Failles de sécurité inhérentes aux logiciels installés dans l’entreprise, mise en service sauvage d’outils de téléchargement poste à poste… Nombreuses sont les causes d’accroissement de la vulnérabilité des réseaux. Pour tenter
de pallier ces failles, les logiciels d’analyse de la vulnérabilité effectuent un scan des différents équipements présents sur un réseau. Nous avons testé la dernière édition en date (v. 5.1) de Security Analyser de NetIQ.
Installation : de multiples mises à jour
Sa mise en place commence par l’installation du framework.NET de Microsoft et se termine par la mise à jour, automatique, de la liste des vulnérabilités traitées par Security Analyser, à la manière des définitions d’un logiciel
antivirus. Sur les postes NT/2000/XP/2003 de notre maquette, seul le démarrage du service Remote Registry est requis. L’installation d’un agent est en revanche nécessaire sur chaque poste Windows 9x. Il convient ensuite de procéder à la mise à jour
manuelle du c?”ur du logiciel de NetIQ, en récupérant, sur le site de l’éditeur, les patches critiques (cinq téléchargés au moment de notre essai). Enfin, la console ne prend place que sur un poste NT 4, 2000 ou XP.
Fonctionnement : l’avantage des profils d’analyse prédéfinis
Contrairement aux outils rivaux signés eEye ou ISS, Security Analyser ne met pas en ?”uvre l’utilitaire open source d’exploration et d’audit de réseau NMAP. Il s’appuie sur une série de tests (NetBios, identification des bannières
Telnet et des services HTTP). L’inventaire proposé par défaut se révèle très rapide une fois définie la plage d’adresses IP à considérer. Il est bien sûr possible d’opter pour une autre politique parmi les 17 prédéfinies (User Security, Web
Services, Proxy and Firewall, Services Password Strength…) sachant que le logiciel propose 989 tests possibles classés selon 21 catégories. Au sein d’une catégorie, les tests sont eux-mêmes classés selon le niveau de risque. Malheureusement,
NetIQ propose un système de licence basé sur le nombre d’adresses IP incluses dans une plage d’adresses et non sur le nombre physique de stations à analyser. Il n’est pas non plus possible de sauvegarder ou d’importer les plages d’adresses IP
définies. À l’issue de l’inventaire, tous les hôtes sont détectés, mais pas pas systématiquement leur système d’exploitation. Ainsi les OS des postes NT 4, 2000 Pro, Windows 2003, Mac OS X 10.3, Linux, ou celui de notre commutateur
3Com ne sont pas reconnus. Dommage, quand on sait que de nombreuses failles sont dépendantes de l’OS. Précision importante : bien que le logiciel soit en mesure de scanner différents réseaux en traversant notamment les routeurs, il se révèle
incapable d’auditer les vulnérabilités éventuelles de ces mêmes équipements réseau. L’interface du logiciel, très intuitive, est complétée par une aide contextuelle détaillée. Elle propose un monitoring en temps réel des tests, ce qui permet de
consulter lors d’une session les résultats d’une station dès que son analyse est terminée, sachant qu’il n’est pas possible de lancer plusieurs sessions en parallèle.
Notre avis : une efficacité relative
Notre audit des 989 tests montre les limites du logiciel. Sur les postes Windows, l’outil de NetIQ ne détecte ainsi que trois vulnérabilités, là où ceux de Qualys et de Retina en détectent respectivement 29 et 26. Selon l’éditeur, ce
résultat serait dû à un problème de droit d’accès à la base de registres des postes. Problème de niveau de droit que le logiciel ne remonte à aucun moment. De plus, les tests avec Solaris (17 failles détectées contre 28 et 34), Linux (6 failles
contre 15 et 24) et Mac OS X (une faille contre 60 et 5) confirment nos constats pour Windows. La durée de l’analyse dépend des services trouvés et s’établit lors de nos tests entre 3 min sur les postes Windows et 15 min pour
Solaris.Les rapports d’audit au format HTML sont clairs et offrent une navigation par page, mais l’absence de filtre (IP, niveau de risque…) est un vrai problème. La production des rapports au format Word pourtant prévue est impossible
(erreur de macro Word Basic). Constat : Security Analyser 5.1 manque d’efficacité. Il semble plus indiqué pour analyser la vulnérabilité des réseaux Microsoft (avec un droit d’accès administrateur sur les postes), contexte où il concurrence
Microsoft BSA, proposé, lui, gratuitement en téléchargement. C’est sans doute pourquoi l’éditeur a décidé d’intégrer prochainement ce logiciel au sein de sa suite Security Manager au spectre plus étendu.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
