Au cours des vingt dernières années, les cyberattaques ont causé plus de 12 milliards de dollars de pertes directes dans le seul secteur financier. Des cas comme celui de Robert Wesbrook mettent en évidence un schéma récurrent : les attaquants parviennent souvent à s’introduire dans les réseaux en quelques jours, puis restent inactifs pendant des semaines, voire des mois, avant d’extraire des données hautement sensibles.  

Malgré cela, les tests d'intrusion restent sous-utilisés. Seule 32 % des organisations dans le monde effectuent des tests une ou deux fois par an, et seulement 28 % le font tous les trimestres. Si des réglementations telles que le RGPD ont favorisé leur adoption, plus de la moitié des organisations font encore appel à des testeurs d'intrusion tiers, quoiqu'un nombre croissant d'entités constituent des équipes internes.  

Tels des scientifiques, ces experts éprouvent les systèmes existants. Ils manipulent des informations, expérimentent et les risques qu'ils prennent sont mesurés. Aussi, la plupartla plupart des choix en matière d'outils et d'infrastructure privilégient l'isolation au détriment de l'ergonomie, des performances et de l'efficacité des flux de travail. Dans cet article, nous examinons les limites des configurations traditionnelles de tests d'intrusion, et nous nous demandons si les approches « bare-metal » peuvent rétablir ces quatre aspects sans compromettre la sécurité.  

Des exigences plus qu'un choix

La pratique du pentesting implique de construire des environnements capables de limiter les risques d’exposition des données, de simplifier les phases de retest et de garantir une exécution fiable et sécurisée.
Ces environnements reposent généralement sur trois piliers : une isolation rigoureuse, des mécanismes de reset rapides et une réversibilité totale.

Isolation : les limites pratiques d'une discipline

Chaque chose à sa place et une place pour chaque chose. Les pentesteurs utisent des environnements cloisonnés pour éviter les contaminations croisées : les données clients ne doivent pas être mélangés aux outils internes du pentesters ou dans les documents tiers. L'un des moyens les plus couramment utilisés consiste à séparer physiquement les environnements de travail, c'est-à-dire à utiliser deux postes de travail (air-gapping). Le premier servant à rédiger e-mails, rapport et à exécuter les tâches quotidiennes; l'autre, généralement sous Linux, est dédié à la conduite des tests des systèmes des clients.

Cette configuration est maintenue lorsqu’ils souhaitent tester de nouveaux outils dans un laboratoire de test sécurisé. Certains ont peut-être essayé d’installer des machines virtuelles traditionnelles pour réduire leurs frais de kinésithérapie, mais les solutions courantes entraînent généralement une dégradation des performances. Bien qu'elles puissent offrir des rollbacks ou des snapshots, elles sont souvent insuffisantes en termes de performances, d'évolutivité et de stabilité.  

En conséquence, malgré les inconvénients ergonomiques et financiers, de nombreux pentesteurs continuent d'imposer une isolation physique stricte – littéralement, à la force de leurs bras… et à la sueur de leur front lorsqu'ils doivent transporter les machines.  

Le nettoyage est une obligation, pas une option

Mon père disait souvent qu’une cuisine digne de ce nom devait être plus propre après avoir cuisiné qu’elle ne l’était avant même de commencer. Cette règle s’applique également aux tests d’intrusion.  

Pour le client, cela garantit la confidentialité, évite toute contamination croisée et préserve un état de référence vierge pour les tests futurs. Mais cela a un inconvénient : avant chaque nouvelle mission, le pentesteur doit réinstaller et reconfigurer les outils mêmes qu’il a délibérément supprimés après la précédente. Chaque mission repart de zéro.  

Ce n’est pas comme effacer un dessin, c’est comme déchirer la feuille de papier en entier, sans rien laisser de réutilisable.  

Imaginez maintenant que les animateurs devaient travailler de cette manière. Au lieu de s’appuyer sur les dessins précédents, ils devraient tout redessiner à partir de zéro à chaque fois, pour une seule seconde d’animation (ce qui représente environ 24 à 30 dessins). Heureusement, ils peuvent compter sur le papier calque pour éviter cela. Les pentesteurs, en revanche, n’ont pas d’équivalent.  

Lorsqu’un pentesteur commence une nouvelle mission, chaque environnement doit être reconstruit pièce par pièce. Ce processus est aussi méticuleux, et parfois aussi fastidieux, que de retirer les derniers bouts de papier d’un cahier après en avoir déchiré une page.

Virtualisation nouvelle génération : vers une alternative fiable pour le pentesting ?

Parfois, résoudre un problème implique de reconsidérer des approches autrefois écartées. La virtualisation a longtemps été jugée peu adaptée au pentesting. Les hyperviseurs de type 2 ne permettaient pas d’assurer un niveau d’isolation suffisant, tandis que les approches basées sur des hyperviseurs de type 1 étaient perçues comme trop rigides et difficiles à réinitialiser.

En conséquence, la virtualisation a été écartée pendant longtemps comme solution crédible pour un pentesting sécurisé.

Reconsidérer une approche autrefois écartée : la virtualization "bare-metal"

Les récentes avancées technologiques ont mis en lumière cette technologie basée sur le « bare metal », ouvrant la voie à une virtualisation de nouvelle génération, telle que la séparation logique du matériel. La séparation logique du matériel physique offre une sécurité renforcée, des performances proches de celles du matériel natif et une véritable isolation.  

En supprimant la couche d'émulation présente dans la virtualisation traditionnelle, elle permet aux systèmes d'exploitation d'interagir directement avec le matériel. Il en résulte une isolation native au niveau du système d'exploitation et des performances élevées, sans nécessiter de modifications des environnements isolés. Les données peuvent également rester en local, sans compromettre les limites de sécurité.  

Cela modifie fondamentalement la manière dont les environnements de tests d'intrusion sont conçus. Ce modèle permet d'exécuter plusieurs environnements sur un seul poste de travail. Les testeurs d'intrusion pourraient disposer, sur le même ordinateur portable, d'un environnement d'entreprise pour la création de rapports et d'un environnement Linux pour l'exploitation, qui peut être purgé à la fin d'une mission. Un seul ordinateur. Plusieurs environnements totalement isolés. Pas de contamination croisée et moins de problèmes de dos liés au transport de deux ordinateurs portables.  

Les environnements peuvent être créés et supprimés à la demande, avec la certitude qu'aucune fuite ne se produira entre eux. Les outils restent en place là où ils doivent être, avec leur configuration, ce qui élimine le besoin de les réinstaller constamment.  

Les approches de virtualisation de nouvelle génération transforment l'hygiène informatique d'un effort constant en un état par défaut. La génération de rapports ne nécessite plus de deuxième machine physique, et chaque environnement est confiné à son propre espace virtuel. L'exploitation reste confinée, tandis que la génération de rapports peut se faire sans se reconnecter à une infrastructure de test instable. 

Enfin, des environnements d'exploitation adaptés

Un environnement d'exploitation ne doit exister que le temps nécessaire à la réalisation de son objectif. Une fois les vulnérabilités validées, l'impact démontré et les preuves recueillies, il n'y a pratiquement plus aucun intérêt à maintenir cet environnement en place. Au contraire, le conserver augmente les risques et la charge cognitive.   

La séparation matérielle logique modifie la relation que les pentesteurs entretiennent avec le nettoyage de l'environnement d'exploitation. Au lieu de rechercher manuellement les traces d'accès et les configurations temporaires, le nettoyage devient une propriété structurelle de la configuration. Détruisez l'environnement, et tout disparaît avec lui. Pas d'identifiants qui traînent, pas de tunnels oubliés, pas de sessions à moitié fermées qui risquent de causer des problèmes plus tard.   

Chaque test part d’une base de référence connue et propre, exempte de résidus cachés provenant d’interventions passées. Un environnement dans lequel le pentesteur peut travailler en toute confiance.   

C’est peut-être ce qui manquait dans la manière dont les environnements de pentest sont généralement abordés. La plupart des discussions se concentrent sur la détection des vulnérabilités, mais pas sur ce qui vient après.  

Mais voici le problème : les pentesteurs avaient déjà les crayons dont ils avaient besoin. Ce qui leur manquait, c’était le papier calque.

La propreté de l'exécution compte autant que les résultats du tests.

Le pentesting ne se définit pas uniquement par les vulnérabilités qu’il met au jour, mais aussi par la rigueur, la fiabilité et le sens des responsabilités avec lesquels le travail est mené. Des résultats difficiles à reproduire, des rapports rédigés dans des environnements contaminés ou des missions laissant derrière elles des traces inutiles sont autant de symptômes de processus de travail qui n’ont jamais été conçus en tenant compte des réalités du terrain.   

Ce dont les pentesteurs ont besoin, ce ne sont pas seulement de meilleurs outils, mais aussi de meilleures conditions pour les utiliser. Un espace stable où la rédaction des rapports n’est pas perturbée par un shell persistant, une session expirée ou un proxy mal configuré. Un environnement où l’isolation est garantie et où le nettoyage n’est pas une réflexion après coup, mais une propriété intégrée.  

Nous avons compris que les pentesteurs n’ont jamais manqué de talent. Ils avaient simplement besoin d’un autre type de support. C’est pourquoi nous avons développé une solution qui leur permet de concilier isolation, confidentialité et réutilisabilité, sans aucune friction pour l’utilisateur final.

Cela semble trop beau pour être vrai ? Laissez-nous vous montrer comment sécurité, isolation et efficacité dans vos processus de pentest ?

‍