I. EVALUATION DE VULNERABILITE
I.1 C’est quoi une vulnérabilité ?
Une vulnérabilité est une faille sur la conception, une erreur d’implémentation ou de configuration que l’on peut utiliser et exploiter pour accéder au système d’une cible.
I.2 Les concepts d’évaluation de vulnérabilité
Les vulnérabilités peuvent être classées dans différents catégories en se basant sur leurs niveaux de sévérité (faible, moyen ou élevé) et sur la portée de l’attaque (locale ou distante).
I.2.1 Pourquoi évaluer les vulnérabilités ?
L’évaluation de vulnérabilité permet de :
- recueillir des informations sur les tendances de sécurité, les menaces et les attaques
- trouver des faiblesses et les signaler à l’administrateur
- prévenir les problèmes de sécurité
- savoir comment se remettre d’une attaque
I.2.2 Causes des vulnérabilités :
Les vulnérabilités peuvent être causées par :
- Une mauvaise configuration
- Les installations par défaut
- Les débordements de tampon
- Des failles non corrigés sur les serveurs
- Les failles de système d’exploitation
- Les failles d’application
- Les mots de passe par défaut
I.2.3 C’est quoi évaluer une vulnérabilité ?
C’est le fait d’examiner la capacité d’un système ou d’une application à résister aux attaques.
Il permet d’identifier des failles de sécurité dans un système informatique et des canaux de communication comme les ports ouverts, les services, les erreurs de configuration, etc. afin de pouvoir y apporter des améliorations.
I.2.4 Les types d’évaluation :
Il existe différents types d’évaluation :
- L’évaluation active : cette évaluation agit directement sur les hôtes, les services, etc.
- L’évaluation passive : cela se fait en reniflant le réseau pour regarder les éventuelles vulnérabilités.
- L’évaluation externe : c’est une évaluation qui se fait depuis l’extérieur.
- L’évaluation interne : c’est une évaluation qui se fait depuis l’intérieur.
- L’évaluation basée sur l’hôte : ce type d’évaluation se fait sur un hôte spécifique (serveur web, serveur de base de données, etc.)
- L’évaluation d’un réseau : c’est le fait d’analyser directement la sécurité d’un réseau pour identifier les failles.
- L’évaluation d’une application : c’est le fait d’évaluer les vulnérabilités d’une application sur un serveur par exemple.
- L’évaluation d’un réseau sans fil : l’évaluation se fait sur le réseau sans fil.
I.3 Cycle de vie de la gestion d’une vulnérabilité
Pour bien évaluer les vulnérabilités, il faut suivre différentes phases.
I.3.1 Phase de pré-évaluation : créer des lignes de base
Cette phase consiste à :
- Identifier et comprendre le processus
- Identifier les applications, les données et les services
- Faire un inventaire de tous les actifs de l’organisation et classer par ordre de priorité ceux qui sont critiques
- Cartographier le réseau
- Identifier les contrôles existants
- Comprendre les normes et politiques de sécurité
- Définir la portée
- Créer des procédures de protection des informations pour appuyer la planification
I.3.2 Phase d’évaluation
C’est la phase de l’évaluation proprement dit et elle consiste à :
- Examiner la sécurité physique
- Vérifier les erreurs humaines et les mauvaises configurations
- Faire des scans de vulnérabilité avec Nessus, Nmap, Acunetix, GFI languard.
- Prioriser les vulnérabilités
- Appliquer les résultats du scan au contexte technologique et économique.
- Effectuer la collecte d’informations OSINT pour confirmer les vulnérabilités trouvées
- Faire un rapport d’analyse
I.3.3 Phase de post-évaluation
Cette phase d’après évaluation permet de faire une :
- Evaluation de risque : Cela consiste à caractériser le risque, évaluer le niveau d’impact et déterminer la menace et le niveau du risque.
- Réparation (pas de solutions, juste des recommandations) : Il faut privilégier la recommandation, développer un plan pour la mettre en place, effectuer une analyse profonde des causes, appliquer des correctifs, saisir les leçons apprises et faire des sensibilisations.
- Surveillance : La surveillance se fait avec les outils de détection et de prévention d’intrusion (IDS/IPS) et l’implémentation des procédures de contrôle.
I.4 Comparaison des approches sur l’évaluation de vulnérabilité
Il existe différentes approches : les solutions basées sur le produit, les solutions basées sur le service, l’évaluation à base et l’évaluation à base de déduction.
I.4.1 Approche basée sur le produit
Cela consiste à installer un dispositif d’évaluation sur le réseau interne de l’organisation. S’il se trouve derrière un pare-feu, il ne pourra pas toujours détecter les attaques de l’extérieur.
I.4.2 Approche basées sur le service
Cela peut être fait par des sociétés qui évoluent dans le domaine d’audit de sécurité. Certaines des solutions sont hébergées à l’intérieur, d’autres à l’extérieur du réseau. L’inconvénient est que les attaquants peuvent auditer le réseau depuis l’extérieur.
I.4.3 Evaluation à base d’arbres
L’auditeur utilise différents stratégies pour chaque hôte selon leur niveau de criticité. L’administrateur doit commencer par fournir un plan de renseignement (shot of intelligence).
I.4.4 Evaluation à base de déduction
Le Scan débute avec l’inventaire des protocoles trouvés sur la machine. Après cela, le scan va permettre de savoir quels sont les services qui tournent derrière les ports ouverts (serveur de messagerie, serveur web, serveur de données). Après avoir découvert les services, ce sera la découverte de vulnérabilité sur chaque machine selon les types de services qui y sont disponibles et tenus en compte. En d’autres termes, cela consiste à faire une énumération approfondie sur ces services.
II. DEROULEMENT DU SCAN DE VULNERABILITE
II.1 Les types d’outils
Il existe différents types d’outils dans le domaine d’analyse de vulnérabilité :
- Outils basés sur l’hôte : ils sont installés sur l’hôte et permettent de déceler des vulnérabilités sur les ports disponibles sur ce dernier.
- Outils d’évaluation en profondeur : ils permettent de trouver des vulnérabilités inconnues, c’est-à-dire des vulnérabilités que les IDS/IPS ou pare-feu ne connaissent pas.
- Outils de la couche Application : ils permettent d’évaluer une application dans un hôte pour regarder s’il n’y a pas de failles sur les codes sources.
- Outils d’évaluation de portée : dédiés aux pare-feu, IDS/IPS, bases de données, cloud, etc. Ils sont destinés à un but spécifique.
- Outils d’évaluation active/passive : cela consomme les ressources du réseau (pour l’évaluation active), étudie les données du système et effectue leur traitement (pour l’évaluation passive).
- Outils de localisation/données : ces outils sont destinés à un lieu donné. Par exemple, il est possible d’utiliser un Proxy pour voir certains vulnérabilités sur un endroit, ou utiliser un Scanner sur un réseau.
Caractéristiques d’une bonne solution d’évaluation de vulnérabilité :
- S’assurer que les résultats sont corrects en testant le réseau
- Approche basée sur la déduction
- Bases de données mises à jour
- Rapport de vulnérabilités par niveau de sécurité
- Supporter divers réseaux
- Remèdes appropriés
- Vue extérieure des attaquants
II.2 Choix d’outils d’évaluation
Pour choisir un outil d’évaluation, il faut choisir un qui :
- Contient plusieurs signatures d’attaques ;
- Correspond à votre environnement et domaine d’expertise ;
- Met à jour régulièrement ses scripts de tests de vulnérabilité ;
- Génère des rapports ;
- Vérifie les différents niveaux de pénétration pour éviter les blocages.
Les critères à tenir en compte pour l’outil d’évaluation portent sur :
- Ses types de vulnérabilités à évaluer ;
- Ses capacités de test ;
- Ses aptitudes ;
- Son efficacité et sa précision ;
- Sa recherche intelligente ;
- Ses fonctionnalités ;
- Ses planifications d’exécution de tests ;
Et dans la pratique, il faut :
- Qu’il ne puisse pas endommager le réseau ;
- Essayer de comprendre ses fonctionnalités ;
- Localiser la source ;
- Activer la journalisation ;
- Scanner divers systèmes fréquemment.
II.3 Les systèmes de notation des vulnérabilités
Pour les systèmes de notation, on peut citer :
- Système commun de notation de vulnérabilité (ou Common Vulnerability Scoring System, en anglais – CVSS) : il offre un cadre ouvert pour partager les impacts et les caractéristiques des vulnérabilités découvertes dans le domaine de l’informatique.
- Vulnérabilités et Divulgations communes ou CVE (Common Vulnerabilities and Exposures) : c’est une base de données qui permet de partager un ensemble de vulnérabilités déjà connues.
- Base de données nationale de vulnérabilité ou NVD (National Vulnerability Database) : c’est un référentiel standard du gouvernement américain basé sur les données de gestion des vulnérabilités. Ces données activent l’automatisation de la gestion des vulnérabilités, des mesures de sécurités et de conformité. Ce référentiel est constitué de bases de données contenant des listes de contrôle de sécurité, des noms de produit et des mesures d’impacts.
Ressources : SECURITY MAGAZINE, SECURITY FOCUS,HACKER STORM, EXPLOIT-DB.COM.
II.4 Outils d’évaluation de vulnérabilité
Ils existe de nombreux outils d’évaluation de vulnérabilité, mais nous ne pouvons en citer que quelques uns : QUALYS, NESSUS, LANGUARD, NIKTO, OPENVAS, RETINACS, SAINT, MICROSOFT BASELINE SECURITY ANALYZER (MBSA), AVDS, BURP SUITE, NMAP, ACUNETIX, RETINA CS FOR MOBILE, SECURITY METRICS, NESSUS, NETSCAN.
II.5 Rapport d’évaluation de vulnérabilité
Le rapport d’évaluation dévoile les risques détectés lors du scan du réseau.
Il permet d’alerter l’organisation sur les éventuelles attaques et proposer des contremesures.
Les informations disponibles dans ce rapport sont utilisées pour fixer des règles de sécurité.
Contenu du rapport d’évaluation :
- Informations sur le scan ;
- Information sur la cible ;
- Résultats.