Parce qu’il est difficile de recruter à moindre coût un responsable sécurité pour son réseau, les scanners de vulnérabilités ont vu le jour. Ces outils logiciels ont été conçus pour remplacer le spécialiste et ausculter un système afin de découvrir et de répertorier des failles connues avant qu’un pirate ne les exploite. La première génération de scanners ne conciliait toutefois pas grand-chose : il s’agissait bien souvent de logiciels libres, peu conviviaux et fonctionnant sur Unix. Des noms tels que Satan, Cops ou encore ISS sont ainsi entrés dans l’histoire, grâce aux services rendus, mais aussi en raison de leur mise en ?”uvre délicate et au côté sibyllin de leurs résultats. Parce qu’il fallait déjà être expert en sécurité pour les déployer et comprendre leurs rapports, l’avancée pour les non-spécialistes n’était guère flagrante.
Des services très simples à utiliser
La solution est venue des ASP de sécurité. Ils prennent en charge le fonctionnement et la maintenance du scanner, et ne fournissent à l’entreprise que ce dont elle a vraiment besoin, à savoir les rapports des failles détectées sur son réseau. Accessible en permanence depuis tout navigateur, le scanner (commercial, libre ou propriétaire) est constamment mis à jour par le fournisseur de service et n’exige aucune installation sur le réseau de la société. L’administrateur lance autant de tests qu’il le souhaite, aussi régulièrement que nécessaire. Dans l’Hexagone, ce marché est essentiellement représenté par Qualys, Intranode et Vigilante, tous trois d’origine française. Il existe quelques dizaines d’autres ASP de ce type à travers le monde, utilisant des technologies souvent similaires, dont le scanner libre Nessus.Concrètement, utiliser de tels services reste extrêmement simple, ce qui explique en grande partie leur succès. Il suffit de s’abonner sur le site de l’ASP, puis de fournir la liste des adresses IP à scanner. Il est également nécessaire de signer un imposant contrat dédouanant le prestataire qui, après tout, va se livrer à des actes de piratage sur un réseau qui ne lui appartient pas. Une fois l’abonnement acquitté (à l’année et au nombre d’adresses IP le plus souvent), l’entreprise se connecte au service par SSL depuis n’importe quel navigateur et demande une analyse de l’une ou plusieurs des adresses IP [voir schéma]. Le fournisseur de service lance alors, à partir de ses propres machines, une multitude de tests sur les serveurs, les routeurs et autres passerelles de son client. Sont examinés les serveurs accessibles, en quête de failles exploitables. Parmi elles figurent des tentatives d’accès aux bases de registre des serveurs (sur Windows), d’extraction des fichiers de mots de passe (sous Unix) ou d’exploitation des failles applicatives répandues. Au total, plusieurs milliers de vulnérabilités sont testées. Toutes sont connues, documentées et, surtout, déjà mises en ?”uvre par les hackers. Le scanner se comporte, depuis l’autre bout d’internet, comme un pirate moyennement doué qui essaierait une multitude d’attaques connues. Dans un délai très bref, un rapport des failles détectées est ensuite mis en ligne.
Tenir compte des limites de l’outil
Derrière cette apparente simplicité se cachent toutefois de grandes disparités entre les fournisseurs de service, les technologies utilisées et les promesses commerciales de chacun. Avant de s’engager sur cette voie, il est nécessaire de bien comprendre les limites d’une telle analyse. La plus flagrante : ces scanners ne voient que la périphérie du réseau, celle accessible depuis internet. Ils ne peuvent donc pas ausculter le réseau local. Les vendeurs contournent ce problème en faisant de cette limitation un argument de vente : ils affirment offrir une “vue du réseau telle que l’ont les pirates depuis internet“. Une idée séduisante mais peu convaincante. “Dire que l’on donne à nos clients la “vision du pirate” est inexact ; c’est du marketing. Les phases les plus critiques d’une attaque sont réalisées en amont, dans un long repérage, généralement non identifié et pas “rejouable” dans une analyse automatique, tout simplement parce que le client veut les résultats de son test immédiatement”, explique Samuel Simon, directeur marketing de Vigilante. Ce que confirme Alain Vielpeau, responsable de la sécurité des sites internet du Crédit lyonnais : “Le scanner constitue un bon outil, mais il faut en connaître les limites, notamment dans le périmètre du test. Ce que le système ne scanne pas, des applications propriétaires par exemple, sert parfois, par rebond, à pénétrer le système. Et ce genre d’interaction ne peut être identifié que par un humain.”Dans ces conditions, l’utilité du scanner se relativise. Il constitue un bon outil, parmi d’autres, pour s’assurer du strict minimum : que le réseau de l’entreprise ne présente pas de faille idiote visible depuis internet, due à l’oubli d’un correctif, au laxisme dans la mise à jour d’un logiciel ou encore à une mauvaise configuration d’un serveur. Ce n’est pas suffisant pour s’estimer protégé, mais c’est le minimum vital.Ces réserves à part, l’outil rend de fiers services. La régularité des tests offre la possibilité de se constituer un référentiel de sécurité et de contrôler, tous les jours si nécessaire, que le réseau s’y tient. Mieux : le même service ASP peut être utilisé par les administrateurs de différentes filiales ou services, en charge de réseaux très différents. L’outil fournira une vue cohérente de la sécurité de chacun, autorisant ainsi la définition des minima bien utiles lorsqu’il s’agit de prendre en compte de nouvelles entités, après un rachat, par exemple.
Ne pas noyer l’information sous un déluge de détails
Cette vision cohérente de la sécurité du réseau, ce sont les rapports fournis par l’ASP qui la donnent. Il s’agit d’un point différenciateur critique, tant il est possible de noyer l’information sous un déluge de détails techniques ou, au contraire, de tomber dans l’excès de simplification. Intranode s’est ainsi lancé sur le marché en recourant aux technologies open source (les scanners Nessus et nmap), mais en soignant et en simplifiant leurs rapports. L’administrateur dispose ainsi d’une vue très technique des vulnérabilités, tandis que des tableaux de bord et des synthèses offrent aux dirigeants une vue globale du niveau de sécurité. Toutefois, Intranode a aussi été très critiqué en raison, justement, de ses rapports et des pondérations effectuées afin de fournir un “indice global” du niveau de sécurité. “Intranode a trop tendance à présenter ses rapports comme la vérité absolue, avec des notes. Or je recherche avant tout un outil qui me dise qu’il y a une vulnérabilité, et qui la corrige”, explique Alain Vielpeau du Crédit lyonnais.Il n’y a cependant pas de vérité absolue : avant de choisir un tel service, il est crucial de consulter tous les types de rapports que peut générer le scanner, de façon à déterminer s’ils correspondent à l’usage qui en sera fait par l’entreprise (les rapports destinés aux administrateurs fourniront systématiquement les correctifs et les parades à chaque vulnérabilité, par exemple).Enfin, outre leur forme, la souplesse d’utilisation des rapports reste cruciale. Dans ce domaine, Qualys fait figure de pionnier, en proposant un serveur de rapports capable d’agréger les comptes rendus de différents scans, réalisés par des entités différentes de la même entreprise, afin d’en extraire des synthèses ou de les injecter dans sa propre base de données.
Logiciels libres, commerciaux ou propriétaires ?
Techniquement, les outils déployés par les ASP de détection de vulnérabilités peuvent varier du tout au tout. La majorité d’entre eux utilisent cependant le scanner Nessus, développé par Renaud Deraison. Considéré, depuis plusieurs années, comme l’un des meilleurs produits disponibles sur le marché, internationalement reconnu et libre, cet outil a de quoi tenter les ASP. Mais si certains l’exploitent en l’affichant et en contribuant à la communauté open source, d’autre le font en mentant et en affirmant qu’ils ont développé leur propre technologie. “Tous les ASP de détection de vulnérabilités ont débuté en utilisant Nessus ; pour une start-up qui se lance, recourir à un outil libre qui fonctionne bien se révèle plus simple que de concevoir le sien. Et aujourd’hui encore, les ASP dotés de leur propre scanner de vulnérabilités se comptent sur les doigts d’une main, même si tous affirment le contraire”, commente Renaud Deraison. Et s’il n’y a aucun mal à employer Nessus, il est en revanche difficile de faire confiance à un prestataire qui ment sur les technologies utilisées.Une autre approche consiste à employer plusieurs scanners libres et commerciaux (Nessus, ISS, CyberCOP, etc.), puis à consolider leurs résultats en un rapport unique. Ce que faisaient Intranode et Vigilante avant de développer leur propre scanner. Les raisons de ce changement sont souvent très diverses, comme l’explique Samuel Simon, directeur marketing chez Vigilante : “Nous utilisions Nessus, CyberCOP et ISS. Nous avons éliminé ISS à cause de ses fausses alertes, puis CyberCOP parce qu’il était très orienté Windows et n’apportait rien en environnement réseau, et enfin Nessus, principalement pour des raisons éthiques ; nous n’avions en effet plus le temps de contribuer au projet. Nous recourons désormais à SecureScan NX, notre scanner maison développé par Cyrano. Cela nous évite d’être bloqué lorsqu’un éditeur annonce l’arrêt de son produit, par exemple, à l’image de Network Associates avec CyberCOP.”Pour Intranode, le changement est venu de la nécessité de contrôler plus finement le scanner. “Désormais, nous n’employons plus aucune technologie open source ; adapter le code libre aux besoins de notre moteur de corrélation propriétaire, source de la véritable valeur ajoutée, nous coûtait trop cher. L’intelligence réside dans le cheminement de l’audit et dans la corrélation, pas dans la collecte de l’information”, reconnaît Christophe Tilmont, directeur marketing d’Intranode. Même son de cloche chez Qualys, qui a développé son propre scanner dès le départ. “Nous faisons un gros effort de précision, tant sur les tests que sur les vulnérabilités. Pour cela, il nous faut notre propre technologie sur toute la chaîne”, commente Philippe Courtot, CEO et fondateur de Qualys.
Les failles, matière première du scanner
Difficile de savoir qui, de la solution propriétaire, de l’assemblage d’outils commerciaux ou du scanner libre, constitue la meilleure solution. Cependant, un test mené l’an dernier par la revue Network Computing donnait Nessus grand gagnant face à cinq autres scanners commerciaux, dont CyberCOP et ISS. Du côté des ASP, un test confidentiel, réalisé pour l’usage interne d’un grand groupe d’audit, a décerné la palme à Nessus et à Qualys. Ce dernier test tend à montrer qu’au-delà de la technologie utilisée, ce sont la réactivité de l’éditeur dans la découverte de nouvelles failles et son positionnement vis-à-vis des sources d’approvisionnement des vulnérabilités qui font la différence.Ainsi, Nessus bénéficie d’une communauté open source très réactive, et d’une architecture ouverte à base de plug-in. N’importe qui peut proposer des modules afin de détecter telle ou telle nouvelle faille. Tout comme les signatures de l’IDS Snort, les nouvelles failles sont souvent disponibles sur Nessus avant celles des éditeurs commerciaux. Qualys, quant à lui, a noué des accords avec Security Focus, entre autres, lequel exploite la liste bugtraq, première source de publication des vulnérabilités. La société est également partenaire d’Apple et valide les failles de sécurité sur MacOS X. Le rachat de Security Focus par Symantec risque cependant de changer la donne pour Qualys.Les autres ASP se servent généralement sur bugtraq, mais sans accord (les failles sont publiées librement sur le site), ou ont recours, tel Intranode, aux services de Security Traker, un site spécialisé dans la publication de failles de sécurité. Tous affirment, sans exception, disposer également de leur propre équipe de R&D ainsi que d’un réseau de partenaires, afin de remonter de nouvelles vulnérabilités.Hélas, tant qu’il sera impossible de mesurer la qualité de ces laboratoires, les seules véritables questions à poser au moment du choix d’un tel ASP porteront sur la technologie utilisée et la provenance de ses vulnérabilités. Gageons que beaucoup n’oseront pas répondre.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.