace <3: return 1
If Impact*Menace <9 : return 2
If Impact*Menace <12 : return 3
else return 4
Menace.pyIf ((Pop == 1 and Diff == 1 or Diff ==2 )) or (Pop == 2 and Diff == 1)
or ((Pop == 1 and Diff == 3) or (Pop == 2 and Diff == 2 or Diff ==3))
or (Pop == 3 and Diff == 2 or Diff == 1)) or ((Pop >= 3 and Diff == 4)
or (Pop == 3 and Diff == 3) or (Pop == 4 and Diff == 2)
or (Pop == 4 and Diff >= 3)) )), return 1
If ((Pop == 1 and Diff == 3) or (Pop == 2 and Diff == 2 or Diff ==3))
or (Pop == 3 and Diff == 2 or Diff == 1)) or ((Pop >= 3 and Diff == 4)
or (Pop == 3 and Diff == 3) or (Pop == 4 and Diff == 2)
or (Pop == 4 and Diff >= 3)), return 2
If (((Pop == 3 or Pop == 4) and Diff == 4) or (Pop == 3 and Diff == 3)
or (Pop == 4 and Diff == 2) or (Pop == 4 and Diff >= 3)), return 3
Else if (Pop > 3 and Diff >= 3) return 4
Priorité.pyIf Complexité*Sévérité max < 5 : return 1
If Complexité*Sévérité max < 10 : return 2
else return 3
≈ Impact x Menace
≈ Population x Difficulté d’exploitation
≈ Complexité x Sévérité Max.
Dec 2017 OSSIRP. 21
![Page 22: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/22.jpg)
Digital Security
Notre système de gradationSeverite.py Priorite.py
Menace.py
Dec 2017 OSSIRP. 22
![Page 23: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/23.jpg)
Digital Security
Vues des systèmes de gradation
Dec 2017 OSSIRP. 23
![Page 24: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/24.jpg)
Digital Security
Développement des systèmes de gradation
Dec 2017 OSSIRP. 24
![Page 25: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/25.jpg)
Digital Security
Développement des systèmes de gradation
Dec 2017 OSSIRP. 25
![Page 26: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/26.jpg)
Digital Security
L’interconnexion avec une base de connaissances
Dec 2017 OSSIR
Objectif faciliter la relecture
Faire en sorte que les vulnérabilités soient toujours de la même
qualité d’un pentesteur à un autre
Laisser des libertés
P. 26
![Page 27: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/27.jpg)
Digital Security Dec 2017 OSSIRP. 27
L’interconnexion avec une base de connaissances
![Page 28: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/28.jpg)
Digital Security Dec 2017 OSSIRP. 28
L’interconnexion avec une base de connaissances
![Page 29: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/29.jpg)
Digital Security Dec 2017 OSSIRP. 29
L’interconnexion avec une base de connaissances
![Page 30: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/30.jpg)
Digital Security Dec 2017 OSSIRP. 30
L’interconnexion avec une base de connaissances
![Page 31: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/31.jpg)
Digital Security
Démo
Dec 2017 OSSIRP. 31
![Page 32: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/32.jpg)
Digital Security
Les plug-ins
Dec 2017 OSSIR
Testssl
Pipal
P. 32
![Page 33: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/33.jpg)
Digital Security Dec 2017 OSSIR
Une interface graphique
Nessus
L’avenir
Un système de graph souple
Modification du format d’entrée pour supprimer le latex résiduel
P. 33
![Page 34: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/34.jpg)
Digital Security
Nos objectifs aujourd’hui
Pas un projet libre… pour l’instant au moins
Prise de contact avec des acteurs du domaine
Recherche de « partenaires » intéressés :
Auditeurs
Commanditaires
Mutualisation de l’effort
Dec 2017 OSSIRP. 34
![Page 35: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/35.jpg)
Digital Security Dec 2017 OSSIRP. 35
![Page 36: Présentation PowerPoint - OSSIR · 2017-12-14 · Digital Security Le pentesteur La production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de](https://reader033.fdocuments.net/reader033/viewer/2022050119/5f4fef483d9ebb1746516ece/html5/thumbnails/36.jpg)
Digital Security
Digital Security - Econocom
@iotcert
www.digitalsecurity.fr
Contact
Stéphane JOURDOISDirecteur Technique
Tél. : +33 [0] 1 70 83 85 52e-mail : [email protected]
Contact
Romain CASTELConsultant sécurité sénior
Tél. : +33 [0] 1 70 83 85 57e-mail : [email protected]