Les Essentiels du Piratage Informatique

Par Adidas Wilson

Le Guide du débutant à la piraterie informatique éthique et le test de pénétration. À l'origine, le terme "hacker" désignait un programmeur qui maîtrisait les systèmes d'exploitation informatiques et le code machine. Aujourd'hui, il s'agit de toute personne qui pratique des activités de piratage informatique. Le piratage est l'acte de changer les caractéristiques d'un système pour atteindre un but qui l'est.

À l'origine, le terme "hacker" désignait un programmeur qui maîtrisait les systèmes d'exploitation informatiques et le code machine. Aujourd'hui, il s'agit de toute personne qui pratique des activités de piratage informatique. Le piratage est l'acte de modifier les caractéristiques d'un système pour atteindre un but qui n'est pas dans le but original du créateur. Le mot "piratage" est généralement perçu négativement, surtout par les personnes qui ne comprennent pas le travail d'un pirate éthique. Dans le monde du hacking, les hackers éthiques sont des gentils. Quel est leur rôle ? Ils utilisent leur vaste connaissance des ordinateurs pour de bonnes raisons plutôt que pour des raisons malveillantes. Ils recherchent les vulnérabilités dans la sécurité informatique des organisations et des entreprises pour empêcher les mauvais acteurs d'en profiter. Pour quelqu'un qui aime le monde de la technologie et des ordinateurs, il serait sage d'envisager une carrière de piratage éthique. Vous êtes payé (un bon montant) pour pénétrer dans les systèmes. Le début ne sera pas une promenade dans le parc, comme pour toute autre carrière. Cependant, si vous êtes déterminé, vous pouvez vous lancer dans une carrière lucrative. Lorsque vous déciderez de commencer ce voyage, vous devrez cultiver la patience. La première étape pour beaucoup de gens est habituellement d'obtenir un diplôme en informatique. Vous pouvez également obtenir une certification A+ (CompTIA) - vous devez passer et réussir deux examens différents. Pour pouvoir passer l'examen de qualification, vous devez avoir au moins 500 heures d'expérience en informatique pratique. De l'expérience est requise et une qualification CCNA ou Network+ est requise pour faire progresser votre carrière. Ce livre devrait vous servir de point de départ dans le monde du piratage éthique.

• Langue: Français
• Éditeur: Adidas Wilson
• Date de sortie: 15 juil. 2019
• ISBN: 9781071500026

Aperçu du livre

Traduit de l’Anglais Américain par Roger Fassinou

––––––––

Tous droits réservés. Aucune partie de cet ouvrage ne peut être reproduite, distribuée ou transmise sous quelque forme ou par quelque moyen que ce soit, y compris par photocopie, enregistrement ou toute autre méthode électronique ou mécanique, sans l'autorisation écrite préalable de l'éditeur, sauf dans le cas de brèves citations dans les revues critiques et dans certaines autres utilisations non commerciales autorisées par le droit d'auteur. Pour les demandes d'autorisation, écrire à l'éditeur à l'adresse ci-dessous, en mentionnant « Attention: Coordonnateur des autorisations ».

Adidas Wilson

P.O. Box 2262

Antioch, Tn. 37011

siriusvisionstudios@gmail.com

www.adidaswilson.com

Dégagement de responsabilité

L'auteur s'est efforcé de garantir l'exactitude des informations contenues dans ce livre au moment de sa publication. L’auteur n’assume aucune responsabilité vis-à-vis de quelque partie que ce soit, et ce, pour toute perte, dommage ou perturbation causée par des erreurs ou des omissions, ou que ces erreurs ou omissions résultent d’un accident, d’une négligence ou de toute autre cause.

Table des matières

Introduction

Ch. 1 - Attaques par hameçonnage 

Ch. 2 - Menace persistante avancée (APT)

Ch. 3 - Tests de pénétration

Ch. 4 - Contre-Piratage: Sauveur ou Vigile?

Ch. 5 - Piratage Ethique

Ch. 6 - Etapes suivies par les pirates pour mener à bien une cyber-attaque

Ch. 7 - Réponse aux incidents

Ch. 8 - DNSSEC

Ch. 9 – Attaques réfléchies de type Cross Site Scripting (XSS)

Ch. 10 - Détection de l’intrusion et prévention de l’intrusion

Ch. 11 - Ping Sweep

Ch. 12 - Détournement de Clics

Ch. 13 - Ingénierie Sociale

Ch. 14 - Standard de sécurité des données pour l'industrie des cartes de paiement (PCI DSS)

Ch. 15 - Attaques par porte dérobée

Ch. 16 - OSI / CEI 27001

Ch. 17 - Types de programmes malveillants

Ch. 18 - Sécurité de l'internet des objets

Ch. 19 - Détournement de Serveur de noms de domaine (DNS)

Ch. 20 - Attaque par falsification de requête inter-sites (CSRF)

Ch. 21 - Injection Langage de Requête Structurée (SQL)

Ch. 22 – Usurpation de serveur de nom de domaine

Ch. 23 - Outils de piratage éthique

Ch. 24 – Extraction de données web

Ch. 25 - Attaque de l'homme intermédiaire (MITM)

Ch. 26 - Harponnage

Ch. 27 - Outil de dissimulation d'activité

Ch. 28 - Inclusion de fichier à distance (RFI)

Ch. 29 - Publicité malicieuse

Ch. 30 - Évaluation de vulnérabilité

Ch. 31 - Menaces immédiates

Ch. 32 - Gestion de la vulnérabilité

Ch. 33 - Sécurité des applications Web

Conclusion

Introduction

Un moyen efficace de sécuriser votre infrastructure informatique, vos services et vos applications consiste à demander à un pirate éthique à chapeau blanc de le pirater. Que cela vous plaise ou non, les pirates informatiques pénétreront dans votre système, il vous sera donc bénéfique de maitriser le processus afin de fermer toutes les portes entrées. Malheureusement, de nombreuses entreprises ne disposent pas suffisamment de ressources pour effectuer des tests d'intrusion. La sous-traitance apparaît comme une excellente option pour les petites entreprises qui ont besoin de ce type de service à un prix bas. Vous pouvez obtenir le talent dont vous avez besoin au bon moment et à un prix abordable. Si vous ne connaissez pas personnellement les acteurs du processus, vous risquez d'avoir quelqu'un qui n'a pas l'expérience requise ou qui ne fera pas le travail correctement. Le plus gros risque est qu'ils vont conserver les informations collectées et les utiliser plus tard. Heureusement, il existe des entreprises de confiance qui agissent en tant qu'intermédiaire entre vous et les pirates. Ils vous mettent en contact avec un pirate informatique qualifié et approuvé, et offre une plateforme et des programmes, moyennant un supplément de charge. Parmi ces sociétés de sous-traitance les plus importantes et les plus courantes, on trouve HackerOne, Bugcrowd, et Synack. Ces entreprises, et d'autres similaires, offrent trois services principaux:

Programmes de primes et rémunérés

Tests de pénétration

Divulgation de vulnérabilités

La divulgation des vulnérabilités implique que le client crée et publie un programme de divulgation des vulnérabilités. Il définit comment et où les pirates peuvent contacter l'intermédiaire ou le client pour rapporter des failles récemment découvertes. Sont inclus les attentes et les responsabilités du pirate informatique, de l’intermédiaire et du client. On connait des pirates informatiques qui ont divulgué de manière irresponsable leurs découvertes au public sans avoir donné au requérant une chance de corriger les vulnérabilités. Cependant, ils ont agi ainsi parce qu’ils étaient frustrés par la réaction déraisonnable de la société. Les tests de pénétration sont le type de service qui génère le plus de revenus pour les entreprises de sous-traitance. Ces entreprises connectent un client avec un groupe de hackers hautement qualifiés à un prix donné pour un travail spécifique. La plupart des pirates informatiques qui travaillent avec ces entreprises le font à temps partiel - peu d'entre eux le font à temps plein. La quantité d'argent qu'un pirate informatique sous-traité peut gagner sur un seul contrat de travail dépend du type de travail pour lequel il a été sélectionné, de son expérience et de ses compétences. Certains pirates le font volontairement pour sécuriser les ressources gouvernementales de leur pays tandis que d'autres donnent leurs gains à des œuvres caritatives. Les sociétés de programmes de primes peuvent vous faire économiser beaucoup d'argent et de temps. Toutes les failles signalées par les pirates informatiques ne sont pas facilement reproductibles et ne constituent pas souvent une menace pour la sécurité. Les vendeurs de programmes de primes vous indiquent parmi les failles signalées, celles que vous devez corriger. Leur travail consiste à déterminer les menaces réelles. Peu importe la qualité de votre équipe de sécurité informatique, les entreprises doivent exiger un programme de prime. En fonction de la durée du projet, de l'expérience de travail et du niveau d’expertise des pirates informatiques, cela peut vous coûter entre quelques milliers de dollars et des dizaines de milliers de dollars. Déterminez votre budget et le type de services que vous souhaitez accomplir. Si vous êtes certain que la sous-traitance est nécessaire, parlez-en à une entreprise qui gérera le processus pour vous et éliminera une grande partie des risques.

Chapitre 1

Attaques par hameçonnage

L'hameçonnage est une attaque d'ingénierie sociale. Dans la plupart des cas, il est utilisé pour accéder à et voler des données d'utilisateur telles que les numéros de carte de crédit et les identifiants de connexion. Ce type d'attaque se produit lorsqu'un intrus se fait passer pour une personne de confiance et trompe la victime en lui envoyant un message texte, un message instantané ou un courriel. Ensuite, la victime est dupée en cliquant sur un lien qui permet à l'attaquant de geler le système ou d'installer un virus. Ce genre