Il est difficile de juger de l’efficacité d’un outil dont le rôle est de détecter l’invisible. Là réside tout le problème des scanners de vulnérabilité. Comment être sûr qu’ils n’oublient pas une faille ? L’essai simultané des versions de démonstration des principaux produits est donc indispensable. “Nous avons évalué en interne une vingtaine de scanners de vulnérabilité. Certains étaient en licence libre, d’autres coûtaient plusieurs dizaines de milliers de francs”, relate Greg Johnson, responsable de la sécurité de l’université du Missouri (États-Unis), qui a finalement opté pour le logiciel libre Nessus. Même démarche chez Zurich Financial Services (ZFS), une société suisse d’assurances et d’investissement. Celle-ci utilisait déjà Internet Security Scanner d’ISS lorsque Retina Scan d’eEye est sorti sur le marché. “Après dix jours de tests dans un environnement de production, ce scanner nous a séduits par son expertise des failles des produits Microsoft, sur lesquelles le produit d’ISS est moins performant”, explique Amir Ameri, consultant sécurité pour le groupe.
Une installation simple
Néanmoins, pour effectuer le bon choix, un conseil extérieur peut parfois se révéler utile comme l’explique, sous couvert de l’anonymat, Fabrice, responsable de la sécurité d’un grand groupe industriel français. C’est seulement après avoir demandé à plusieurs SSII de faire une offre, en détaillant les forces et les faiblesses qu’ils avaient repérées dans leurs produits, qu’il a pris une décision : “Nous avons finalement choisi CyberCop de McAfee pour sa simplicité d’utilisation.”Quel que soit le produit choisi, l’installation et le déploiement des scanners de vulnérabilité sont souvent très simples et peu coûteux. “Nous utilisons deux PC exploitant Linux Red Hat pour faire fonctionner Nessus. Il a suffi de 256 Mo de mémoire vive et d’une bonne carte réseau”, détaille Greg Johnson. Fabrice, qui utilise CyberCOP, a eu recours à des ordinateurs portables dédiés à chaque auditeur. “Seul le paramétrage spécifique de chaque test exige de bien connaître le produit”, précise-t-il.Cela dit, la simplicité de ces logiciels s’arrête là et pour les utiliser au mieux, il est nécessaire de pratiquer des analyses en profondeur. “Au début, nous avons cru qu’il suffisait de lancer le scanner pour faire le travail, or c’est loin d’être le cas”, rappelle Fabrice, qui pourtant effectue ses tests uniquement depuis le réseau local. En effet, il est indispensable de connaître le système à inspecter, l’utilisation qui en est faite ou les services qu’il fournit. Plusieurs jours de travail sont souvent nécessaires avant de lancer le scan. “Nous commençons par étudier la cible, parler avec les administrateurs et collecter l’information disponible. Ensuite, nous identifions les services offerts par le serveur hôte analysé depuis Internet ou le réseau local, à l’aide d’un scanner de ports. Ce n’est qu’après que nous essayons de voir ce que nous pouvons tirer des ports découverts. C’est là que le scanner de vulnérabilité entre en jeu”, confirme Amir Ameri de Zurich Financial Services.
Un traitement complexe des résultats
Mais le plus compliqué reste l’exploitation des résultats. Les logiciels assurant leur traitement fournissent une pléthore d’informations sans toujours en faciliter la lecture. “Avec la plupart des produits commerciaux que j’ai testés, chaque petite faille apparaît comme une catastrophe, sans doute pour conforter les utilisateurs dans leur achat”, remarque Greg Johnson. Mais bien que Nessus aille, selon lui, droit au but, le travail d’analyse demeure important. “Nessus trouve plus de vulnérabilités majeures que je n’ai le temps d’en corriger ! J’ai dû écrire quelques outils en Perl afin que les rapports soient automatiquement présentés comme je le désire, sur le web ou sur un tableur”.Pour ceux qui n’ont pas cette expertise technique, le parcours peut être plus douloureux. “Il nous arrive souvent de faire les rapports à la main, regrette Fabrice, la version 5 de CyberCop ne produit pas de rapports vraiment synthétiques, et gère mal leur création dans Word.” Des rapports simplifiés sont pourtant bien utiles aux directions. “Les rapports synthétiques illustrés fournis par ISS sont destinés à ma hiérarchie. Ils m’ont aidé à la convaincre d’adopter le produit”, remarque Regan Packer, responsable sécurité de l’hébergeur américain Verado, pour qui les informations remontées, bien que nombreuses et non consolidées, sont exploitables sous forme synthétique. Pour Amir Ameri de ZFS, Retina Scan est l’un des meilleurs scanners en terme de reporting. “Je ne change presque rien aux rapports !”Tout va donc pour le mieux dans le meilleur des mondes ? Il semblerait que les témoins aient tout simplement trouvé le scanner qui leur convienne, après les avoir plus ou moins tous essayés : qui, recherche la précision technique; qui, la simplicité d’utilisation; qui, veut s’occuper des failles liées à Windows… Il y a un logiciel pour chacun. Tous soulignent toutefois qu’il est l’important d’utiliser plu- sieurs scanners. “La plupart du temps, un seul produit ne résoudra pas 100 % des problèmes. Il en faut un second, qui fonctionne différemment”, estime Regan Packer.Le résultat d’une telle quantité d’analyses ? Il est difficile à mesurer. Comment en effet savoir si l’on a évité une catastrophe en colmatant la faille qui sera utilisée par le prochain Nimda ? Regan Packer estime qu’ISS lui a fait gagner de l’argent en évitant des heures de travail pour “nettoyer” les serveurs après une intrusion. Cependant, ce n’est qu’une piètre estimation. “À défaut de pouvoir quantifier les gains, les scanners constituent au moins ce que les avocats appellent un effort de bonne foi, et ça nous rassure en cas de litige. Un tribunal ne pourra pas nous accuser de négligence si l’une de nos machines est utilisée pour lancer une attaque”, conclut Greg Johnson.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
