Test d’intrusion BRUTE FORCE

# Test d’intrusion BRUTE FORCE --- Réalisé par: ***Hamza ELBORJENI Saif Eddine GADRI*** ---- # 1. Introduction **1.1 Rappel du périmètre** Le test d’intrusion a porté sur le périmètre suivant : **Périmètre :** * Boite mail (Gmail, Yahoo,Outlook,...etc) Les comptes mails sont très intéressant pour les cybercriminels puisqu’ils peuvent être utilisés pour spammer depuis un serveur “sain”, c’est à dire n’étant pas blacklisté. Sachant que les comptes postmaster ou webmaster sont très courants, ils peuvent faire l’objet d’attaque par brute-force sur le SMTP. Si l’attaquant parvient à casser le mot de passe, il est alors possible d’envoyer des mails de SPAM depuis cette adresse. **1.2. Présentation des échelles utilisées** L’échelle de risque est classée selon 4 niveaux ![](https://i.imgur.com/8kgzDa5.png) Le niveau de risque d’une vulnérabilité est calculé est fonction de deux valeurs, sa facilité d’exploitation : ![](https://i.imgur.com/q1wBs5E.png) Ainsi que l’impact technique CVSS de la vulnérabilité ![](https://i.imgur.com/gSsc4YT.png) # 2. Synthèse du test d’intrusion **2.1. Bilan de l’audit** Le test d’intrusion a permis d’identifier plusieurs vulnérabilités sur le périmètre cible, le diagramme ci-dessous représente la répartition en termes de gravité technique : ![](https://i.imgur.com/4xKpVPb.png) Les vulnérabilités de gravité forte et critique constituent la principale source de menace envers le SI, celles-ci permettent à un attaquant de Compromettre rapidement et facilement l’organisation Les vulnérabilités moyennes et faibles sont principalement des vulnérabilités liées à un non-respect des bonnes pratiques de configuration et sécurité pouvant amener (mise bout à bout) une compromission du SI Enfin, le diagramme ci-dessous présente les impacts “business” sur l’organisation, la moyenne se trouve entre 0 et 10 qui est un score 6 ![](https://i.imgur.com/H1bK717.png) Le système d’information possède un score de risque de 60 % ![](https://i.imgur.com/wo6l8iy.png) **2.2. Synthèse des vulnérabilités** ![](https://i.imgur.com/C6fR72d.png) **2.3 Preuves** Les images suivantes apportent en guise de preuve l’atteinte des objectifs de l’attaquant ![](https://i.imgur.com/R1CZnH9.png) ![](https://i.imgur.com/LEqKSjQ.png) ![](https://i.imgur.com/WStvMkB.png) ![](https://i.imgur.com/G6fNPeP.png) ![](https://i.imgur.com/Xb8L6T7.png) ![](https://i.imgur.com/0GjWkcL.png) ![](https://i.imgur.com/lIAgc7G.png) ![](https://i.imgur.com/qbMqcXW.png) ![](https://i.imgur.com/iN8KNYI.png) ![](https://i.imgur.com/15RAq64.png) # 3. Vulnérabilités identifiées **3.1 Mot de passe pas assez complexe** * Les mots de passe forts empêchent des personnes non autorisées d’accéder aux programmes, aux fichiers et à d’autres ressources. Ils doivent être difficiles à deviner ou à déchiffrer. Un bon mot de passe : • Comporte au moins huit caractères ...✅ • Ne comporte pas votre nom d’utilisateur …...........❌ • Votre vrai nom ou le nom de votre entreprise......❌ • Ne contient pas de mot complet................................❌ • Contient des lettres majuscules …..............................❌ • Contient des lettres minuscules …..............................✅ • Contient des chiffres........................................................✅ • Contient des symboles …...............................................❌ **3.2. Absence de l’authentification à double facteur (A2F)** * La double authentification permet d'assurer l'authenticité de la personne derrière un compte en autorisant seulement l'authentification à ce dernier après avoir présenté deux preuves d'identité distinctes. * En général, un code à usage unique doit être renseigné en plus du mot de passe habituel de l'utilisateur. S'il n'est pas correct, l'authentification échoue même si le mot de passe renseigné correspond à celui relié au compte. ![](https://i.imgur.com/IiWzRlZ.png)