Pentesting d’une entreprise à but non lucratif

Les fiançailles

Le scénario

Organisation à but non lucratif spécialisée dans la fourniture de ressources éducatives aux communautés défavorisées afin de renforcer leurs mesures de cybersécurité internes et externes. L’organisation a récemment mis en œuvre de nouveaux protocoles de sécurité informatique pour protéger son infrastructure numérique et souhaitait en tester l’efficacité. Ils ont donc engagé NextdoorSEC pour effectuer des tests de pénétration externes et internes et évaluer si leurs investissements dans la sécurité informatique avaient donné les résultats escomptés.

L’objectif

Les objectifs des tests de pénétration menés par NextdoorSEC étaient les suivants :

 

Test de pénétration externe :
  • La violation des défenses numériques de l’organisation du point de vue d’une personne extérieure s’apparente à un pirate informatique malveillant qui n’a aucune connaissance préalable de l’organisation.
  • Découvrir et extraire toute information sensible, telle que les identifiants de connexion du personnel, les coordonnées des donateurs et les plans stratégiques.
  • Évaluer la sécurité du réseau sans fil de l’organisation et déterminer s’il peut être exploité de l’extérieur.
Test de pénétration interne :
  • Cibler et compromettre les serveurs sensibles, tels que ceux qui contiennent les bases de données des donateurs, les contenus éducatifs et les dossiers du personnel.
  • Extraire des informations sensibles sans éveiller les soupçons des employés de l’organisation.
  • Emulation d’un scénario de«  menaceinterne  » pour en comprendre l’impact potentiel.

L’approche

NextdoorSEC a utilisé diverses stratégies en recourant à des outils personnalisés et à des outils standard, y compris des techniques de test manuelles et automatisées. Les tests de pénétration ont été réalisés du point de vue d’une« boîte noire« , reflétant des scénarios réels dans lesquels les attaquants ne connaissent pas la cible.

Malgré l’amélioration des mesures de sécurité informatique de l’organisation, le test de pénétration interne a révélé un manque de sécurité interne solide. Le test de pénétration externe s’est concentré sur les domaines et services publics tels que le site web de l’organisation, les services de courrier électronique et les systèmes d’accès à distance, ce qui a permis d’obtenir des résultats intéressants.

Une fois le projet achevé, NextdoorSEC a fourni à l’organisation un rapport complet comprenant un résumé, des conclusions techniques et des recommandations de remédiation.

Résultats

Vulnérabilité de la passerelle de paiement

La passerelle de paiement de l’organisation était susceptible de faire l’objet d’un exploit critique qui permettait aux testeurs d’intercepter et de manipuler les données de transaction.

✅ Fuite excessive d’informations

Divers éléments de la plateforme de commerce électronique ont révélé par inadvertance des informations excessives sur l’infrastructure informatique de l’organisation, ce qui pourrait faciliter les attaques ciblées.

Données clients non sécurisées

Les testeurs de NextdoorSEC ont obtenu un accès illimité à la base de données des clients, mettant en évidence une faille de sécurité majeure qui pourrait permettre à un attaquant malveillant de voler des informations sensibles sur les clients.

Accès de l’administrateur aux serveurs Web

Un accès administrateur complet a été obtenu sur les serveurs web de l’organisation. Un véritable attaquant pourrait prendre le contrôle du site web ou injecter un code malveillant.

Accès administrateur aux systèmes des employés

Un accès administrateur complet a été obtenu sur les systèmes utilisés par le personnel chargé de la gestion de la plateforme de commerce électronique. Cela pourrait permettre à un pirate de manipuler les listes de produits et les prix, voire de détourner des fonds.

Vulnérabilités dans les systèmes de comptes d’utilisateurs

Le système de gestion des comptes d’utilisateurs était défectueux, ce qui permettait potentiellement à un attaquant de détourner ou de créer des comptes fantômes.

Ne laissez pas les cyber-escrocs vous devancer !

Laissez-nous vous aider à sécuriser votre commerce électronique avant qu’ils n’aient une chance de mettre leurs petites mains sales de pirates informatiques dessus.

CONTACTEZ-NOUS

La parole est à la rue

Nous ne sommes pas une entreprise de sécurité ordinaire. Nous avons acquis la réputation de fournir des solutions sur mesure aux entreprises de toutes tailles. Qu'il s'agisse d'une petite boutique ou d'une entreprise technologique, notre expertise garantit la sécurité de vos données. Nos clients apprécient notre approche personnalisée et notre engagement à la transparence. Rejoignez la famille Nextdoorsec et soyez tranquille en sachant que votre sécurité est entre de bonnes mains.

Nextdoorsec est une société de sécurité exceptionnelle qui fournit des rapports complets et détaillés faciles à comprendre. Leur équipe est très compétente et réactive, toujours prête à répondre aux questions et à fournir des conseils sur la manière de traiter correctement les vulnérabilités en matière de sécurité, conformément aux meilleures pratiques de l'industrie. Avec l'aide de Nextdoorsec, nous avons été en mesure d'identifier et de combler des lacunes de sécurité précédemment non détectées dans nos systèmes, ce qui nous a donné une plus grande confiance dans notre posture de sécurité globale. Nous recommandons vivement Nextdoorsec à toute organisation cherchant à améliorer sa posture de sécurité et à protéger ses actifs précieux.

Pieter van der Meer
Architecte de l'informatique en nuage

Nextdoorsec a fourni à notre organisation des services de sécurité de premier ordre. Leur équipe a été incroyablement minutieuse et professionnelle, et leur niveau de communication a été exceptionnel. Ils nous ont tenus informés à chaque étape du processus et ont toujours été disponibles pour répondre à nos questions. Nous avons été particulièrement impressionnés par leur engagement en matière de transparence et par leur capacité à fournir des recommandations concrètes pour améliorer notre niveau de sécurité. Nous recommandons vivement Nextdoorsec à toute organisation cherchant à renforcer sa sécurité et à protéger ses biens précieux.

Lars Jansen
CTO

Nous contacter

+32 33 320 029

info[at]nextdoorsec.com

Anvers, Belgique

Commencez

Êtes-vous prêt à renforcer vos cyberdéfenses et à atteindre de nouveaux sommets dans le monde numérique ?

Prendre un rendez-vous