7 Mar 2021

Test de pénétration

par | Classé dans : Articles | 0

La menace que représentait la pénétration informatique a ensuite été décrite dans un important rapport organisé par le Département de la Défense des États-Unis (DoD) à la fin de 1967. Essentiellement, les responsables du DoD se sont tournés vers Willis Ware pour diriger un groupe de travail composé d’experts de la NSA, de la CIA, du DoD, du milieu universitaire et de l’industrie afin d’évaluer officiellement la sécurité des systèmes informatiques à temps partagé. En s’appuyant sur de nombreux documents présentés lors de la Conférence conjointe sur l’informatique du printemps 1967, le groupe de travail a largement confirmé la menace que représentait la pénétration de l’ordinateur pour la sécurité du système., Le rapport de Ware a été initialement classé, mais de nombreux experts en informatique du pays ont rapidement identifié l’étude comme le document définitif sur la sécurité informatique. Jeffrey R. Yost de l’Institut Charles Babbage a décrit plus récemment le rapport Ware comme »by de loin l’étude la plus importante et la plus approfondie sur les questions techniques et opérationnelles concernant les systèmes informatiques sécurisés de sa période. »En effet, le rapport Ware a réaffirmé la menace majeure posée par la pénétration des ordinateurs sur les nouveaux systèmes informatiques en ligne à temps partagé.,

pour mieux comprendre les faiblesses du système, le gouvernement fédéral et ses sous-traitants ont rapidement commencé à organiser des équipes de pénétrateurs, connues sous le nom d’équipes tiger, afin d’utiliser la pénétration informatique pour tester la sécurité du système. Deborah Russell et G. T. Gangemi, SR. ont déclaré que pendant les années 1970 « … »tiger teams » est apparu pour la première fois sur la scène informatique. Les équipes Tiger étaient des équipes de crackers parrainés par le gouvernement et l’industrie qui tentaient de briser les défenses des systèmes informatiques dans le but de découvrir et éventuellement de corriger les failles de sécurité., »: 29

Un éminent spécialiste de l’histoire de la sécurité informatique, Donald MacKenzie, souligne de même que  » RAND avait fait des études de pénétration (des expériences pour contourner les contrôles de sécurité informatique) des premiers systèmes de temps partagé pour le compte du gouvernement. Jeffrey R. Yost de l’Institut Charles Babbage, dans son propre travail sur l’histoire de la sécurité informatique, reconnaît également que la RAND Corporation et la SDC avaient « engagé certaines des premières » études de pénétration  » pour essayer d’infiltrer les systèmes de partage de temps afin de tester leur vulnérabilité., »Dans pratiquement toutes ces premières études, les équipes tiger ont réussi à pénétrer dans tous les systèmes informatiques ciblés, car les systèmes de temps partagé du pays avaient de mauvaises défenses.

Parmi les premières actions de l’équipe tiger, les efforts de la RAND Corporation ont démontré l’utilité de la pénétration comme outil d’évaluation de la sécurité du système. À l’époque, un analyste RAND a noté que les tests avaient »…a démontré le caractère pratique de la pénétration du système en tant qu’outil d’évaluation de l’efficacité et de la pertinence des mesures de sécurité des données mises en œuvre., »En outre, un certain nombre d’analystes du RAND ont insisté sur le fait que les exercices de test de pénétration offraient tous plusieurs avantages qui justifiaient son utilisation continue. Comme ils l’ont noté dans un article, « un pénétrateur semble développer un État d’esprit diabolique dans sa recherche des faiblesses et de l’incomplétude du système d’exploitation, qui est difficile à imiter. »Pour ces raisons et d’autres, de nombreux analystes de RAND ont recommandé la poursuite de l’étude des techniques de pénétration pour leur utilité dans l’évaluation de la sécurité du système.: 9

peut-être le principal expert en Pénétration informatique au cours de ces années de formation était James P., Anderson, qui avait travaillé avec la NSA, RAND et d’autres agences gouvernementales pour étudier la sécurité du système. Au début de 1971, L’armée de l’air américaine a engagé la société privée D’Anderson pour étudier la sécurité de son système de temps partagé au Pentagone. Dans son étude, Anderson a décrit un certain nombre de facteurs majeurs impliqués dans la pénétration de l’ordinateur. Anderson a décrit une séquence d’attaque générale par étapes:

  1. trouver une vulnérabilité exploitable.
  2. concevoir une attaque autour de lui.
  3. Test de l’attaque.
  4. Saisir une ligne en cours d’utilisation.
  5. Entrez l’attaque.,
  6. exploitez l’entrée pour la récupération d’informations.

Au fil du temps, la description D’Anderson des étapes générales de pénétration informatique a aidé à guider de nombreux autres experts en sécurité, qui se sont appuyés sur cette technique pour évaluer la sécurité du système informatique à temps partagé.:9

Au cours des années suivantes, la pénétration de l’ordinateur en tant qu’outil d’évaluation de la sécurité s’est affinée et sophistiquée. Au début des années 1980, le journaliste William Broad a brièvement résumé les efforts continus des équipes tiger pour évaluer la sécurité du système. Comme L’a rapporté Broad, le rapport parrainé par le DoD par Willis Ware avait »…,a montré comment les espions pouvaient pénétrer activement dans les ordinateurs, voler ou copier des fichiers électroniques et subvertir les appareils qui gardent normalement des informations top secrètes. L’étude a déclenché plus d’une décennie d’activité tranquille de groupes d’élite d’informaticiens travaillant pour le gouvernement qui ont tenté de s’introduire dans des ordinateurs sensibles. Ils ont réussi à chaque tentative. »

Alors que ces diverses études peuvent avoir suggéré que la sécurité informatique aux États-Unis., resté un problème majeur, le chercheur Edward Hunt a plus récemment fait un point plus large sur l’étude approfondie de la pénétration de l’ordinateur en tant qu’outil de sécurité. Hunt suggère dans un document récent sur l’histoire des tests de pénétration que l’établissement de la défense en fin de compte « …créé de nombreux outils utilisés dans la cyberguerre moderne », car il a soigneusement défini et étudié les nombreuses façons dont les pénétrateurs informatiques pourraient pirater des systèmes ciblés.: 5

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *