Tests de sécurité AWS : Guide pratique du Penetration Testing sur Amazon Web Services

IAM : Les joyaux de la couronne

AWS IAM est le service le plus puissant – et le plus souvent mal configuré – de tout l'écosystème. Les tests doivent évaluer les politiques IAM afin de détecter les violations du moindre privilège, identifier les rôles et les clés d'accès inutilisés, sonder les chemins d'escalade de privilèges (chaînage de rôles, attachement de politiques, abus d'AssumeRole), tester l'efficacité de l'application des politiques de contrôle des services et vérifier que l'accès entre comptes est correctement limité. Un seul rôle d'exécution Lambda trop permissif peut donner à un attaquant l'accès à chaque bucket S3, chaque table DynamoDB et chaque secret dans Secrets Manager. Les tests IAM sont l'endroit où se trouvent les résultats ayant le plus fort impact.

S3 et sécurité du stockage

Des mauvaises configurations de S3 sont à l'origine de certaines des plus grandes violations de données de l'histoire. Les tests couvrent les politiques de buckets et les ACL pour l'accès public involontaire, le chiffrement côté serveur au repos, la journalisation et la surveillance des accès, le versionnage et les politiques de cycle de vie, et la génération d'URL presignées pour un accès limité dans le temps. Les paramètres par défaut de Block Public Access de 2023 ont amélioré la sécurité de base, mais les buckets hérités et les remplacements de politiques explicites créent toujours une exposition.

Lambda et Serverless

Les fonctions Lambda introduisent des vecteurs d'attaque uniques : des rôles d'exécution trop permissifs qui accordent plus d'accès que nécessaire à la fonction, des variables d'environnement stockant des secrets en texte clair, l'injection d'événements par le biais d'entrées non validées provenant d'API Gateway ou de déclencheurs S3, et des attaques de synchronisation de démarrage à froid. Tester le Serverless nécessite de comprendre comment les architectures événementielles peuvent être exploitées.

EC2, VPC et couche réseau

Les tests EC2 évaluent les groupes de sécurité pour les règles d'entrée trop permissives, la configuration du service de métadonnées d'instance (IMDSv1 vs v2), le chiffrement des volumes EBS et la gestion des clés SSH. Les tests VPC vérifient que les ACL réseau et les groupes de sécurité mettent en œuvre une segmentation appropriée, que les points de terminaison VPC sont configurés pour l'accès aux services privés et que le peering VPC ne crée pas de chemins inter-réseaux involontaires.

Chemins d'attaque inter-services

Les résultats AWS les plus percutants sont ceux qui enchaînent les vulnérabilités entre les services. Un SSRF dans une application web récupère les informations d'identification temporaires du service de métadonnées EC2 (IMDSv1). Ces informations d'identification appartiennent à un rôle trop permissif qui peut lire les secrets de Secrets Manager. Les secrets comprennent les informations d'identification de la base de données pour l'instance RDS contenant les données des clients. Cette chaîne – application web → métadonnées → IAM → secrets → base de données – est exactement ce que les pentesters cloud qualifiés recherchent et ce que les scanners automatisés manquent.

Tester AWS avec Penetrify

Les tests de sécurité AWS de Penetrify couvrent l'analyse des politiques IAM, la sécurité S3/stockage, les configurations Lambda et Serverless, l'architecture réseau EC2/VPC et la validation des chemins d'attaque inter-services. Les praticiens détiennent des certifications de sécurité AWS et comprennent les nuances spécifiques au fournisseur que les pentesters génériques manquent. Les rapports mappés à la conformité servent aux auditeurs SOC 2, PCI DSS, HIPAA et ISO 27001.