Matasano sur les outils de PenTest
Thomas Ptacek vient de rédiger un rapide tour d'horizon des différents outils de test de pénétration (http://www.matasano.com/log/714/on-the-different-types-of-penetration-tests/) : Web, logiciels du commerce, réseau, l'interprétation et l'usage de cette méthode agressive est à la sécurité de que la langue était à Esope : la meilleure et la pire des choses. Souvent considéré comme un outil d'attaque brutale, servant les intérêts et le discours sur-vendeur des officines de sécurité peu scrupuleuses, le Pentest est également une méthode capable de révéler les failles transversale là ou l'approche analytique segment par segment n'a rien pu découvrir. Une vérité d'autant plus facile à vérifier que le réseau et l'infrastructure informatique sont complexes. Mais tout n'est pas si simple. Si le « pentest produit » est du ressort de l'éditeur, l'audit actif d'un réseau ou d'un site Internet sont très différents l'un de l'autre, et exigent des compétences très particulières, explique Ptacek. Cela confine presque au « don » semble-t-il estimer. Reste ensuite à savoir analyser le résultat de ces Pentest. C'est là le travail du risque manager, dont le rôle est précisément de fixer les limites du « patch nécessaire » et de la « rustine inutile ou dispendieuse ».
