Les sites marchands contiennent de plus en plus d’informations personnelles : numéros de carte bancaire et de compte en banque, adresse des clients, login et mot de passe, accès aux bases de données, etc. Bref, un véritable paradis pour les pirates informatiques (hackers). Mal protégés, le serveur web et le réseau de l’entreprise constituent une formidable porte d’entrée vers toutes ces données. Seul un audit régulier de l’infrastructure web aide à isoler les mauvais paramétrages, les mises à jour manquantes, etc. Édité par WebTrends, le logiciel WebTrends Security Analyzer (WSA) 3.5 audite en permanence la sécurité de l’infrastructure internet de façon à éviter, du moins à limiter, toute intrusion. Il recense plusieurs milliers de failles exploitables par les hackers, les détecte puis propose pour chacune d’elles une action corrective (mise à jour, nouveau paramétrage, etc.). Cette mise en ?”uvre montre comment mettre à rude épreuve votre infrastructure internet. WebTrends analysera uniquement les machines présentes sur votre réseau (jusqu’à 255).
1. Quelques précautions avant de commencer
WebTrends Security Analyzer est une sonde de dernière génération qui risque de perturber des outils de détection d’intrusion. Avant de lancer un test, assurez-vous que vous y êtes autorisé. La loi interdit en effet l’audit d’un site qui ne vous appartient pas. Une autorisation préalable reste indispensable, sous peine d’encourir les mêmes poursuites légales qu’un hacker.
2. Installez et paramétrez le logiciel
Téléchargez WSA 3.5 sur le site de l’éditeur ou sur celui d’Alphamedia, son distributeur officiel en France (alphamedia.fr). L’installation ne présente pas de difficulté. En fin de procédure, WSA met à jour ses fichiers de définition de faille. Il vous faudra donc être connecté lors de l’installation et patienter quelques minutes. L’enregistrement du logiciel est ensuite indispensable pour l’utiliser, même pour une version de démonstration.Avant de lancer les premiers tests, cliquez sur le bouton “Options” afin de terminer la configuration du logiciel. L’onglet “General” sert à paramétrer l’intensité des tests de façon à éviter d’écrouler vos serveurs de production. Vous avez la possibilité de régler le nombre de connexions, de threads et de scripts simultanés. Si vous maîtrisez déjà tous les aspects des tests de sécurité, WSA vous aide à redéfinir le profil de chaque test et à les rassembler par groupe.
3. Inventoriez les machines du réseau
Avant d’effectuer un test complet, listez toutes les machines et les services présents sur le réseau. Pour cela, sélectionnez le test “Inventory of localhost” et affichez les propriétés par un clic droit de la souris. Cliquez sur l’onglet “Hosts Selection” et sur “Edit”, puis cochez le bouton radio “IP Adress”. Spécifiez alors la plage d’adresses IP à tester. Inutile d’essayer d’éprouver une ou des adresses IP en dehors de votre réseau, le logiciel refusera. Si vous n’évaluez que la machine sur laquelle le programme est installé, ce paramétrage ne vous concerne pas. Validez ensuite vos modifications et activez le bouton “Scan” de la barre d’outils. WebTrends Security Analyzer vous propose un nouveau “scan” par défaut. Lancez le test en cliquant sur “OK”. Le logiciel charge alors tous ces profils de test en mémoire et commence à scanner la ou les machines. Il affiche une liste des différentes machines et services identifiés.
4. Testez la fiabilité générale du dispositif
Pour avoir une vue complète des failles de votre dispositif, lancez l’épreuve “Full Security Analysis of localhost”. Ce test dure quelques minutes, même avec une machine puissante, puisqu’il essaie de détecter l’ensemble des failles qu’il connaît. Le rapport du “scan” est présenté en fonction du niveau de risque des failles. Pour chacune d’elles, une description aide à comprendre les dangers auxquels s’expose l’entreprise, ainsi que les corrections à apporter.
5. Fermez tous les ports inutilisés
Certains services sont installés par défaut lors de la configuration initiale du serveur. Parmi eux, telnet et SNMP représentent un véritable danger puisqu’ils permettent, en partie, de prendre la main à distance sur la machine. Pour connaître les ports ouverts sur votre machine, cliquez sur l’onglet “Services” et recherchez les ports qui semblent poser problème. Vous pouvez également vous appuyer sur un logiciel comme Local Port Scanner afin de lister tous les ports susceptibles d’être utilisés par un cheval de Troie. Si vous ne les employez pas, désinstallez-les. Vous trouverez une liste des ports les plus souvent utilisés à l’adresse “c :winntsystem32driversetcservices”.
6. Supprimez les fichiers et les programmes suspects
WSA sait détecter les fichiers DLL et EXE dont la signature ne correspond pas à l’originale. C’est souvent le signe qu’un fichier est infecté par un virus ou par un cheval de Troie. Si le programme en décèle, éditez les propriétés du fichier pour vérifier qu’il est bien signé par son émetteur d’origine (Microsoft, Netscape, etc.). Si ce n’est pas le cas, la meilleure solution consiste à réinstaller le dernier Service Pack en date, puis à effectuer de nouveau un test. Certains programmes s’exécutent directement lors du lancement de Windows. C’est une des stratégies retenues par les hackers pour activer leur cheval de Troie. Si WebTrends repère un programme suspect de ce type, lancez Regedit à l’aide de “Démarrer/Exécuter”, puis vérifiez la nature du programme au niveau de la clé “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”.
7. Appliquez les correctifs et les Service Pack
L’onglet “Fix Needed” liste l’ensemble des patches et des correctifs manquants, ainsi que des actions à entreprendre pour sécuriser le système. WSA fournit toujours une adresse pour télécharger le patch ou obtenir plus d’information. Avant de l’installer, vérifiez qu’il est réellement nécessaire. Le logiciel propose parfois des mises à jour qui n’ont pas lieu d’être.
8. Gérez correctement les droits d’accès
La plupart des failles sont liées à des droits d’accès utilisateurs mal paramétrés. Par défaut, toutes les versions de Windows proposent un compte invité qui sert à réaliser certaines actions sur le serveur. C’est l’une des toutes premières failles testées par les hackers. Dans le même registre, la partition sur laquelle est installé Windows est toujours partagée par défaut. L’ensemble des programmes et des données est donc accessible pour peu que vous possédiez un login et un mot de passe suffisants.
9. Pour aller plus loin
Sur une configuration paramétrée par défaut, WSA détecte en moyenne une trentaine de failles potentiellement dangereuses. La plupart d’entre elles sont liées à de mauvais paramétrages. Vous devrez donc les vérifier une par une, puis passer à nouveau le scanner afin de valider vos modifications. Mais la seule façon de protéger efficacement vos données reste encore d’isoler vos serveurs exposés au monde internet dans une zone démilitarisée (DMZ) et d’installer un coupe-feu ou, au minimum, un proxy filtrant.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
