Vous terminez une mission au cours de laquelle vous avez téléversé des webshells et créé des comptes de test. Que devez-vous faire ?
Réponse courte
Les missions professionnelles se terminent par un nettoyage complet et un inventaire des artefacts, pour ne pas laisser de nouvelle surface d'attaque ni brouiller l'environnement du client. Laisser des shells ou des comptes au client à trouver est négligent et dangereux — un vrai attaquant pourrait les réutiliser. Conserver une porte dérobée « pour la prochaine fois » est contraire à l'éthique et probablement illégal. Supprimer vos propres journaux d'activité détruit la piste d'audit dont le client a besoin pour valider le test et reconstituer ce que vous avez fait.
Tout ce que vous déposez pendant un test — webshells, comptes, tâches planifiées, outils téléversés, modifications de configuration — constitue une nouvelle surface d'attaque. En laisser une partie rend le client moins sécurisé qu'avant votre arrivée, à l'opposé de l'objectif de la mission.
Pourquoi le nettoyage complet et un inventaire sont la bonne réponse
Deux choses doivent se produire à la clôture. D'abord, supprimer chaque artefact que vous avez créé : shells, comptes de test, tâches planifiées, fichiers déposés et toute modification de configuration temporaire, en restaurant les systèmes dans leur état antérieur. Ensuite, remettre au client un inventaire écrit de tout ce que vous avez créé, modifié ou touché — idéalement suivi en direct pendant le test afin que rien ne soit oublié. L'inventaire permet au client de vérifier le nettoyage de façon indépendante, de rapprocher les modifications de ses propres journaux et de confirmer que rien n'a été oublié. C'est la clôture rigoureuse qui distingue un professionnel de quelqu'un qui s'est simplement introduit.
Pourquoi les autres options sont fausses
- Les laisser au client à trouver. Cela transfère votre désordre et votre risque au client. Un vrai attaquant scannant l'environnement pourrait découvrir et réutiliser votre shell ou votre compte — vous auriez créé un point d'ancrage actif.
- Garder une porte dérobée pour la prochaine fois. Maintenir un accès dissimulé après la fin de la mission est contraire à l'éthique et, dans la plupart des juridictions, un accès non autorisé — un délit. Cela brise aussi la confiance dont dépend toute la relation.
- Supprimer vos journaux d'activité. Vos journaux font partie du livrable : ils permettent au client de corréler votre activité, de valider les constats et de séparer vos actions de celles d'un éventuel vrai attaquant. Détruire la piste d'audit donne l'impression d'effacer vos traces et sape la crédibilité du test.
Ce que sonde un recruteur
Il veut une maturité opérationnelle : comprendre qu'un test n'est pas terminé quand vous obtenez l'accès — il l'est quand l'environnement est propre et traçable. Signal bonus : suivre les artefacts en continu et fournir un inventaire que le client peut comparer à sa télémétrie.
Questions de suivi probables
- Comment suivez-vous les artefacts pendant la mission pour rendre le nettoyage fiable ?
- Que doit contenir l'inventaire des modifications que vous remettez au client ?
- Pourquoi devez-vous conserver, et non supprimer, vos propres journaux d'activité ?