🏭Pentest interne

Le pentest interne consiste à évaluer la sécurité d’un système d’information depuis l’intérieur du réseau : poste compromis, accès VPN légitime, compte utilisateur standard, etc. L’objectif est de simuler ce qu’un attaquant interne ou ayant déjà un premier accès pourrait réaliser : mouvement latéral, élévation de privilèges, accès à l’Active Directory, exfiltration de données sensibles, tout en restant dans un cadre légal et contrôlé (scope et règles définis à l’avance).

Ce type de test permet de mesurer la résilience réelle de l’infrastructure interne, au-delà des simples protections périmétriques (firewall, filtrage externe), et d’identifier les chemins d’attaque exploitables par un adversaire déjà présent dans le réseau.

Méthodologie

Un pentest interne simule un attaquant déjà à l’intérieur du SI (poste compromis, accès VPN volé, employé malveillant, etc.). L’objectif est d’identifier jusqu’où il peut aller : données accessibles, élévation de privilèges, mouvement latéral, compromission de l’AD, etc.

La démarche reste très proche de celle d’un pentest Web, mais appliquée au réseau interne :

1. Préparation & cadrage

• Définition du contexte : attaquant interne, compte utilisateur standard, accès physique, VPN, etc.

• Définition du scope :

  • VLAN / sous-réseaux autorisés

  • AD, serveurs, postes, environnements de test / préprod

• Clarification des règles du jeu :

  • Services critiques à exclure

  • Horaires d’intervention, contacts en cas d’incident

  • Objectifs : compromission AD, accès données sensibles, test de détection, etc.

2. Reconnaissance réseau interne

Correspond à la phase Reconnaissance de la Cyber Kill Chain.

• Découverte des hôtes actifs sur le réseau interne.

• Identification des plages d’adressage, VLAN, routes, éventuels firewalls internes.

• Observation basique du trafic (sans le saturer) pour repérer des services visibles (DNS, AD, DHCP, proxy, etc.).

3. Énumération des services et de l’AD

• Identification des services exposés sur les machines internes :

  • Services réseau (SMB, RDP, SSH, HTTP internes, bases de données, etc.)

• Si Active Directory présent :

  • Énumération des comptes, groupes, GPO, partages, relations de confiance, etc.

  • Compréhension de la structure : domaines, OU, contrôleurs de domaine.

4. Recherche de vulnérabilités et de chemins d’attaque

• Analyse des services :

  • Versions obsolètes, configuration faible, protocoles non chiffrés, partages ouverts, etc.

• Recherche de mauvaises pratiques internes :

  • Mots de passe faibles ou réutilisés

  • Scripts / partages contenant des credentials

  • Postes avec droits excessifs, services tournant avec des comptes trop privilégiés

• Utilisation d’outils d’audit / scanners, mais aussi beaucoup de tests manuels pour enchaîner les petites faiblesses.

5. Exploitation contrôlée & mouvement latéral

Écho aux phases Delivery / Exploitation / Installation / Lateral Movement.

• Validation des vulnérabilités trouvées avec des POC contrôlées (sans dégrader la prod).

• Tentative de mouvement latéral :

  • Rebond d’une machine à l’autre

  • Réutilisation de sessions / credentials

• Tentative d’élévation de privilèges :

  • Sur un poste → admin local

  • Puis éventuellement → comptes à plus hauts privilèges (serveurs, comptes de service, AD).

6. Post-exploitation & impact

• Mesure de l’impact réel :

  • Types de données accessibles (RH, finance, clients, secrets techniques…)

  • Niveau de contrôle obtenu (poste isolé ? serveurs ? AD ?)

• Vérification de ce qui est possible en respectant le cadre :

  • Accès aux partages sensibles

  • Modification de données

  • Déploiement possible de malware / ransomware (simulation uniquement).

7. Nettoyage & rapport

• Suppression des artefacts de test (comptes créés, fichiers temporaires, etc.).

• Rédaction d’un rapport structuré :

  • Chemins d’attaque utilisés (“attack paths”)

  • Vulnérabilités et mauvaises pratiques découvertes

  • Impact métier

  • Recommandations : segmentation, durcissement AD, gestion des comptes à privilèges, durcissement des postes, durcissement des partages, politique de mots de passe, etc.

Phases d'énumération :

La phase d’énumération consiste à cartographier l’environnement ciblé : quelles machines sont présentes, quels services sont exposés, comment le réseau est segmenté, quels pare-feux filtrent quoi, etc. C’est une étape clé, surtout en pentest interne, car elle permet de passer d’une vision “boîte noire” à une vue structurée du réseau et des cibles potentielles.

L’énumération s’appuie à la fois sur des scans actifs (Nmap, netdiscover…) et sur des requêtes d’information (DNS, ARP, traceroute…), éventuellement complétés par de la capture de trafic.

Outils et commandes couramment utilisés

1. Découverte d’hôtes avec Nmap

• Scan de découverte sur un réseau /24 :

nmap -sn 192.168.1.0/24
# (ancien équivalent : nmap -sP 192.168.1.0/24)

• Scan d’une plage d’adresses :

nmap -sn 10.0.0.1-2
nmap -sn 10.0.0.253-254

• Options utiles :

-sP   # ancien alias pour le ping scan (host discovery)
-sn   # ne fait que de la découverte d’hôtes (sans scan de ports)
-Pn   # ne ping pas la cible, considère les hôtes comme "up"

-Pn est utile quand les ICMP sont filtrés, mais on veut quand même tenter un scan des ports.

2. Scans de ports (TCP / UDP)

Une fois les hôtes identifiés, on peut approfondir :

• SYN scan (rapide, discret, souvent le défaut en root) :

nmap -sS 192.168.1.10

• Connect scan (utilise connect() classique, plus visible) :

nmap -sT 192.168.1.10

• UDP scan (plus lent, mais utile pour DNS, SNMP…) :

nmap -sU 192.168.1.10

• Traceroute et sortie complète :

nmap 192.168.1.10 --traceroute -oA scan_reseau

(-oA enregistre les résultats dans plusieurs formats : normal, XML, grepable.)

3. Découverte ARP : netdiscover

Sur un réseau local (LAN), netdiscover utilise des requêtes ARP pour lister rapidement les machines actives :

netdiscover

Pratique pour voir qui est présent sur un segment sans lancer un gros Nmap au début.

4. Résolution de noms : nslookup et dig

Pour comprendre la résolution DNS et les noms associés aux IP :

nslookup exemple.local

dig exemple.com

Permet de faire le lien entre nom de machine / service et adresse IP, utile en interne (AD, serveurs, etc.).

5. Capture réseau : tcpdump

tcpdump est l’équivalent en ligne de commande de Wireshark. Il permet d’observer le trafic pendant l’énumération :

tcpdump -i eth0

On peut l’utiliser pour :

• voir les échanges pendant un scan,

• observer le broadcast/ARP,

• repérer des protocoles ou services inattendus.

6. Firewalking (règles de pare-feu)

Le firewalking consiste à déduire les règles de filtrage d’un pare-feu (ports/protocoles autorisés ou bloqués) en jouant sur le TTL et les réponses réseau. Certaines techniques ou scripts s’appuient sur Nmap ou des outils dédiés pour tester quels ports passent un point de filtrage.

7. Interface graphique : Zenmap

Zenmap est l’interface graphique de Nmap. Elle est pratique pour :

• construire des commandes Nmap,

• visualiser les résultats,

• rejouer facilement des profils de scan.