De la pénurie de pentesteurs...

Par Sid, lundi 19 juillet 2010 à 12:29 :: (In)Sécurité
Lu 6170 fois :: #419 :: rss :: atom :: English

I want you

evant les annonces de recrutement lancées à l'occasion du dernier SSTIC et les offres qui y circulaient à peine plus discrètement, Mat en venait à se demander si une pénurie de main d'œuvre n'était pas en train de gagner le petit monde du test d'intrusion. J'aurais tendance à penser que le problème n'est pas tant dans la disponibilité de candidats potentiels que dans le type de profils recherchés. Comme le souligne Mat, le monde du pentest est petit. Mais encore faut-il s'entendre sur ce qu'on entend par pentest...

Car il ne faut pas se cacher que le terme "penetration testing" est depuis longtemps un buzzword. La portée est certes moindre qu'un bon vieux "cyber-whatever" des familles, mais le fait est : le pentest peut, selon les cas, englober une très large palette d'activités qui n'ont en commun que le fait d'essayer d'évaluer la sécurité d'un système de l'extérieur.

Ainsi, l'export en PDF du rapport d'un scan Nessus sera allègrement qualifié de pentest par certains, là où d'autres réserveront ce terme à une activité humaine nécessitant du temps, des compétences et de l'expérience. On sent bien qu'entre les deux, un monde existe, et qu'il est peuplé de profils forts différents aux aspirations très variées. De fait, il me semble difficile de parler de pénurie si on n'arrive pas à identifier exactement ce qui est recherché. En outre, l'apparition d'une demande soudaine pour une activité particulière, que j'aurais plus tendance à appeler génériquement "évaluation de sécurité", n'implique pas forcément qu'elle ne puisse pas être satisfaite. Ce qu'on a vu au SSTIC, ce sont des des gens qui recrutent. Maintenant, est-ce qu'ils auront vraiment du mal à staffer à hauteur de leurs objectifs ? C'est une autre question dont la réponse sera légèrement moins évidente à identifier à l'échelle du marché.

Ceci dit, dans l'hypothèse où on s'accorderait à penser que les profils recherchés nécessitent un bagage de compétences initiales en évaluation offensive, on pourrait effectivement faire face à un problème. À savoir l'absence non pas de gens motivés pour faire du pentest, mais de gens suffisamment formés pour en faire efficacement, en particulier chez les jeunes. On pourrait invoquer une armée d'explications, aussi je ne ferai qu'une constatation qui vaut ce qu'elle vaut, à savoir qu'il n'existe pas, en France et à ma connaissance, de cursus scolaire qui forme à ce genre de pratiques en école ou université. Ou du moins pas officiellement. Ce qui réduit un peu la population disponible aux gens intrinsèquement câblés à ces fins, qui s'avèrent souvent être ceux dont on déplore également la délocalisation^[1]. Loin de moi l'idée d'affirmer que personne n'aborde cet aspect de la sécurité^[2] au sein de formations spécialisées ou non, seulement de constater que ça n'apparaît pas assez dans les programmes. Et que c'est fort dommage !

Il ne s'agit évidemment pas de créer ce que d'aucuns aiment à qualifier d'écoles de pirates, mais tout simplement d'aborder une activité qui fait partie depuis très longtemps des prestations de sécurité informatique. Cependant, cela pourrait ne pas être aussi simple qu'il y paraît au premier abord. D'abord parce que les prestations à caractère offensif ont du mal à être comprises pour ce qu'elles sont par le public profane. J'en veux pour preuve ce récent article du journal espagnol Público intitulé "La ciberguerra pasa al ataque" qui traite du développement des capacités offensives de la France. Si cette prose mérite un billet à elle seule, on notera néanmoins le passage qui explique^[3] que les six CESTI nationaux développent et utilisent des armes numériques parce qu'ils ont reçu l'autorisation du SGDSN^[4] de faire... des tests d'intrusion...

Ensuite, et c'est en partie lié au point précédent, parce qu'il faut bien avouer que le test d'intrusion a un peu du mal à trouver sa véritable place dans le grand ordre des choses. Par là, j'entends qu'ils ne sont pas légions ceux qui parviennent à l'intégrer positivement dans un process d'évaluation de la sécurité. Je vois déjà les sourcils se froncer, voire se lever d'étonnement, mais globalement, le pentest tel qu'il est aujourd'hui demandé par le marché, c'est un peu l'audit du pauvre : un truc court, pas cher, dont les effets se corrigent facilement par des mesures de surface et dont les conclusions désagréables ne sont de toute manière "pas pertinentes au regard des impératifs métier"^[5]. Mais certainement pas quelque chose qui soit envisagé comme pouvant participer significativement à l'amélioration de leur sécurité.

D'aucuns appelleront ça l'échec du pentest...
Toujours est-il qu'il reste une bonne nouvelle pour une partie de ceux qui staffent. À savoir que pour répondre à ce genre de demande, la main d'œuvre se trouve assez facilement...

Notes

[1] La valorisation passe par une reconnaissance qui peut prendre la forme d'une existence scolaire.

[2] D'autant que je sais que certains le font !

[3] Modulo l'exactitude de la traduction qui m'en a été faite.

[4] <joke>Le SGDN fait de la "sécurité" maintenant</joke> ;)

[5] À se demander pourquoi ces gens demandent des pentests... La réponse à cette question est laissée en exercice au lecteur...

Note : 5.0/5 pour 3 votes

Trackbacks

1. Le mercredi 28 juillet 2010 à 11:56, de Veille

Veille - De la supériorité de l'insécurité face à la sécurité

Cette semaine, il y a plusieurs tendances qui se détachent. La première c'est le manque flagrant de considération de la sécurité par les "professionnels" de l'informatique...

2. Le lundi 16 mai 2011 à 10:49, de Newsoft's fun blog

Le diable est dans les détails

Ainsi donc l'activité d'audit sécurité va être réglementée en France. Le projet est encore en phase expérimentale, mais le processus étant enclenché, il est inéluctable...

Les trackbacks pour ce billet sont fermés.

Commentaires

1. Le lundi 19 juillet 2010 à 16:12, par Hurukan

Très bon article! Le dernier paragraphe est hélas on ne peut plus vrai...

2. Le lundi 19 juillet 2010 à 16:53, par z33w

Merci Sid pour ce (très) pertinent article.

3. Le lundi 19 juillet 2010 à 21:40, par newsoft

Tu m'ôtes le troll du clavier :)

"De mon temps", le pentest était une activité obscure, nécessitant une grande connaissance de la Magie Noire. On allait trouver le pentesteur comme on se rendait chez le rebouteux. "La première fois", les gens n'imaginaient même pas qu'on allait réussir à les pirater.

Depuis que le pentest est devenu "mainstream" et qu'il faut coller un pentest dans chaque projet (merci PCI/DSS, ISO 27000 et al.), on assiste à des situations du genre: "mon p'tit Jean-Michel, vous n'oublierez pas d'me coller un ch'tit pentest en semaine 18, juste avant le Go Live de notre projet critique d'infrastructure qui a démarré il y a deux ans".

Bien entendu le projet se fait tranquillement démonter.

Et là, on entend cette phrase qui a probablement causé le plus de tort dans toute la profession: "vous savez, la sécurité à 100% n'existe pas" (ce qui est censé justifier une sécurité à 2%).

4. Le lundi 19 juillet 2010 à 22:40, par Mat

Dans le même ordre d'idée, quand le projet "super critique" doit passer en production 2 jours après la fin du pentest, et qu'ils se sont fait gentiment déchirer, ils se mettent à contester les criticités des vulnérabilités pour pouvoir quand même passer en prod... Et quand on revient quelques temps plus tard pour le contre-audit, la moitié des vulnérabilités ne sont pas corrigées..

A se demander pourquoi on se fait ch**r à faire des rapports si ils ne sont pas appliqués/lus/mis en pratique

Réponse de Sid

Je crois que si on a tous un point commun, c'est une pure palanquée d'anecdotes dans ce genre là.

Une qui m'a marqué, c'était dans une autre vie avec un pentest de poste client, sur la scénario classique de l'evil stagiaire. On avait une quarantaine de points de sécurité à vérifier, qu'on a évidemment tous contournés. Le commanditaire a finalement jugé que ça ne mettait pas en défaut la sécurité de l'ensemble, parce que bon, "on est bien obligé de confiance à l'utilisateur"... Et là, on se demande forcément pourquoi quelqu'un s'est fait chier à rédiger un CdC s'il n'est pas pertinent, et nous à faire le pentest qui va avec...

5. Le lundi 19 juillet 2010 à 22:43, par sloshy

Bonjour,

Que faire des cursus comme ceux proposé à l'Epitech ou à l'ESIEA ou bien les cursus de fac comme les spécialisations "Calcul scientifique et sécurité informatique" (proposé entre autre a Strasbourg).

Que conseillerai tu au jeune motivé voulant effectué un parcours dans le domaine de la sécurité de l'information?

Réponse de Sid

Tu as lu mon article en travers, cher Sloshy. Je n'ai en effet pas écrit qu'il n'y avait pas de formation spécialisée en sécurité informatique en France. J'interviens à l'Epitech et à l'ESIEA que tu cites, ainsi qu'à l'Université de Limoges dans de tels cursus, je suis donc assez au courant que ça existe. Ce que je dis, c'est qu'à ma connaissance, aucune ne propose de manière officielle, c'est à dire indiqué au programme, des heures de cours consacrées à l'évaluation offensive de systèmes infomatiques.

Ce qui ne veut pas dire non plus que ça ne se fait pas. Je dis juste que c'est un enseignement qui n'est pas reconnu. Alors que c'est une pratique courante du métier, et qu'en plus les compétences nécessaires semblent de plus en plus demandées...

Maintenant, un conseil pour un jeune ? Difficile à dire, ça dépend de ses aspirations. Je pense qu'il y a pas mal de formations spécialisées de qualité qui apportent beaucoup. Mais dans l'ensemble, rien ne remplacera in fine la motivation et l'investissement personnel. Ceci étant, il faut être pragmatique : le marché du travail français tourne au diplôme, et il faut en tenir compte...

Sinon, tu peux l'avis de Hurukan sur la question ainsi que les commentaires à son billet.

6. Le lundi 19 juillet 2010 à 23:00, par patatro

C'est assez simple de voir à quel point c'est facile de rentrer dans un système notamment lorsque l'on écoute pas M. Crozier...

7. Le lundi 19 juillet 2010 à 23:13, par sloshy

Bonsoir,

Soit je me suis mal exprimé, soit je suis à coté de la plaque :) qu'entend tu pars 'évaluation offensive de systèmes infomatiques' ?

Réponse de Sid

Un terme alambiqué pour désigner du pentest au sens large.

Sinon, je viens de vérifier, et c'est mentionné au programme du mastère SI&S de l'ESIEA.

8. Le lundi 19 juillet 2010 à 23:25, par sloshy

Dans ce cas, ont peut voir dans le cursus epitech s'avoue pour cette pratique. La première année mets en avant des petites bases. La deuxième année il y a des cours orienté offensive sur des webapplication qui se veulent se rapprocher au maximum des conditions réels. La quatrième année mets clairement en avant l'exploitation de faille applicative et se termine sur un concours assez bien fait auquel participe plusieurs société.

Je parle de cet école parceque j'y suis (sans savoir si c'est une bonne idée pour mon avenir ou non), mais il y a de plus en plus de mastère spécialisé dans le domaine non?

PS: le lien fourni ne donne pas vraiment une bonne image du pentesting.

Réponse de Sid

Je suis passé vérifier sur le site de l'Epitech, et ce que tu me décris n'y est pas mentionné. Ou je ne l'ai pas trouvé dans la description du cursus.

Pour le lien, je ne vois pas en quoi écrire "Tests d’intrusion (pentests) externes et internes " dans la rubrique "Sécurité des Systèmes" donne une mauvaise image du pentesting. Ni une bonne d'ailleurs, vu que c'est assez neutre, même si ça le place dans une enseignement de sécurité.
Tu ne serais pas en train de nous faire une crise de chauvinisme ?

9. Le lundi 19 juillet 2010 à 23:56, par sloshy

Sur le site tu trouvera: http://www.epitech.eu/security-quest-sct268.html (le concours de quatrième année).

Quand au programme (même s'il est en profonde modification)
http://www.epitech.eu/docs/EPITECH-programmes-2009-2010.pdf Tu peux voir le module "sécurité web" en deuxième année
en quatrième année les modules "sécurité unix et réseaux" ainsi que "code malveillant" (qui se poursuit en cinquième année).

10. Le lundi 19 juillet 2010 à 23:58, par sloshy

je parle de l'avis de Hurukan sur la question, son poste brise un mythe pour moi ^^ En quoi suis je patriotiste ou nationaliste moi? ^^

Réponse de Sid

Le dernier lien que j'ai donné avant que tu ne postes pointait sur le programme de l'ESIEA... En l'absence de précision...

11. Le mardi 20 juillet 2010 à 00:01, par Gourmet

Mouais, il y a une chose que tu n'évoques pas. Par pudeur ? C'est la rémunération. J'écris cela car de tout temps (et c'est encore plus vrai aujourd'hui) les sociétés spécialisées en systèmes d'information se sont plaintes du manque de compétence sectorielle. Il y a 20 ans c'était les compétences réseau. Ensuite sont venues les compétences de dev web et de webmestre. Puis il y a eu la vague Java suivie d'un peu de Linux dans la foulée puis de WiFi probablement avant d'attaquer le XML/XSLT. Aujourd'hui c'est la sécu. Or, je n'ai jamais vu de tension particulière sur les rémunérations pour ces domaines.

Or, pour moi la loi de l'offre et de la demande ...

Je ne dis pas qu'il n'y a jamais eu de tension mais il s'agit de secteurs qui ne font pas la une des plaintes infondées de ces ssii. Il y a eu une époque DBA. Il y a, ponctuellement, des tensions sur des produits spécifiques : SAP, JdEdwards, BO. Il y a un fond de roulement très très rentable pour les dev mainframes IBM.

Mais de cela on entend très peu parlé. Du reste, le MUNCI dénince régulièrement la manoeuvre des ssii ne visant qu'un seul objectif : faire baisser les rémunérations . En effet, en invoquant la rareté, on est dédouané d'aller chercher ailleurs, là où l'herbe est plus fraîche et surtout moins chère : états baltes, Pologne, Roumanie, Inde.

Alors, non, une fois de plus je n'y crois pas. Et, du reste, les offres d'emploi APEC ne font pas transparaître une telle tension.

Mais je peux me tromper ...

Db

Réponse de Sid

Je ne parle pas de rémunération parce que ce n'est pas le propos. D'ailleurs, dans le domaine de la sécurité, elles tendraient à ne pas être si mauvaises à ce que je vois.

Pour moi, il n'y a pas pénurie. Au pire, il y a cette pratique bien française qui consiste à râler parce que les jeunes sortis d'école ne sont pas opérationnels...

12. Le mardi 20 juillet 2010 à 00:18, par Trou

Je vais rajouter mon grain de sel sur les formations. Je ne suis pas convaincu qu'une formation soit vraiment utile pour être _bon_ pentester. Un très bonne culture générale en informatique me semble un meilleur point de départ qu'une formation spécifique.

Être bon en pentest, c'est-à-dire savoir réagir et inventer lorsqu'on rencontre des nouveaux systèmes/cas (potentiellement souvent, si vous n'êtes pas dans une boîte à faire du site Web / LAN AD à la chaîne) nécessite des connaissances très larges et les spécificités du pentest sont plutôt des petits "trucs" et outils qui s'apprennent très vite.

Mais surtout, il faut avoir l'état d'esprit requis : suffisament "tordu" pour trouver les points qui font mal. Et ça, je ne suis pas convaincu que ça s'apprenne en cours :)

Malgré tout, une formation en pentest peut être intéressante pour faire avoir les capacités de mener des missions "standard" sans forcément creuser.

Réponse de Sid

Rien ne remplace l'expérience, mais c'est commun à tous les métiers, et il ne faut pas attendre d'un débutant qu'il soit opérationnel comme quelqu'un qui a cinq ans de pratique, même si ça arrangerait certaines boîtes...

Le gros avantage que je vois à avoir des modules sur le sujet, c'est d'expliquer aux élèves ce qu'est un pentest, comment ça se déroule et surtout à quoi ça sert. En particulier à ceux qui n'en feront pas dans la vie active. Ce qui leur permettra ensuite (hopefully) d'en faire bon usage quand ils seront en position d'en commanditer.

13. Le mardi 20 juillet 2010 à 01:21, par Smurf

Je vais tenter de répondre à Newsoft puisque je suis de l'autre côté de la barrière. Si les sociétés collent un petit pentest c'est parce qu'elles savent à quel point cela permet d'éviter les catastrophe car aujourd'hui si l'on parle de formation des pentesters, on pourrait également parler de la formation des administrateurs ou des développeurs (et vas-y que je te colle un double attachement comme ça je peux admin le serveur depuis chez moi parce que la sécurité a mis des pares-feux et que sinon je dois me déplacer ; et vas-y que j'utilise un exec($i) parce que ça marche et que c'est que que me dit google quand je cherche).

Alors effectivement, les sociétés ont tendance à coller du pentest, mais il ne faut pas forcément penser que c'est parce qu'elles sont stupides. De plus en plus de gens de la sécurité dans les banques et autres viennent du monde des sociétés de conseil (le RSSI qui comprend rien et à qui on peut rendre un torchballe sans qu'il s'en rende compte est de plus en plus rare)

Du coup ce que certains savent moins c'est l'espèce de désespoir des sociétés quand elles voient les rapports de pentests arriver. Ca sent le consultant qu'à rien fait de la semaine qui a lancé un ida (en version gratos of course) pour faire sa capture d'écran avec le magnifique titre : impossibilité de reverse le code (comme si il avait essayé ou même su faire...). Je ne parle pas de la magnifique capture d'écran de wireshark avec le message laconique : c'est chiffré, on ne peut rien faire (si tu avais testé le handshake gros malin tu aurais vu que si). Alors que faire ? Virer les sociétés une par une de sa liste de fournisseur ? Le problème c'est qu'au bout d'un moment ben... y'a plus personne et que les seules sociétés qui restent sont débordées et du coup ça ne rentre pas dans les délais. Le nombre de rapport d'audit méritant ce nom que j'ai vu passer ces deux dernières années se comptent sur les doigts d'une main. Le reste va du "pas trop mal" en pensant à "il devait être pressé de partir en week-end" à "Nessus pas mis à jour aurais trouvé plus de vulnérabilités". Alors ensuite comme il a rien trouvé, il met en vulnérabilité 1 "le serveur répond aux pings" puis "le serveur affiche sa bannière". fiouuuu déjà 2... En creusant un peu il trouve "le serveur affiche des messages d'erreurs"... Et de 3... Un bon quake en réseau histoire de fêter ça et on s'y remet...

Alors effectivement, du coup les demandes de pentest c'est 5 jours sur un projet et les "vrais" cabinets de pentest trouvent cela trop peu. Mais si cette limite de temps est imposé c'est largement suffisant pour le genre de rapport que l'on reçoit (je trouve même que c'est faire acte de gentillesse et de solidarité nationale).

Je ne dis pas que toutes les sociétés qui font du pentest se moquent du client, mais personnellement je trouve que la qualité se perd de plus en plus et qu'à mon avis, la seule solution est d'avoir sa propre équipe d'intrusion ce que certaines sociétés ou services étatiques ont bien compris. Alors c'est vraiment triste pour les sociétés qui ont encore un vrai savoir faire et qui se retrouvent face à des sociétés qui font du pentest à coup de nessus avec un coup de wireshark sinon ça se voit (je vous rassure, ça se voit quand même).

Réponse de Sid

C'est triste ce que tu nous racontes là. Je conçois que nul n'est prophète en son pays, mais payer 5 jours de presta pour sortir un rapport Nessus, tu peux le faire toi-même pour moins cher...

Ceci étant, c'est un peu contradictoire avec ce que tu dis au début. Un pentest de merde n'évitera aucune catastrophe, ça sert juste à faire perdre du temps, et de l'argent qui aurait été mieux employé ailleurs. Le comportement que tu décris par la suite est l'exacte conséquence de ce que décrit Newsoft : on te sert de la merde parce que tu t'en contentes quand on te la sert. Tu feras bien plus de bien au monde de la sécu en arrêtant de commander des pentests de ce genre amha. Ah oui, mais il en faut pour être compliant. Et comme ils ne trouvent jamais rien, c'est parfait : ça entre dans le délais et ça ne retarde pas le projet...

Pour les sociétés compétentes débordées, si elles recevaient plus de demandes, elles recruteraient. Je ne dis pas que la qualité resterait exactement la même, mais elles essayeraient de la faire bien. Seulement, on ne recrute pas quelqu'un pour une demande, surtout quand elle tombe à l'arrache. Parce que bon, le coup de délais, c'est quand même surtout des problèmes de planification. Ah oui, mais genre la sécu demande des pentests à l'arrache parce que le projet les a jamais impliqué et que là, il va falloir quelque chose pour redresser la barre en catastrophe. Et du coup faut appeler les pompiers. Sauf que des interventions pompier, ça coûte la race parce que ça demande d'immobiliser des ressources pour assurer la disponibilité. Mais comme le client veut pas payer plus cher...

Pour les aspects formations, dans la mesure où, paraît-il, la sécurité des infrastructures informatique est devenue une priorité stratégique du pays, tout cursus de formation informatique devrait inclure une partie sécurité adaptée au sujet principal.

14. Le mardi 20 juillet 2010 à 08:13, par Mat

Ca sent le consultant qu'à rien fait de la semaine qui a lancé un ida (en version gratos of course) pour faire sa capture d'écran avec le magnifique titre : impossibilité de reverse le code (comme si il avait essayé ou même su faire...). Je ne parle pas de la magnifique capture d'écran de wireshark avec le message laconique : c'est chiffré, on ne peut rien faire (si tu avais testé le handshake gros malin tu aurais vu que si)

Concernant IDA, le cadre juridique actuel fait que on a pas forcément le droit de reverser l'appli (surtout si c'est du progiciel 3rd party, pas développé par le client). De plus, trouver 2-3 secrets peut aller rapidement, mais reverser plus en profondeur va demander du temps, temps que l'on a pas forcément lors des prestations.
"Pas le droit" + "pas le temps" + "pas forcément simple" (compétences et intérêt du sujet, tout ca..) ==> pas utilisé

Concernant le chiffrement des communications, ca me rappelle une anecdote où il y avait du chiffrement applicatif avec des communications en HTTP. Donc oui, de manière rapide, on peut remonter "communications chiffrées" et ne pas aller plus loin. Sur ce coup-ci, en creusant un peu, on pouvait se rendre compte que la clé symétrique était négociée lors d'un handshake. Mais vu l'algo de négociation, impossible à trouver la clé sans reverse.. et on retourne au problème au dessus.

Alors ensuite comme il a rien trouvé, il met en vulnérabilité 1 "le serveur répond aux pings" puis "le serveur affiche sa bannière". fiouuuu déjà 2... En creusant un peu il trouve "le serveur affiche des messages d'erreurs"... Et de 3...

La "hantise" d'un pentester : ne rien trouver sur l'appli (soit il est mauvais, soit l'appli et l'infra sont "bien", si si, ca arrive)

Or, il est "dur" de rendre un rapport vide quand bien même on aurait travaillé (du point de vue du client qui a payé "cher" et du point de vue de son management) , donc faut bien trouver des failles à mettre.. ICMP et TCP timestamp, Apache ServerTokens, Cookies pas "secure", nous voila..

Réponse de Sid

Sauf que "rapport != liste de failles". Si tu as bossé, tu as des choses à raconter, qui ne sont pas forcément des failles...

Mais encore une fois, on en revient à la raison d'être du pentest, et par extension à ce qui fait qu'il est réussi ou non.

15. Le mardi 20 juillet 2010 à 09:40, par Smurf

@mat : le reverse c'est comme le pentest. Tu as l'autorisation expresse et écrite de ton client. Le coup de la législation ne tient pas vraiment.

Réponse de Sid

Ça dépend, ça dépasse.

Tu ne peux le faire que si l'application t'appartient, ou que son éditeur a autorisé le reverse. Je dis ça parce que j'ai croisé des clients qui pensaient pouvoir autoriser un pentester à reverser des applications tierces... Et je ne parlent pas de ceux s'étonnent que l'infrastructure de leur FAI ou de leur hébergeur n'aies pas été "évaluée" ;)

16. Le mardi 20 juillet 2010 à 10:56, par Erwan

Concernant le pentest ou l'on trouve rien, je confirme ça arrive, et l'on se retrouve avec un bien maigre rapport...

et puis il y a pen-test et pen-test... Autant un pti gars sorti d'école pourra s'en sortir sur un pentest web vu l'outillage disponible et la relative simplicité technique de la chose (après la confiance que l'on peut avoir dans la couverture des tests c'est autre chose ;) ).

Autant sur un pen-test classique avec des services proprio pour lequels il faut se pallucher du fuzzing et l'écriture d'un exploit pour trouver une 0-day demande une expérience significative qu'aucune école n'est capable d'apporter (quand aux conclusions à tirer d'un tel audit quand à la sécurité du SI, n'est-ce pas sid ;)). Car certes le junior en à peut-être les capacité, mais pas forcément l'efficacité requise pour répondre à la contrainte du "vite fait".

Dans tout les cas, c'est de l'argent foutu en l'air si ce pen-test ne sert pas à amorcer (ou n'est pas intégré à) une démarche de sécurisation de l'application, ou si le client ne prévoit pas de se faire accompagner... souvent le rapport prendra la poussière et on aura la désagréable impression de bosser pour rien. Certains dirons qu'il faut faire de bonnes préconisations, mais franchement, s'il n'y à pas de sanction associé, c'est comme pisser dans un violon.

90% des entreprise n'ont pas la maturité nécessaire pour rentabiliser un pen-test, je ne pense pas qu'un ingénieur junior n'ait pas non plus le recul suffisant (quelle que soit la qualité de sa formation) pour compenser le manque de maturité de son client.

Je m'arrête la, le troll est assez nourri ainsi :)

17. Le mardi 20 juillet 2010 à 13:43, par Dnucna

D'un côté il y a une pénurie au niveau du recrutement : formation des jeunes diplômés, motivation, intérêt pour ce métier, vocation...

Mais y aurait-il une telle demande de chair fraiche si le circuit arrivait à conserver les vieilles peaux ? Ceux qui ont genre 5 ans d'expérience et sont dégoutés ?

Ç'a déjà été débattu plein de fois, mais c'est un peu du pareil au même. Il n'y a pas d'évolution de carrière dans ce métier... à part manager ou avant-vente (pas trop la vocation habituelle pour des gens très techniques)... Et le peu de reconnaissance sans doute dû à un manque de maturité global n'incite pas à s'attarder à ce poste. Au final il n'y a quasiment que des jeunes pentesters qui forment des débutants et ça tourne et ça tourne...

Cela peut aussi expliquer que le niveau technique progresse peu. En effet la formation des auditeurs et la préparation des audits sont souvent inexistantes. Il faut quasiment que les pentesters s'entraînent chez eux le soir pour s'améliorer, mais de toute façon il ne faut pas s'attendre à une quelconque reconnaissance donnant envie d'y consacrer son temps libre. Bref, c'est limite inutile et quand bien même ils le feraient, ses connaissances disparaîtront de l'entreprise avec lui.

Je crois qu'on fait un métier intéressant, captivant et ... déprimant parce qu'on ne sait pas de quelle sera notre évolution. En plus on sait bien que l'herbe n'est pas plus verte chez nos concurrents, mais on a l'espoir que ça ne sera pas pire que là où on est... Et en parallèle, quand on a rattrapé le niveau technique de ses collègues, on se sent vite stagner techniquement... On sait bien qu'il est possible de faire du fuzzing, mais il faudrait combien de soirée (au grand dam de madame) pour être au point ? Pareil pour le reverse... Enfin ça n'engage que moi... (Tout en espérant que d'autres se sentent concernés.)

18. Le mardi 20 juillet 2010 à 14:57, par Gourmet

Tonton Sid a dit : "Pour moi, il n'y a pas pénurie. Au pire, il y a cette pratique bien française qui consiste à râler parce que les jeunes sortis d'école ne sont pas opérationnels..."

À ajouter la pratique bien française de râler également parce qu'à l'opposé les vieux ne sont plus opérationnels ... :)

db

Réponse de Sid

... mais doivent travailler plus longtemps parce que c'est trop tôt pour la retraire...

19. Le mardi 20 juillet 2010 à 16:35, par Nicolas

Je suis globalement d'accord avec ce qui a été décrit ici.

Pour revenir sur le métier de pentester, au delà la compétence technique, je pense que notre métier tend de plus en plus vers de la vulgarisation/sensibilisation auprès de clients un peu perdu dans le monde de la sécurité.

C'est de plus en plus vrai du fait que maintenant tout le monde veut faire de la "sécurité", et que cela ne ce limite plus à quelques acteurs ayant un réel besoin (défense, bancaire, etc...).

20. Le mardi 20 juillet 2010 à 18:59, par 0x

On pourrait, ad nauseam, gloser sur la qualité des PenTests et nous n’aurions avancé en rien, tant le problème dépasse l’industrie de la sécu, IMHO. Permettez-moi de proposer un point de vue à rebrousse-poil.

Avez-vous eu l’occasion, si vous faites partie d’une entreprise qui en dispose d de discuter avec les membres de votre service « achats », ou mieux encore, avec votre Direction ? Si tel est le cas, vous êtes-vous renseignés sur le taux horaire d’un consultant organisationnel ou « stratégique » (je ne parle même pas de McKinsey, BCG ou BoseAllenHamilton), un cabinet d’avocats un peu pointu ? Des fiscalistes bien en Cour ? Même des CAC… Probablement pas, vous en seriez malade.

La réalité est dure, mais c’est la réalité : Même si l’industrie de la sécu est moins sinistrée que les autres, qu’elle paye mieux que certains, elle reste une industrie « technique », entendez « en bas de la chaîne alimentaire » dans l’univers business. Tout le monde se fout de la sécurité tant qu’elle reste une question proche de l’exploitation / des geekeries en tout genre.

Si l’on veut un jour faire sérieusement de la sécurité, il s’agit surtout de « faire » sérieux, cher et indispensable. Quel RSSI est capable d’aller voir son DG ou PDG pour lui expliquer l’état de fragilité de la protection de son patrimoine informationnel (sans mouiller son pantalon, cela va de soi) ? Quel Responsable technique est formé à faire des slides (et à faire un nœud de cravate décent) ?

Si la sécurité était vue comme une prestation à très haute valeur ajoutée (ce dont personne ne saurait douter, lorsqu’elle est le fait de professionnels consciencieux :D ), elle attirerait des profils qui ont aujourd’hui tôt fait d’aller dans des branches plus rémunératrices.

Enéfé, encore une fois, prenons un peu de distance. Vous souhaitez que les pentesters soient de bons (et rapides) opérationnels, et vous plaignez que les formations « sécurité » ne pondent pas des gens qualifiés et ops. C’est le problème qu’a toujours eu à traiter l’armée de l’air avec ses pilotes de chasse : filière EOPN, post-BAC, branleurs de manche pendant 15 ans puis poubelle ; filière du Corps des officiers de l'air (Ecole de l’air), grande école après prépa et concours, carrière complète. Nous pourrions donc avoir des jeunes bien formés, en une paire d’années, pas cher, etc… Mais combien de temps resteraient-ils crédibles ? Le seraient-ils jamais ? Le problème n’est-il pas que, pour bien faire de la sécurité, il faut des gens intelligents, curieux expérimentés et bien formés ? Non pas bien formés aux technos du moment, mais bien formés à trouver la petite bête, et assez persévérants pour ne pas lâcher l’affaire à la première difficulté. Des individus surtout capable de s’adapter au fil des ans et d’engranger de l’expérience sans se laisser dépasser par les évolutions technologiques, tout en étant à même de transmettre à des « managers » l’essence du caractère critique de leur travail. Ce genre de profil coûterait cher, très cher, beaucoup plus cher que ce que l’on entend par « cher » dans le monde du PenTest gaulois.

J’en reviens donc à mon premier point : Comment faire pour que l’industrie de la sécurité ne soit plus seulement un univers de passionnés, mais aussi et surtout un univers de gens dont les compétences spécifiques sont requises dans les strates les plus élevées des organisations (et à ce titre prêtes à en payer le +juste+ prix) ? Je relève les copies dans deux heures…

Je ne prétends avoir aucune solution mais se lamenter là, comme ça, à tourner en rond dans un bocal, ça m'énerve.

Réponse de Sid

Excellents points, et très bonne question.

Par contre, sur la question de la formation, permettez-moi de clarifier mon propos. Je ne crois pas un instant à la formation directe de professionnels du pentest, tous frais moulus sortis d'une formation en deux ans, rompus comme vous le soulignez aux technos du moment. D'autres y ont cru à la faveur d'une bulle pour former des web developpers à la pelle dont on a vu les "réussites". Les gens curieux, persévérants et qui s'adaptent se nourrissent de ce qu'on pourrait qualifier de culture générale. Je pense que la sécurité devrait faire partie de cette culture, au même titre que la sûreté de fonctionnement fait partie de la culture aéronautique par exemple, et qu'avoir une idée de comment elle s'évalue aussi.

Mais c'est c'est probablement un vœu pieux...

21. Le mardi 20 juillet 2010 à 22:59, par skaa

j'interviens à l'Epitech et à l'ESIEA que tu cites, ainsi qu'à l'Université de Limoges dans de tels cursus, je suis donc assez au courant que ça existe.

Dis moi Sid, tu ne voudrais pas venir faire quelques cours du coté du master SSI de Rouen l'année prochaine? :)

Après tout c'est peut-être des interventions de ce genre qui permettront une meilleure adéquation entre les formations existantes et la réalité du métier.

22. Le mardi 20 juillet 2010 à 23:52, par bartavelle

@Nicolas : tout le monde a un réel besoin de sécurité. J'aimerais bien croire que mes données (à caractère personnel) sont bien protégées.

23. Le mercredi 21 juillet 2010 à 02:42, par sloshy

Il fait bon de lire plusieurs avis qui semble pertinent de la pars de professionnel dans le domaine.

Lors d'une conférance à l'epitech cette année, un intervenant d'une grosse boite blabla blabla nous avait résumé que la sécurité était pour lui de scanner des pc à distance juste pour checker les versions des applications et la recherche de virus connu. Il décrivait le pentest comme étant quelques choses d'improbable sur le long terme car impossible a réaliser chez un de leur nombreux client à plus de 1000 postes. Il nous a ensuite bassiné avec les certifications 27001.

Voilà comment on nous présente la sécurité "des hautes sphères" aujourd'hui, comment est il possible que ça passionne quelqu'un (dans le domaine technique)?

Réponse de Sid

Confusion classique : compliance vs. sécurité.

24. Le mercredi 21 juillet 2010 à 08:54, par neerd

<troll>nan mais la technique c'est un truc de branleurs, l'ISO 27001 c'est l'avenir !</troll>

(bon chuis déjà d'humeur chafouine un mercredi matin ... ça promet pour la fin de la semaine)

25. Le mercredi 21 juillet 2010 à 11:54, par Kevin

compliance vs. sécurité.

Oui, mais cela fait depuis l'été dernier que l'on sait que la sécurité est un échec. Pour faire une analogie ALC qui n'implique pas d'automobiles, je dirais qu'on peut comparer la sécurité informatique à la lutte anti incendie dans les locaux. Certains ont un besoin impérieux d'avoir des règles extrêmement strictes (seveso, tout ça) ou des audits permanents et réguliers sont nécessaires (et la sensibilisation des utilisateurs etc..).
Le reste des structures met un extincteur dans un coin, vérifie une fois tout les dix ans que l'issue de secours fonctionne et connaît vaguement le numéro des pompiers. Après, il y a des assurances.

De toute façon tout le monde sait bien qu'avec un temps suffisamment long et un attaquant suffisamment motivé, les défenses ne tiendront pas. Il suffit donc d'optimiser l'argent dépensé dans la sécurité informatique pour obtenir un niveau de sécurité "suffisant". Le "suffisant" etant une notion flottante, il suffit de chercher à "complier" à une norme. C'était l'année dernière ou des sociétés américaines s'étaient fait voler des numéros de CB de clients. Réponse: on est PCI-DSS. Les assurances nous couvrirons. (et ce même si les failles étaient triviales!). La compliance sauve.

Petite anecdote: j'ai fait une présentation à l'OSSIR sur le chiffrement de disque. A la question: "comment se prémunir contre Evil Maid", j'ai entendu: "ce risque est mineur" et "je chiffre car c'est un politique d'entreprise". On "complie" à la politique d'entreprise même si on sait que c'est loin d'être suffisant. Un pentester pourrait faire exploser ce schéma de sécurité, mais le statu quo est "just good enough".

Lorsque Shneier a dit que la sécurité n'est pas un but, mais un processus, les financiers ont compris qu'il s'agissait d'un puit financier sans fond, et donc dans lequel il ne faut pas tomber. Moralité une fois de plus: restez compliant, et ça suffira.
Pour être compliant, il suffit (entre autre) de faire un ou deux pentest, et c'est tout. A la manière des pots de crème solaire qui disent "testé par un laboratoire pharmaceutique", on aura le software soft.com "testé par un laboratoire de pentest". Le résultat des tests? Qui cela intéresse? Surtout que le produit ne sera jamais sûr. Quel architecte sécurité oserait prétendre que sa solution est 100% secure et s'engagerait dessus? (à part des éditeurs d'antivirus, hem, bref)

Alors bon, pour revenir à mon analogie, si ce ne sont quelques sociétés très pointues, qui ont un besoin impérieux de sécurité informatique, le reste vogue bien avec quelques trous plus ou moins gros qui intéressent finalement assez peu de monde. Le pentest, c'est comme l'exercice annuel d'alerte au feu: c'est (vaguement) obligatoire, c'est pénible, les rapports finissent dans une armoire, la majorité des gens pensent que ça ne sert à rien, et l'organisateur de l'exercice ne gagne finalement rien: si ça marche, bah wala, si ça échoue c'est lui le premier responsable. Le but c'est d'avoir un joli rapport avec une jolie couverture lorsque les CHSCT passent.

A mon humble avis personnel, le pentest sert au mieux d'assurance qualité pour être sûr qu'un zozo de 4 ans ne pourra pas percer l'appli avec un tool automatique.

Réponse de Sid

L'échec de la sécurité, c'est Copyright © 2008 Newsoft. C'est pour ça que je m'en tiens à l'échec du pentest, dans l'optique de l'évaluation de sécurité.

Ce qui n'enlève rien à la qualité ~~du troll~~ des commentaires.

26. Le mercredi 21 juillet 2010 à 12:39, par Vincent

@sloshy: Quel était le nom de l'intervenant ?

27. Le mercredi 21 juillet 2010 à 20:22, par bartavelle

Mais le pentest ça ne sert pas à sécuriser un SI !

Réponse de Sid

Quelqu'un à dit ça ?!

28. Le mercredi 21 juillet 2010 à 22:13, par 0x

@Kevin Je plussois, très pertinentes remarques IMHO... Un petit commentaire peut-être sur une limite à l'analogie que tu emploies sur la lutte anti-incendie : à la différence de ce que nous vivons en sécurité informatique, le moindre guignol du coin n'a pas à sa disposition une escadrille de chasseurs-bombardiers remplis jusqu'à la gueule de munitions incendiaires. De même, il n'y a pas constamment à toutes les ouvertures des bâtiments 10.000 ninjas qui n'ont qu'une envie : foutre le feu à tes locaux, piquer les stocks et lâchement égorger le pauvre veilleur de nuit qui passait par là.

Donc oui, je suis d'accord avec toi sur l'idée selon laquelle à l'heure actuelle, l'importance de la sécurité informatique est, dans l'esprit du décideur moyen, à l'image de la lutte anti-incendie : le rapport d'audit décennal fait à peine joli, c'est chiant, et les grosses emmerdes n'arrivent qu'aux autres. Mais :

1 - C'est intrinsèquement faux (mon petit commentaire sur les limites de l'analogie) ;

2 - Il est de la responsabilité même des spécialistes de la sécurité informatique de faire toucher du doigt la mauvaise foi qu'il y a chez le détracteur moyen (aka directeur financier) lorsqu'il dit : "bouarf de toutes façons, un attaquant suffisamment motivé et disposant de suffisamment de temps finira toujours par passer". Car, comme le disait Keynes : "A long terme, nous sommes tous morts".

29. Le jeudi 22 juillet 2010 à 07:43, par bartavelle

J'ai l'impression que ça transparait dans plusieurs posts, mais peut être que c'est juste que je ne suis pas réveillé.

Réponse de Sid

Je pense que c'est juste le sujet initial ~~du troll~~ de la réflexion qui s'est élargi à la sécurité en général.

30. Le jeudi 22 juillet 2010 à 10:29, par Yan

Quand on voit de grosses sociétés laisser ça depuis des années... on se dit qu'au final, pour commencer si bas (dumper du texte dans les binaires à la recherche de choses interessantes), l'experience du pentesteur n'est finalement pas toujours si primordiale hélas...

31. Le jeudi 22 juillet 2010 à 16:53, par TT

@sloshy et/ou SID

Vous parliez des écoles qui déclarent ouvertement proposer des formations aux "pentests", je ne crois pas en effet qu'à l'heure actuelle les écoles osent présenter le contenue de leur formation de cette façon.
Je citerai juste une école de type ENSI, dont la thématique est "Maîtrise des Risques", qui propose un enseignement orienté sécurité des systèmes d'information : L'enjeu de cette option est de former des experts capables d'analyser, d'auditer et de protéger les systèmes informatiques.
Vous pouvez l'interpréter comme vous voulez, mais on doit certainement parler de pentest là....

32. Le jeudi 22 juillet 2010 à 20:21, par sloshy

@Vincent: c'est important? je suppose qu'il n'est pas le seule à le faire dans ce domaine.

Quand à la fin de la conférence j'ai demandé ce qu'il faisait de toutes les contres mesures possibles envers les tests à distance avec des exemples, j'ai juste eu droit à une explication me disant que c'est envisageable, que la société ne fait rien contre ça mais que ce n'est pas son but, il y a tellement de parc non à jours et infecté par des trucs plus banals que c'est loin d'être à l'ordre du jour.
Je n'ai pas eu la chance de pouvoir creuser plus la question puisque je n'étais que le petit étudiant et lui le gros professionnel (malgré tout le type était assez sympa, j'ai rien contre lui :p).

33. Le vendredi 23 juillet 2010 à 01:17, par tomtom

@Sloshy: Je doute un peu. Je suis aussi dans cette école. Je ne me souviens pas de cette intervention. C'était quoi son nom ? Ou la boite pour laquelle il intervenait ?

Thomas.

34. Le vendredi 23 juillet 2010 à 02:10, par GNAA

@sloshy: C'est qui "boite bla bla" ? Son pentest ressemble plus à un scan de vulns, ce qui n'a rien à voir.
@Yan: En même temps, il y a de grosses chances que ce système Siemens ait déjà été audité et les vulns remontées. Mais bon, leur préconisation est de ne pas changer les passwords par défaut n'est-ce pas ? ^^

Les boîtes qui font des vrais pentests sont très peu en France. Et le "pentesteur" est multi-compétences, cad qu'il est aussi auditeur sécurité et donc se doit de connaître très bien les systèmes, les réseaux, les applis, les bases de données, les langages de prog, le développement logiciels, l'aspect organisationnel de la sécurité, etc. et avoir l'esprit qui va avec.

Donc une bonne culture générale est la base. Ce n'est pas avec des outils clickodrome de scans utilisés dans certaines sociétées ou des cours de quelques heures à l'école que la transformation sera faite. Les écoles donnent un diplôme et briefent sur certains aspects qui sont bien sûr essentiels, mais c'est tout.
Mais les vrais boîtes de sécu savent trouver la perle rare de chaque école ou promo ;-)

35. Le samedi 24 juillet 2010 à 09:14, par newsoft

Autre pays, même problème ?

http://www.npr.org/templates/story/story.php?storyId=128574055

(Enfin là-bas on cherche des "cyberwarriors", c'est quand même plus classe que des "pentesters" :)

36. Le vendredi 13 août 2010 à 11:33, par Zythom

Pour cause de vacances, j'arrive un peu tard dans le fil de commentaires, mais je me suis toujours demandé pourquoi je rencontre si peu de spécialistes de la sécurité dans l'univers des experts judiciaires. Pourtant, votre savoir faire technique serait très utile à bon nombre d'enquêtes. Et puis, vos rapports seraient lus à la loupe par toutes les parties :))

Réponse de Sid

C'est effectivement chose étonnante. Car on aimerait imaginer qu'une personne dont les rapports vont influencer l'issu d'une action juridique, qui impacte souvent la vie de quelqu'un, soient a minima reconnus comme experts dans leur domaine...

Maintenant, l'image, que vos écrits redorent de manière admirable, que j'ai de l'activité d'expert judiciaire (puisque ce n'est pas une profession) ne me donne pas envie de m'y lancer. Tant qu'à investir du temps dans une activité qui nécessite du temps, de la préparation, de la paperasse et qui est payée en retard, je préfère aller donner des cours...

Ajouter un commentaire

Les commentaires pour ce billet sont fermés.

Ma petite parcelle d'Internet...