Rapport de pentest

# Rapport de pentest #### ESTIAM 2021-2022 ###### `Cybersecurity GDPR` ##### HANGAMALONGO MAPAGA Marlyse S. M ## Plan 1- Contexte et périmètre 2- Conditions du test 3- Méthodologie 4- Axes d'évaluation 5- Résultats 6- Préconisations et Conclusion ## 1- Contexte et périmètre Mon test est essentiellement de l'ingénieurie sociale. Il existe différents types d’attaques d’ingénierie sociale, c'est la raison pour laquelle j'ai utilisé l'hameçonnage ou phishing . Mon objectif principal est d'obtenir les identifiants d'un utilisateur LinkedIn sur mon réseau. Je simule donc une PME et j'adresse ce rapport au gérant de la structure. Tout le test se déroule sur l'interface eth0. ## 2- Conditions du test il s'agit d'un test interne, avec accord du gérant. ## 3- Méthodologie Mon Os c'est Kali linux la distribution vue au cours et l'outil Social engineering Toolkits et j'utilise aussi Nmap. J'ai suivi les étapes suivantes : : * Prise d’informations sur la cible par lancement du scan avec nmap ![](https://i.imgur.com/YGm4ne9.png) * Création d’une copie de la page de connexion de LinkedIn * Choix de Web Vector Attacks ![](https://i.imgur.com/LNDMjIp.png) * Choix de Credential Harvester Attack method ![](https://i.imgur.com/9Q0o26A.png) * J'ajoute l’addresse du site à cloner : www.linkedin.com et Je configure le faux linkedin à l’adresse 10.0.2.15 que j'envoie par mail à un utilisateur. Je vois en clair les données saisie dans le faux formulaire LinkedIn ![](https://i.imgur.com/v86QYek.png) * Voici le faux site linkedin ![](https://i.imgur.com/TJwYrv3.png) * Et hop j’ai récupéré les identifiants grâce à l'outil SET. On voit bien le mail entré et le mot de passe. ![](https://i.imgur.com/HDdejAr.png) ### 4- Axes d'évaluation * Severité * Niveau de correction * Niveau de priorité ### 5- Résultats Les résultats de mon phishing sont les suivants. NB : ces résultats n'affichent pas le scan complet des vunérabilité car il n'a pas marché comme il faut chez moi. | Severité | Qte | Correction | Qte | Priorité | Qte | | -------- |:--- | ---------- | --- | -------- | --- | | Intolérable| - | - | - | - | | |Substantielle| 1 |Complexe| - |Urgent| 1 | |Modérée| - |Modérée| 1 |Standard| - | |Acceptable| - |Facile|- |Bas| - | ### 6- Synthèse et préconisations ==Préconisations== Pour éviter de se faire avoir par du Social engineering Toolkit je préconise au gérant et à son équipe les éléments suivants : - Sensibilisation et formation pour protéger votre organisation de l’hameçonnage - Ne vous connectez jamais ailleurs que sur le site internet de votre véritable administration, institution, organisation…; - Observez bien l’URL du lien, toute faute d’orthographe ou irrégularité doit attirer votre attention ; - Vérifiez que le site est sécurisé : un cadenas doit être présent dans l’URL et l’adresse du site doit commencer par HTTPS (et non HTTP) ; - Évitez d’utiliser le même mot de passe pour différents comptes ==Conclusion== Lors de mon pentest j'ai réussi, à l'aide d'une copie de la page de connexion de LinkedIn, à obtenir les informations personnelles d'un utilisateur. Pour éviter ce genre d'attaques, il faudrait acquérir une culture de la cybersécurité doit donc être une priorité pour les organisations.Il est donc essentiel que chaque utilisateur soit sensibilisé à ce fléau et formé pour savoir comment se protéger du social engeneering.