{"id":1138,"date":"2023-02-09T23:29:04","date_gmt":"2023-02-09T23:29:04","guid":{"rendered":"https:\/\/cycuri.com\/?p=1138"},"modified":"2023-02-09T23:31:50","modified_gmt":"2023-02-09T23:31:50","slug":"le-test-en-boite-noire-et-son-role-dans-la-securite-des-applications","status":"publish","type":"post","link":"https:\/\/cycuri.com\/le-test-en-boite-noire-et-son-role-dans-la-securite-des-applications\/","title":{"rendered":"Le test en bo\u00eete noire et son r\u00f4le dans la s\u00e9curit\u00e9 des applications"},"content":{"rendered":"<div style=\"margin-top: 0px; margin-bottom: 0px;\" class=\"sharethis-inline-share-buttons\" ><\/div>\n<p>Le test en bo\u00eete noire est une pratique cl\u00e9 dans les tests de logiciels et de s\u00e9curit\u00e9, utilis\u00e9s non seulement pour v\u00e9rifier qu&rsquo;une application fonctionne comme pr\u00e9vu, mais \u00e9galement pour limiter la surface d&rsquo;attaque expos\u00e9e aux acteurs malveillants. D\u00e9couvrez pourquoi la combinaison de tests manuels en bo\u00eete noire avec des outils DAST automatis\u00e9s est le moyen le plus efficace de garantir la s\u00e9curit\u00e9 des applications.<\/p>\n\n\n\n<p>Restez \u00e0 jour sur les tendances de la s\u00e9curit\u00e9 Web<\/p>\n\n\n\n<p>Vos informations resteront <a href=\"https:\/\/www-invicti-com.translate.goog\/privacy-policy\/?_x_tr_sl=auto&amp;_x_tr_tl=fr&amp;_x_tr_hl=fr\" target=\"_blank\" rel=\"noreferrer noopener\">priv\u00e9es<\/a> .<img fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/cdn.invicti.com\/app\/uploads\/2022\/06\/28120437\/NS-28-Blog-Image-768x403.png\" alt=\"Le test bo\u00eete noire et son r\u00f4le dans la s\u00e9curit\u00e9 des applications\" srcset=\"https:\/\/translate.google.com\/website?sl=auto&amp;tl=fr&amp;hl=fr&amp;u=https:\/\/cdn.invicti.com\/app\/uploads\/2022\/06\/28120437\/NS-28-Blog-Image-768x403.png 768w,https:\/\/translate.google.com\/website?sl=auto&amp;tl=fr&amp;hl=fr&amp;u=https:\/\/cdn.invicti.com\/app\/uploads\/2022\/06\/28120437\/NS-28-Blog-Image-300x158.png 300w,https:\/\/translate.google.com\/website?sl=auto&amp;tl=fr&amp;hl=fr&amp;u=https:\/\/cdn.invicti.com\/app\/uploads\/2022\/06\/28120437\/NS-28-Blog-Image-1024x538.png 1024w,https:\/\/translate.google.com\/website?sl=auto&amp;tl=fr&amp;hl=fr&amp;u=https:\/\/cdn.invicti.com\/app\/uploads\/2022\/06\/28120437\/NS-28-Blog-Image.png 1200w\" width=\"768\" height=\"403\"><\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>Points cl\u00e9s \u00e0 retenir<\/strong><\/p>\n\n\n\n<ul>\n<li>Les tests de s\u00e9curit\u00e9 en bo\u00eete noire valident le comportement d&rsquo;une application et v\u00e9rifient qu&rsquo;elle ne donne pas involontairement des points d&rsquo;entr\u00e9e \u00e0 des pirates malveillants.<\/li>\n\n\n\n<li>Il s&rsquo;appuie sur le test de l&rsquo;application sans conna\u00eetre son fonctionnement interne, imitant ainsi les actions des utilisateurs l\u00e9gitimes et des mauvais acteurs.<\/li>\n\n\n\n<li>Lorsqu&rsquo;il est combin\u00e9 avec DAST, le test manuel de la bo\u00eete noire pour les vuln\u00e9rabilit\u00e9s est un moyen efficace de s\u00e9curiser les applications Web contre de nombreuses menaces.<\/li>\n<\/ul>\n<\/blockquote>\n\n\n\n<p>Le test de la bo\u00eete noire est une m\u00e9thodologie de test bien \u00e9tablie utilis\u00e9e par les \u00e9quipes informatiques pour v\u00e9rifier qu&rsquo;une application fonctionne comme elle est cens\u00e9e le faire, sans aucune connaissance de son code source ou des d\u00e9tails de sa configuration. De cette fa\u00e7on, l&rsquo;application elle-m\u00eame est la bo\u00eete noire, avec des testeurs fouillant dans l&rsquo;inconnu. Les tests de bo\u00eete noire jouent \u00e9galement un r\u00f4le de premier plan dans l&rsquo;identification des probl\u00e8mes de s\u00e9curit\u00e9.&nbsp;<\/p>\n\n\n\n<p>Pour effectuer des tests en bo\u00eete noire, une \u00e9quipe de test \u00e9tudie d&rsquo;abord les exigences et les documents de conception d&rsquo;une application, puis cr\u00e9e une s\u00e9rie de tests pour s&rsquo;assurer que l&rsquo;application est conforme. Supposons qu&rsquo;une application bancaire en ligne soit con\u00e7ue pour \u00e9mettre un avertissement \u00e0 un titulaire de compte lorsqu&rsquo;une transaction par carte de d\u00e9bit est effectu\u00e9e au-del\u00e0 d&rsquo;une limite pr\u00e9d\u00e9finie. Les testeurs de la bo\u00eete noire \u00e9criraient un test pour cr\u00e9er une transaction qui d\u00e9passe la limite, puis v\u00e9rifieraient qu&rsquo;une alerte est envoy\u00e9e au titulaire du compte communiquant les informations correctes.&nbsp;<\/p>\n\n\n\n<p>Des milliers de sc\u00e9narios de ce type sont \u00e9crits et ex\u00e9cut\u00e9s pour tester des applications complexes. Un bon test de bo\u00eete noire utilise des donn\u00e9es valides pour \u00e9valuer chaque action et option attendues sur l&rsquo;\u00e9cran d&rsquo;un utilisateur, et v\u00e9rifie soigneusement les r\u00e9sultats attendus. Ce type de test bo\u00eete noire est connu sous le nom de test positif.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Test en bo\u00eete noire pour la s\u00e9curit\u00e9<\/strong><\/h2>\n\n\n\n<p>Mais que se passe-t-il lorsqu&rsquo;une application rencontre des donn\u00e9es non valides ou une situation inattendue\u00a0? En utilisant notre exemple d&rsquo;application bancaire, que se passe-t-il si un client entre une transaction de d\u00e9bit pour 0,00\u00a0\u20ac\u00a0? Les testeurs voudront voir si l&rsquo;application sait comment g\u00e9rer la situation et quel type de condition d&rsquo;erreur en r\u00e9sulte. Par exemple, l&rsquo;application va-t-elle planter\u00a0? Entrez les tests n\u00e9gatifs.<\/p>\n\n\n\n<p>Les tests n\u00e9gatifs sont particuli\u00e8rement utiles \u00e0 des fins de s\u00e9curit\u00e9, car ils \u00e9mulent la vision d&rsquo;un pirate informatique de l&rsquo;application comme une bo\u00eete noire avec des points d&rsquo;entr\u00e9e vuln\u00e9rables \u00e0 trouver et \u00e0 attaquer. La combinaison des tests manuels de bo\u00eete noire avec les tests dynamiques de s\u00e9curit\u00e9 des applications (DAST) , qui analysent les applications Web en cours d&rsquo;ex\u00e9cution \u00e0 la recherche de vecteurs d&rsquo;attaque, puis ex\u00e9cutent des tests automatis\u00e9s, fournit un outil puissant aux \u00e9quipes informatiques lorsqu&rsquo;elles d\u00e9ploient de nouvelles applications s\u00e9curis\u00e9es et stables. . \u00c9tant donn\u00e9 que les outils DAST peuvent inclure des milliers de contr\u00f4les de s\u00e9curit\u00e9 int\u00e9gr\u00e9s, ils peuvent faire gagner beaucoup de temps par rapport \u00e0 la d\u00e9finition et \u00e0 l&rsquo;ex\u00e9cution de tests purement manuels tout en comblant les lacunes dans les \u00e9tendues de test.<\/p>\n\n\n\n<p>Une partie des tests n\u00e9gatifs consiste \u00e0 s&rsquo;assurer qu&rsquo;en cas de donn\u00e9es invalides, un message d&rsquo;erreur est \u00e9mis qui est utile \u00e0 l&rsquo;utilisateur mais ne trahit rien sur les composants internes de l&rsquo;application, car ces informations peuvent \u00eatre tr\u00e8s utiles aux attaquants.&nbsp;&nbsp;<\/p>\n\n\n\n<p>Les messages d&rsquo;erreur par d\u00e9faut peuvent inclure des traces de pile qui s&rsquo;ex\u00e9cutent sur des centaines de lignes, r\u00e9sumant le logiciel de la pile qui est actif au moment o\u00f9 l&rsquo;erreur s&rsquo;est produite. Ces informations sont destin\u00e9es \u00e0 \u00eatre une ressource de diagnostic pour aider les d\u00e9veloppeurs \u00e0 localiser et \u00e0 r\u00e9soudre un probl\u00e8me. Par exemple, cet extrait de 135 lignes de donn\u00e9es d&rsquo;erreur d&rsquo;une application Java h\u00e9berg\u00e9e sur un serveur, r\u00e9cemment publi\u00e9 par un universitaire, identifie que le syst\u00e8me s&rsquo;ex\u00e9cute sur Java et utilise le framework Struts ex\u00e9cut\u00e9 dans un conteneur Java EE (\u00e9dition entreprise).<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"1024\" height=\"769\" src=\"https:\/\/cycuri.com\/wp-content\/uploads\/2023\/02\/image-1024x769-1.jpeg\" alt=\"\" class=\"wp-image-1142\" srcset=\"https:\/\/cycuri.com\/wp-content\/uploads\/2023\/02\/image-1024x769-1.jpeg 1024w, https:\/\/cycuri.com\/wp-content\/uploads\/2023\/02\/image-1024x769-1-300x225.jpeg 300w, https:\/\/cycuri.com\/wp-content\/uploads\/2023\/02\/image-1024x769-1-768x577.jpeg 768w, https:\/\/cycuri.com\/wp-content\/uploads\/2023\/02\/image-1024x769-1-770x578.jpeg 770w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Ces d\u00e9tails sont comme une feuille de route pour un pirate, et notez que des messages d&rsquo;erreur aussi \u00e9tendus ne sont pas uniques \u00e0 Java &#8211; le framework .NET de Microsoft peut fournir des informations de pile tout aussi d\u00e9taill\u00e9es. Dans ce cas, l&rsquo;utilisation du framework Struts serait une information particuli\u00e8rement utile. Struts a eu sa part de failles de s\u00e9curit\u00e9 qu&rsquo;un pirate informatique pr\u00e9par\u00e9 peut rechercher et sonder pour voir si une organisation a ignor\u00e9 des correctifs ou des mises \u00e0 jour, facilitant par inadvertance l&rsquo;entr\u00e9e dans son syst\u00e8me.&nbsp;<\/p>\n\n\n\n<p>Ce n&rsquo;est pas qu&rsquo;un exemple vain. Les pratiques de patching laxistes ont \u00e9t\u00e9 la cause d&rsquo;une effraction majeure au bureau de cr\u00e9dit d&rsquo;Equifax en septembre 2017, lorsqu&rsquo;une <a href=\"https:\/\/arstechnica.com\/information-technology\/2017\/10\/a-series-of-delays-and-major-errors-led-to-massive-equifax-breach\" target=\"_blank\" rel=\"noopener\" title=\"\">impl\u00e9mentation Struts non corrig\u00e9e<\/a> a permis une attaque par injection de commande qui a expos\u00e9 les donn\u00e9es de 143 millions de personnes.\u00a0<\/p>\n\n\n\n<p>Poursuivant avec l&rsquo;exemple des messages d&rsquo;erreur trop verbeux, les tests de bo\u00eete noire tentent de v\u00e9rifier que, quelle que soit l&rsquo;erreur, les informations internes sur le syst\u00e8me ne sont pas r\u00e9v\u00e9l\u00e9es. Un message d&rsquo;erreur appropri\u00e9 indiquerait simplement qu&rsquo;une erreur s&rsquo;est produite et qu&rsquo;une action ne peut pas continuer. Il peut \u00e9galement demander \u00e0 l&rsquo;utilisateur de v\u00e9rifier sa demande et de r\u00e9essayer ou de fournir d&rsquo;autres instructions utiles.<\/p>\n\n\n\n<p>Dans ce cas, compl\u00e9ter les tests de bo\u00eete noire avec DAST offrirait deux avantages cl\u00e9s&nbsp;: les tests manuels auraient r\u00e9v\u00e9l\u00e9 que les messages d&rsquo;erreur exposaient des informations cruciales aux attaquants, tandis que DAST aurait identifi\u00e9 l&rsquo;impl\u00e9mentation Struts non corrig\u00e9e.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Tests bo\u00eete noire et SDLC<\/strong><\/h2>\n\n\n\n<p>Les tests d&rsquo;application dans le cycle de vie du d\u00e9veloppement logiciel (SDLC) se divisent en deux cat\u00e9gories g\u00e9n\u00e9rales&nbsp;: les tests en bo\u00eete blanche et, comme nous l&rsquo;avons vu jusqu&rsquo;\u00e0 pr\u00e9sent, les tests en bo\u00eete noire.&nbsp;<\/p>\n\n\n\n<p>Les tests en bo\u00eete blanche d\u00e9pendent de la connaissance du code du syst\u00e8me. Il comprend toutes les v\u00e9rifications effectu\u00e9es par les d\u00e9veloppeurs, telles que les tests unitaires et les tests d&rsquo;int\u00e9gration, ainsi que de nombreux tests effectu\u00e9s par les ing\u00e9nieurs de test, tels que certains types de tests de r\u00e9gression. Les outils d&rsquo;analyse statique (SAST) entrent \u00e9galement dans cette cat\u00e9gorie. Tous ces tests occupent des places connues et \u00e9tablies dans le SDLC, dans le but de pr\u00e9parer une application pour les tests fonctionnels. Dans les \u00e9tapes ult\u00e9rieures, ces tests peuvent \u00e9galement \u00eatre compl\u00e9t\u00e9s par des tests automatis\u00e9s en bo\u00eete noire avec DAST, qui teste les API et de nombreuses autres facettes des applications Web pour r\u00e9v\u00e9ler des vecteurs d&rsquo;attaque suppl\u00e9mentaires.&nbsp;<\/p>\n\n\n\n<p>Les tests fonctionnels comportent deux composants principaux&nbsp;: les tests de bo\u00eete noire et les tests d&rsquo;acceptation par l&rsquo;utilisateur (UAT). Le moment o\u00f9 ces tests sont effectu\u00e9s varie consid\u00e9rablement en fonction de l&rsquo;organisation informatique et du type de SDLC qu&rsquo;elle utilise. Par exemple, une organisation qui pratique le d\u00e9veloppement agile peut effectuer fr\u00e9quemment des tests UAT, mais des tests formels en bo\u00eete noire plus tard dans le SLDC et moins fr\u00e9quemment. Pendant ce temps, une organisation avec des exigences \u00e9tendues et une conception consid\u00e9rable \u00e0 l&rsquo;avance peut effectuer des tests de bo\u00eete noire avant de lancer un cycle d&rsquo;UAT.<\/p>\n\n\n\n<p>L&rsquo;un des avantages des tests en bo\u00eete noire par rapport \u00e0 leur place dans le SDLC est que le travail de conception des tests peut commencer d\u00e8s le moment o\u00f9 les exigences ont \u00e9t\u00e9 finalis\u00e9es.&nbsp;<\/p>\n\n\n\n<p>Une autre pratique de test, <a href=\"https:\/\/en.wikipedia.org\/wiki\/Behavior-driven_development\" target=\"_blank\" rel=\"noopener\" title=\"\">le d\u00e9veloppement pilot\u00e9 par le comportement (BDD)<\/a> , exploite les tests bo\u00eete blanche et bo\u00eete noire pour ex\u00e9cuter des tests fonctionnels. BDD vise \u00e0 sp\u00e9cifier le comportement d\u00e9taill\u00e9 de l&rsquo;application \u00e0 l&rsquo;avance sous une forme qui peut \u00eatre ex\u00e9cut\u00e9e par les d\u00e9veloppeurs dans le cadre de leurs tests de routine. Dans BDD, les tests sont g\u00e9n\u00e9ralement sp\u00e9cifi\u00e9s par les utilisateurs et les parties prenantes \u00e0 l&rsquo;aide d&rsquo;un lexique sp\u00e9cial que les outils BDD traduisent en tests de d\u00e9veloppement. En utilisant BDD, les d\u00e9veloppeurs et les parties prenantes peuvent \u00eatre s\u00fbrs qu&rsquo;au moment o\u00f9 une application est pr\u00eate pour les tests de bo\u00eete noire et les UAT, elle remplit d\u00e9j\u00e0 la plupart, sinon la totalit\u00e9, de ses exigences connues.\u00a0<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Limites des tests en bo\u00eete noire<\/strong><\/h2>\n\n\n\n<p>Les tests en bo\u00eete noire sont une exigence pour la plupart des organisations qui peuvent prendre en charge une \u00e9quipe distincte de testeurs de logiciels. Parce que ces testeurs travaillent \u00e0 partir de scripts sp\u00e9cifiques, ils ont une connaissance compl\u00e8te de ce qu&rsquo;ils ont test\u00e9. En cas de test positif, il est possible de savoir que le produit a \u00e9t\u00e9 test\u00e9 de mani\u00e8re exhaustive.&nbsp;<\/p>\n\n\n\n<p>Cependant, les tests n\u00e9gatifs n&rsquo;offrent pas de telles garanties, en particulier en mati\u00e8re de s\u00e9curit\u00e9. Les pirates sont extr\u00eamement cr\u00e9atifs pour trouver de petites vuln\u00e9rabilit\u00e9s inattendues qui ont \u00e9chapp\u00e9 \u00e0 l&rsquo;attention des concepteurs d&rsquo;applications&nbsp;; ils ne sont pas test\u00e9s parce qu&rsquo;ils ne sont tout simplement pas connus. Les tests en bo\u00eete noire peuvent r\u00e9v\u00e9ler des probl\u00e8mes inconnus, mais ne peuvent jamais affirmer que toutes les vuln\u00e9rabilit\u00e9s possibles ont \u00e9t\u00e9 d\u00e9couvertes.&nbsp;<\/p>\n\n\n\n<p>Les syst\u00e8mes comportant de nombreuses pi\u00e8ces mobiles, telles que les applications Web d&rsquo;entreprise ou les configurations de l&rsquo;Internet des objets, sont particuli\u00e8rement difficiles \u00e0 couvrir de mani\u00e8re exhaustive avec des tests de bo\u00eete noire n\u00e9gatifs. Par cons\u00e9quent, les organisations informatiques soucieuses de la s\u00e9curit\u00e9 compl\u00e8tent les tests manuels de la bo\u00eete noire par plusieurs formes de tests dynamiques, en particulier DAST. Cette forme de test automatis\u00e9 v\u00e9rifie les vuln\u00e9rabilit\u00e9s dans les applications en cours d&rsquo;ex\u00e9cution que les tests de bo\u00eete noire pourraient ne pas d\u00e9tecter, et il v\u00e9rifie \u00e9galement les syst\u00e8mes par rapport aux vuln\u00e9rabilit\u00e9s des produits nouvellement publi\u00e9es au fur et \u00e0 mesure qu&rsquo;elles deviennent connues.&nbsp;<\/p>\n\n\n\n<p>Comme pour tout ce qui concerne la s\u00e9curit\u00e9, la meilleure approche implique plusieurs formes de test et de surveillance qui se chevauchent, dont le test de la bo\u00eete noire est un \u00e9l\u00e9ment central.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le test en bo\u00eete noire est une pratique cl\u00e9 dans les tests de logiciels et de s\u00e9curit\u00e9, utilis\u00e9s non seulement pour v\u00e9rifier qu&rsquo;une application fonctionne comme pr\u00e9vu, mais \u00e9galement pour limiter la surface d&rsquo;attaque expos\u00e9e aux acteurs malveillants. D\u00e9couvrez pourquoi la combinaison de tests manuels en bo\u00eete noire avec des outils DAST automatis\u00e9s est le [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1139,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2,43],"tags":[72,32,33],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1138"}],"collection":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/comments?post=1138"}],"version-history":[{"count":3,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1138\/revisions"}],"predecessor-version":[{"id":1144,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1138\/revisions\/1144"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/media\/1139"}],"wp:attachment":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/media?parent=1138"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/categories?post=1138"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/tags?post=1138"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}