 |
|
|
| |
|
|
|
| Quels outils Open Source pour tester sa sécurité ? |
| Outils gratuits et adaptables, ils contrôlent et renforcent le niveau de sécurité. Ils exigent néanmoins une compétence technique fine des utilisateurs. Attention également aux mises à jour parfois problématiques.
(25/09/2006) |
|
Que l'on soit auditeur externe ou responsable sécurité d'une entreprise, disposer de logiciels permettant de vérifier la fiabilité du système d'information et des éléments qui le composent s'avère indispensable. Une boîte à outils de la sécurité dans laquelle les applications Open Source ont tout naturellement leur place.
Librement accessibles et au code source ouvert pour répondre à une multiplicité de besoins, les logiciels de sécurité Open Source participent à l'identification des vulnérabilités et à la détection de leur utilisation par des individus malveillants.
"Il existe des outils génériques communs à ces deux usages. Ils ne sont pas destinés à un type d'infrastructure, mais interviennent dans une perspective de cartographie globale et non d'exploitation des vulnérabilités", explique Sylvain Roger, consultant en sécurité chez Solucom.
Dans le cadre d'opérations d'investigation ou de contrôle consistant à appréhender le type d'équipements par une cartographie du réseau, des logiciels dits passifs interviennent. Ethereal (désormais Wireshark) est l'un d'entre eux. De la famille des sniffers, il va écouter les paquets échangés sur le réseau. Il permettra ainsi d'auditer et de contrôler les types de données circulant sur le réseau.
A côté des sniffers il peut être utile de faire appel à des scanners de ports et de vulnérabilités. Le premier, tel que Nmap, va identifier sur un équipement donné l'ensemble des services et ports ouverts.
"C'est le fingerprinting de l'appareil qui est visé ici. A titre d'exemple, sur un serveur Web, on pourra ainsi voir que le http et le https sont tous deux ouverts. Un scanner peut également être utilisé pour faire de la reconnaissance de version des logiciels installés sur l'équipement. S'il y a du http, on va ainsi montrer quel est le type de serveur Web qui est derrière, IIS ou Apache", précise Sylvain Roger.
| Contrôler le réseau et identifier les vulnérabilités |
Un scanner de vulnérabilités tel que Nessus mettra en évidence les vulnérabilités potentielles. Ses usages sont divers : soit dans un périmètre défini, soit dans un but opérationnel afin de balayer tout un parc. Le scanner sera alors programmé pour effectuer des contrôles réguliers. Les résultats seront ensuite remontés au responsable sécurité de l'entreprise.
Après la partie découverte du réseau, appelée cartographie ou prise d'empreintes, intervient cette fois une seconde étape dédiée à l'exploitation des vulnérabilités identifiées précédemment. C'est à ce stade qu'entrent en jeu une autre famille d'outils, désormais offensifs.
"Il existe notamment Metasploit. C'est un outil regroupant un ensemble d'exploits, c'est-à-dire des codes d'exploitation de vulnérabilités. Il a été développé pour permettre de faciliter leur utilisation. Il est également possible d'intégrer ses propres codes", détaille le consultant en sécurité de Solucom.
Toutefois Metasploit est utilisé presque essentiellement dans le cadre de tests intrusion et très rarement, voire jamais pour de l'administration de réseau. Parmi la panoplie d'outils offensifs, on trouve également des casseurs de mots de passe comme Cain & Abel, John The Ripper ou Aircrack.
En mode dictionnaire ou force brute en tentant toutes les combinaisons possibles de manière incrémentale, ces logiciels Open Source permettent de tester la robustesse des mots de passe définis par les utilisateurs. Ils peuvent être utilisés comme point de départ pour des actions de sensibilisation.
"lls peuvent être utilisés comme point de départ d'actions de sensibilisation"
(S. Roger - Solucom)
|
"Hormis ces outils génériques qui adressent un périmètre important, il est possible de recourir à des applications dédiées à des besoins plus spécifiques. Vous avez par exemple des outils comme Kismet pour le Wi-Fi, et d'autres pour la ToIP. Mais quel que soit le domaine, les outils Open Source sont incontournables, soit parce que les logiciels commerciaux sont absents, soit parce qu'ils ne sont pas au niveau", déclare Sylvain Roger.
Si les logiciels de sécurité Open Source permettent de s'affranchir des inconvénients inhérents à la gestion des licences et de couvrir des domaines délaissés par les solutions propriétaires, la gestion des mises à jour peut parfois s'avérer problématique. C'est notamment le cas de Nessus comme l'explique Sylvain Roger.
"Les concepteurs ont sorti une nouvelle version dont le code n'est plus disponible, même si elle reste gratuite. L'ancienne édition continue d'évoluer, la différence se faisant au niveau des mises à jour qui sont désormais hebdomadaires et non plus quotidiennes"
La solution pour pallier à cet inconvénient peut être de "choisir de développer ses propres outils afin de les adapter à des besoins plus spécifiques. Nous nous appuyons ainsi sur la base de vulnérabilités du département de veille technologique sécurité", rappelle Thomas Gayet de Lexsi.
Enfin, ces logiciels Open Source sont susceptibles d'être utilisés à des fins malveillantes. Il est donc nécessaire de connaître leurs possibilités pour pouvoir appréhender les menaces qu'ils pourraient représenter. "Mieux on connait ces outils et plus facilement on pourra s'en prémunir", conclut Sylvain Roger.
|
|
|
|
|
|
|
Dossier 