ANALYSE
Sommaire Sécurité 
Metasploit : un outil de hacking à double tranchant
Environnement intégré de test d'intrusion Open Source, Metasploit participe à la détection de vulnérabilités et à la création d'exploits par les chercheurs. Un usage premier qui peut cependant être détourné.   (06/11/2006)
  En savoir plus
 Quels outils Open Source pour tester sa sécurité ?
Dossiers
Logiciels libres
Failles
Projet du médiatique - et parfois controversé - chercheur en sécurité, HD Moore, Metasploit est une plate-forme de tests d'intrusion embarquant des fonctionnalités d'automatisation d'exploitation de failles et de création d'exploits.

Outil de prédilection pour nombre d'experts en sécurité, chercheurs, mais aussi d'administrateurs réseau, Metasploit intègre une base d'exploits (plus d'une centaine), c'est-à-dire de codes usant de vulnérabilités, pour exécuter arbitrairement une commande sur une machine.

En automatisant l'exécution de code, le framework permet de tester plus aisément un réseau informatique et de détecter les ordinateurs vulnérables nécessitant l'application d'un correctif.

A cette base publique d'exploits, pour lesquels des correctifs existent dans la grande majorité des cas, viennent s'ajouter d'autres codes implémentés librement par l'utilisateur pour conduire ses propres tests. Et c'est à ce niveau que Metasploit apporte le plus de bénéfices. "Il n'est plus nécessaire de modifier systématiquement le code pour définir la charge appliquée à un exploit", déclare Ali Rahbar, consultant pour le cabinet de sécurité Sysdream.

"L'utilisation avec succès d'une faille donne la possibilité d'exécuter sur une machine cible un code, ce qu'on appelle la charge. Cette dernière peut être par exemple la création d'un compte ou la suppression de certains fichiers. Grâce à Metasploit, il est ainsi possible pour chaque exploit, de définir la charge que l'on souhaite associer, en faisant appel à celles paramétrées dans le Framework", poursuit-il.

Avec ses plus de 70 charges ou payloads disponibles, Metasploit donne donc à l'utilisateur de nombreuses possibilités, tout en simplifiant le codage et l'utilisation des exploits. Or c'est justement cette simplicité qui suscite l'inquiétude. Un individu malveillant, sans la nécessité de posséder une expertise technique, pourra exécuter des exploits en s'appuyant sur la base de la plate-forme.

"Canvas ou Core Impact sont potentiellement plus dangereux, car ils disposent de grandes bases d'exploits"
(A.Rahbar - Sysdream)
"Techniquement, Metasploit ne présente en lui-même aucun danger. C'est l'utilisation qui peut en être faite qui en fera ou non un outil malicieux. De la même façon, l'application de contrôle à distance VNC, bien qu'elle ne soit pas destinée à des utilisations malveillantes, peut aisément servir à du piratage", juge Loucif Kharouni, Anti-Threats Engineer chez Trend Micro.

Le consultant de Sysdream tient également à relativiser les risques : "Metasploit est simple à utiliser si vous vous restreignez seulement aux exploits connus. Cependant, le risque est faible qu'ils soient publiés avant qu'un éditeur n'ait développé un patch. Ou lorsque tel n'est pas le cas, le laps de temps est relativement réduit avant qu'ils ne soient reconnus par les IDS et les pare-feu."

Pour Ali Rahbar, la base gratuite peu fournie minimise en effet les risques. Malgré tout, les capacités d'évasion offertes par Metasploit risquent de faire sourciller plus d'un administrateur. Grâce à différents encodages des exploits (Web et non-Web), il devient possible de se soustraire à la détection par un IDS et un IPS.

Un module intitulé VoMM (eVade-o-Matic Module) permettra de dissimuler l'exploitation de vulnérabilité d'un navigateur à une application de sécurité basée sur un système de détection statique des signatures. Un exploit sur la faille VML d'Internet Explorer crée par HD Moore a ainsi pu échapper à la détection de 26 moteurs antivirus.

"Mieux on connait ces outils et plus facilement on pourra s'en prémunir"
(S.Roger - Solucom)
Une menace à laquelle Loucif Kharouni répond que "le nombre croissant de virus exploitant des failles zero-day doit encourager les utilisateurs à mettre à jour leur système le plus rapidement possible. Pour les entreprises, c'est plus problématique. On ne peut pas exiger d'elles un déploiement un temps réel des correctifs. Toutefois, elles peuvent se reposer sur des protections amont pour éviter l'exploitation des vulnérabilités."

Loucif Kharouni et Ali Rahbar s'accordent également pour rappeler que des solutions commerciales équivalentes à Metasploit sont disponibles sur le marché. Pour le consultant, "des outils comme Canvas ou Core Impact sont potentiellement plus dangereux car ils disposent de grandes bases d'exploits, dont beaucoup sont des failles zero-day. Ils sont de plus peu onéreux et bénéficient de mises à jour régulières."

  En savoir plus
 Quels outils Open Source pour tester sa sécurité ?
Dossiers
Logiciels libres
Failles
Si Metasploit, en raison de sa gratuité, présente le risque d'être employé à des fins malveillantes, il n'en demeure pas moins un outil pour les chercheurs en sécurité. Par son biais, ces experts peuvent identifier de nouvelles vulnérabilités et communiquer directement l'exploit à un éditeur de logiciel afin d'apporter la preuve de leurs assertions.

Sylvain Roger de Solucom rappelle également que les entreprises ne peuvent ignorer l'existence d'applications comme Metasploit. "Il est nécessaire de connaître leurs possibilités pour pouvoir appréhender les menaces qu'elles pourraient représenter. Mieux on connait ces outils et plus facilement on pourra s'en prémunir".

Christophe AUFFRAY, JDN Solutions Sommaire Sécurité
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters