Depuis deux ans, la détection de vulnérabilités fait les beaux jours du mode FAH, parfaitement adapté à des tests simples, automatisés et récurrents. Sur ce créneau, l'offre de Qualys se distingue par une approche propriétaire et une maîtrise complète de l'outil. Ainsi, plutôt que de revendre des rapports maquillés issus du scanner libre Nessus (pratique courante sur ce marché), Qualys a préféré développer un outil propriétaire plus adapté à une utilisation sur Internet, préservant au mieux la bande passante. Nous avons testé Qualys Guard dans le cadre d'un abonnement standard nous autorisant à scanner deux adresses IP. La première correspondait à un serveur Linux Mandrake 8.1 (noyau 2.4) installé par défaut et riche de nombreux services (web, proxy, etc.). La seconde pointait vers un serveur Linux Red Hat (noyau 2.2), mis à notre disposition par la société finlandaise Online Solutions et volontairement affaibli par des dizaines de vulnérabilités connues.

Comme pour tout service hébergé, la mise en oeuvre de Qualys Guard est très simple. Il se pilote en ligne, grâce à une interface web claire. Une fois authentifié, l'utilisateur accède à son panneau de contrôle, qui résume les derniers tests réalisés, liste les dernières failles de sécurité connues et propose de procéder à un scan sur les adresses IP définies lors de l'inscription au service. Deux composants peuvent alors être exécutés séparément. Qualys Map cartographie un réseau tel qu'il est vu depuis Internet. Routeurs, commutateurs, DNS, serveurs web, etc., tout y passe. Exactement ce qu'un pirate ferait en phase d'approche pour connaître le réseau de sa victime. Néanmoins, l'outil ne cartographie que ce qui est visible, et ne va pas jusqu'à mettre en oeuvre, par exemple, des techniques pour découvrir la topologie du réseau interne, derrière un coupe-feu. Cependant, il produit au final une belle carte du réseau de l'entreprise.

Le coeur du service est bien sûr l'audit de vulnérabilités effectué par Qualys Scan. Celui-ci s'appuie sur la base de vulnérabilités gérée par Qualys pour tester chaque adresse IP. Il faut compter entre cinq et quinze minutes par hôte scanné, avant de voir apparaître le rapport des failles, classées selon leur gravité. Lors de notre test, le résultat fut éloquent : Qualys Guard a découvert des failles que la société finlandaise ne soupçonnait pas sur son serveur de test. Même chose sur notre propre serveur. Les failles volontairement placées sur les scripts CGI n'ont en revanche pas été identifiées. Une fois le test terminé, les rapports sont disponibles en ligne dans différents formats. Une version synthétique pour les décideurs est aussi disponible. Point important, Qualys Guard suggère une parade à chaque vulnérabilité détectée en indiquant un lien vers le correctif correspondant ou en proposant une ligne de code à rajouter à son système.

La base de vulnérabilités de Qualys, véritable nerf du service, est alimentée quotidiennement. Partenaire officiel du site securityfocus.com securityfocus.com (gestionnaire de la liste Bugtraq), Qualys teste et valide toutes les vulnérabilités qui y sont reportées. La société est aussi partenaire d'Apple pour auditer les évolutions de Mac OS X. Enfin, Qualys compte parmi ses collaborateurs des spécialistes renommés au sein des communautés de la sécurité et de l'Open Source, ce qui tend à cautionner la pertinence et la pérennité des mises à jour de la base de signatures. Bref, avec une équipe de développement performante et un outil parfaitement maîtrisé, Qualys Guard se révèle puissant, simple à utiliser et soutenu par une réelle plus-value technologique.