Pentest Lab
La cybersécurité est un domaine d’importance critique, voire vitale, tant nous faisons face à un nombre croissant d’attaques année après année. Evaluer le niveau de vulnérabilité des systèmes informatiques afin de mieux les sécuriser est donc une nécessité absolue. Dans ce cadre, le pentest est une pratique qui consiste à imiter le comportement d’un attaquant pour trouver des vulnérabilités exploitables et accéder à un compte administrateur. Un Pentester utilise des techniques allant de l’exploitation simple de vulnérabilités connues jusqu’à des attaques plus complexes. Ce faisant, il aide l’organisation à identifier les failles et à atténuer les risques.
Pour son projet de fin d’études, Antoine a intégré le pôle d’expertise en cybersécurité d’AViSTO, dont la mission est d’intervenir sur la définition d’Architectures (Hard et Soft) Secure by Design, le DevSecOps, l’analyse de vulnérabilités ou de risques, le Pentest et le développement de secure elements. Antoine nous présente le Pentest Lab qu’il a développé durant son stage.
Présentation du Pentest Lab
Le Pentest Lab est un réseau de machines virtuelles vulnérables permettant de s’entraîner au pentest dans un environnement isolé et sécurisé.
Pour le créer, j’ai commencé par faire des recherches et comparé plusieurs pentest labs existants (OSCP labs, Hack the Box, RootMe, et d’autres) afin de pouvoir agréger des connaissances sur le sujet et des bonnes pratiques pour celui que je m’apprêtais à créer. J’ai également eu l’opportunité de passer la certification VHL (Virtual Hacking Labs) qui inclut un cours pour apprendre le pentest et un lab pour s’entraîner.
Une fois cette phase de benchmark réalisée, nous avons rédigé les spécifications du Pentest lab et j’ai pu passer à la création du MVP (Produit Minimum Viable) pour valider les hypothèses techniques et fonctionnelles structurantes du projet. Dans un premier temps, il a fallu sécuriser le lancement, l’arrêt et le redémarrage des VM (Machines Virtuelles) via des scripts PowerShell. Ensuite choisir la technologie et définir l’interface utilisateur qui permet de les appeler depuis une application web.
Enfin, j’ai mis en place un système d’authentification pour les utilisateurs du Pentest Lab avec une base de données, derrière une API REST, contenant les informations des utilisateurs et la liste de leurs succès.
Le MVP terminé, j’ai progressé de manière itérative avec un backlog de user stories rédigées à partir des besoins du Pentest Lab, les conseils de mes collègues et des initiatives personnelles. On peut citer, par exemple, la création d’un utilisateur par un administrateur, l’ajout, la suppression et le redémarrage de VM, ou encore une page de ressources utiles pour apprendre le pentest.
Le Pentest Lab, dont l’enrichissement pourra être réalisé dans le futur, est aujourd’hui pleinement fonctionnel. Il est ouvert à tous les ingénieurs ADVANS Group sur notre réseau. Pour faire le travail jusqu’au bout (et se rapprocher du film Inception 😅), nous avons pentesté le Pentest Lab pour s’assurer que cette nouvelle application est bien isolée sur notre réseau, est développée selon les meilleures pratiques de sécurité (OWASP top 10) et n’apporte pas de vulnérabilités.
Bilan du PFE Pentest Lab
Me voilà maintenant à la fin de mon PFE. Il m’aura permis d’approfondir mes connaissances en réseau, en scripting PowerShell, en bases de données et surtout en pentest, domaine dans lequel j’aimerais faire carrière.
Je remercie AViSTO pour cette opportunité de stage et pour l’embauche en CDI qui a en a découlé. Je remercie également mon maître de stage pour son support, notamment au début en télétravail (covid oblige), les collègues qui m’ont aidé dans ce projet en m’apportant conseil et solutions à mes problèmes, et l’équipe de l’agence de Grenoble pour leur chaleureux accueil post-confinement.
Envie de suivre le même parcours qu’Antoine ? Alors rendez-vous sur notre site emploi pour consulter nos offres de PFE ou déposer une candidature spontanée.