Pentester
Découvrez le métier de pentester : tâches, formation, compétences, salaire et offres d’emploi chez AViSTO. Il est également possible de déposer une candidature spontanée.
Sommaire :
Test d’intrusion
Pentester est la contraction de « penetration test », test d’intrusion en français. Le rôle de ce professionnel de la sécurité informatique est de trouver toutes les failles de sécurité d’un système puis de procéder à des tests d’intrusion, autrement dit des attaques contrôlées grandeur nature.
Le terme de faille est à prendre au sens large : il ne s’agit pas forcément d’une brèche de sécurité rendant possible la prise de contrôle à distance d’une machine, qui est la faille ultime, mais plus simplement de la divulgation d’informations par un système qui peuvent donner des pistes à un hacker pour élaborer son attaque.
Pentester Métier
Le métier de pentester consiste à contrôler la sécurité de tout un ensemble d’applications web. On peut citer les applications mobiles, le back end de sites web qui enregistrent des numéros de cartes de crédits etc.
Prenons l’exemple d’un serveur :
- Tout commence par une reconnaissance passive, sans envoyer aucune requête. Le pentester va rechercher des informations sur Internet au sujet de sa cible. Par exemple, il va explorer de potentiels messages déposés sur GitHub au sujet de demandes d’aide concernant des problèmes sur le serveur étudié. Parfois, ces messages contiennent des copies d’écran où s’affichent des identifiants et mots de passe de comptes normaux, voire de comptes possédant des privilèges, par exemple un compte administrateur.
Autre exemple : ce professionnel de la sécurité informatique va consulter des offres d’emploi ou de stage de la société utilisant le serveur étudié, à la recherche d’informations concernant les logiciels utilisés, ainsi que les compétences mises en œuvre par les équipes. - Ensuite, le pentester va scanner le serveur à la recherche de son adresse IP, des ports ouverts etc. ; il s’agit d’actions très classiques.
Dans le cadre de l’étude d’une application web, il va créer des comptes, demander un changement de mot de passe, entrer des données etc. - Grâce aux informations recueillies lors de ces deux premières étapes, le pentester va définir le niveau de criticité des failles trouvées et mettre l’accent sur certaines d’entre elles. Il va alors préparer une attaque sous la forme d’un proof of concept : il ne s’agit pas d’aller aussi loin qu’un hacker, mais plutôt de prouver la faille dans un cadre sécurisé défini en lien avec des software QA, des spécialistes de l’assurance qualité logicielle de la société auditée. Concrètement, le test d’intrusion va être réalisé et un simple fichier va par exemple être déposé sur le serveur.
- Enfin, une fois le rapport du test d’intrusion rédigé, le pentester va présenter ses conclusions à l’équipe responsable du serveur.
Devenir Pentester
Pour devenir pentester, on peut suivre une école d’ingénieur en informatique avec une spécialisation en cybersécurité, ou un parcours BAC+5 équivalent sur les bancs de l’université.
Mais ce n’est pas la seule voie possible : il s’agit d’un métier nouveau, et de nombreux autodidactes ont pu se former grâce à des informations trouvées sur Internet et beaucoup de pratique.
Enfin, des histoires d’anciens hackers devenus pentesters existent également. Mais il n’est pas simple de convaincre du caractère éthique de sa démarche quand on a déjà franchi la ligne rouge.
Compétences Pentester
Les compétences du pentester sont nombreuses et particulièrement étendues.
D’une manière générale, on peut dire qu’il faut posséder des connaissances solides en réseau, sécurité informatique et développement logiciel ; bref, il faut être en mesure de bien connaître les systèmes auxquels on va s’attaquer !
A cette base théorique, il faut ajouter de très nombreuses connaissances pratiques qui ne peuvent s’acquérir que par l’expérience. Un bon moyen de commencer consiste à participer à des événements « Capture the flag », où l’objectif est de trouver et d’exploiter les vulnérabilités d’un système afin de s’y introduire. On récupère alors des drapeaux, qui constituent la preuve de l’intrusion. Pour remporter ce type de concours, il faut connaître une multitude d’astuces et savoir les réutiliser quand c’est possible.
Par ailleurs, les tests d’intrusion étant le plus souvent réalisés de manière automatisée avec des applications logicielles, il faut savoir programmer, par exemple en Python. De bonnes connaissances en Linux et ses distributions axées sécurité (ex : Kali Linux) sont également très utiles.
Au niveau humain, le savoir-être et une dose de psychologie sont essentiels pour présenter les failles d’un système à l’équipe l’ayant conçu et les amener à le modifier, sans provoquer d’oppositions contre-productives.
Enfin, il faut posséder une véritable éthique personnelle, indispensable pour évoluer dans le domaine de la sécurité informatique.
Salaire Pentester
Le salaire d’un pentester dépend de tout un ensemble de facteurs (expérience, formation, compétences, entreprise, localisation du poste etc.). Pour une estimation, vous pouvez consulter sur Internet un baromètre de salaires.
Offres d’emploi Pentester
Vous pouvez postuler sur notre site emploi de manière spontanée ou en réponse à une offre. N’hésitez pas, votre candidature sera systématiquement étudiée !