3 logiciels d'audit de vulnérabilité
Réaliser un audit de son réseau en vue d'y déceler les failles de sécurité est désormais pratique courante. Si les logiciels testés sont efficaces, ils ne sont toutefois que des outils d'aide à la décision, et la critique des résultats reste indispensable.

Thibault Michel , Décision Informatique, le 12/05/2004 à 07h00

Le monde de la sécurité informatique pourrait se résumer ainsi : aucun système n'étant entièrement sécurisé, mieux vaut multiplier les systèmes de protection afin de prévenir les attaques. En complément des solutions de filtrage, il paraît donc indispensable de disposer d'un outil efficace permettant de réaliser un audit de son réseau pour mettre en exergue les éventuelles failles afin de les combler rapidement.

 

Une étude du cabinet Yankee Group en mars dernier tire un certain nombre d'enseignements liés aux vulnérabilités : « Il faut en moyenne 30 jours aux entreprises pour corriger la moitié des systèmes vulnérables, et 80 % des vulnérabilités sont exploitées dans les 60 jours suivant leur annonce publique. » La tâche n'est donc pas aisée, bien qu'elle soit d'une importance capitale. Le terme vulnérabilité couvre un spectre assez large : il peut s'agir de s'assurer qu'une mise à jour a bien été effectuée sur un OS, qu'il n'y a pas de compte administrateur sans mot de passe, qu'un routeur dispose de la dernière version de firmware (microcode), etc.

 

La plupart des logiciels d'audit de vulnérabilité fonctionnent sur un modèle en trois étapes : tout d'abord, une phase de découverte durant laquelle le logiciel balaye le réseau pour découvrir les adresses IP des machines. Des paquets de type « ping » sont envoyés à vitesse variable en fonction de la latence du réseau, de la performance de la machine, etc. Un scan des ports est ensuite effectué pour vérifier leur état : fermé, ouvert, filtré.

 

Des données consolidées sur une console d'administration

 La seconde étape consiste à détecter les systèmes d'exploitation présents sur les machines. Pour ce faire, un certain nombre de paquets « spéciaux » sont envoyés, le système d'exploitation étant identifié en fonction de la réponse de l'équipement visé (les réponses types étant répertoriées dans une base de données Nmap). Enfin, une analyse est effectuée au niveau 7 du modèle OSI, afin de détecter les services qui tournent sur la machine. L'ensemble des données est envoyé vers une console d'administration qui, le cas échéant, peut les mettre en évidence sous la forme de rapports.

 

Nous avons choisi de tester des solutions en local, dépourvues d'agents : le scan s'effectue donc à la demande. Trois éditeurs ont répondu à notre appel : Tenable Network Security, ISS (Internet Security Systems) et eEye Digital Security. Dans l'ensemble, les solutions se sont révélées assez efficaces : toutes ont découvert l'ensemble des machines installées sur notre plate-forme et ont su identifier les systèmes d'exploitation (à l'exception de Mac OS X et de Solaris) ainsi que les services de chaque système. Leur installation s'est révélée relativement simple, la seule opération à effectuer étant la préparation du système : installation des services pack et des bases de données, qui ne sont pas toujours inclus dans le CD-ROM du logiciel. Seul l'outil de Tenable ne propose pas d'aide en ligne ; il est par ailleurs le plus complexe à mettre en oeuvre, son déploiement s'effectuant avec Linux. Toutes les solutions peuvent planifier les audits et paramétrer une heure de fin de scan réseau, de façon, par exemple, à ne pas perturber un environnement en phase de production.

 

Pour vérifier la validité des vulnérabilités détectées, tous disposent d'un mode de test agressif simulant des attaques. Par ailleurs, ils proposent des recommandations pour remédier aux vulnérabilités. En revanche, tous ces logiciels fonctionnent dans un environnement propriétaire et sont difficilement compatibles avec d'autres outils. Il y a peu d'options d'optimisation et de personnalisation qui permettraient d'adapter précisément la solution à une infrastructure d'entreprise.

 

L'interprétation humaine reste indispensable

 Nous nous sommes intéressés à deux types de comptes rendus : D'une part les rapports exécutifs, souvent très graphiques et destinés au DSI ; d'autre part les rapports techniques, qui présentent à l'administrateur les vulnérabilités rencontrées. Dans les deux cas, les rapports sont conçus pour servir d'aide à la décision, mais ils ne peuvent être considérés comme une information toujours exacte, dans la mesure où ils comportent un certain nombre de faux positifs. De plus, aucun logiciel ne s'est révélé fiable à 100 % et il faut être prudent : lors d'un test consistant à dissimuler certains services derrière des ports inhabituels, seul Tenable a été efficace. Ainsi, même si la tendance consiste à multiplier les outils d'évaluation des attaques, l'intervention humaine reste indispensable. Le travail de l'administrateur est essentiel, et il est encore trop tôt pour prétendre protéger une architecture uniquement par des dispositifs techniques d'interprétation des résultats. Le responsable sécurité a décidément encore de beaux jours devant lui !

 
Le périmètre du test

Les éditeurs devaient nous fournir des logiciels d'audit de vulnérabilité agissant au niveau local, sans agents. Contrairement à un IDS (Intrusion Detection System), qui analyse le trafic pour détecter un paquet malveillant, ces logiciels envoient des flux pour déceler une vulnérabilité. C'est pourquoi nous avons choisi de ne pas retenir l'outil Qualys-Guard Intranet Scanner de Qualys, une solution de sécurité en ligne associée à un boîtier de détection des vulnérabilités. Sur les trois logiciels testés, ceux d'ISS et d'eEye Digital Security fonctionnent avec Windows tandis que celui de Tenable Network Security fonctionne avec Linux.

 

Les résultats par critère
Identifier les failles pour protéger le système

La rédaction , Décision Informatique, le 03/05/2004 à 00h00

 

1. Inventaire et découverte
Cliquez ici pour agrandir l'image
Quel que soit l'éditeur, tous les logiciels découvrent l'ensemble des machines installées sur notre plate-forme. Avec une réserve cependant : Internet Scanner d'ISS ne détecte pas par défaut les postes qui bloquent le protocole ICMP, puisqu'il envoie des pings pour détecter les serveurs. Cet éditeur est cependant le seul à proposer plusieurs degrés de détection à l'aide d'un paramétrage assez simple. Généralement, les systèmes d'exploitation sont bien identifiés. Seules les machines d'Apple et de Sun n'ont pas été découvertes de façon correcte. Les différentes solutions testées ont également bien trouvé les services des systèmes. En revanche, seul Nessus a été efficace lors du test de services dissimulés.

 

2. Pertinence de l'audit
Cliquez ici pour agrandir l'image
Après avoir identifié un certain nombre de vulnérabilités dans les divers équipements de notre réseau, nous avons analysé comment ils étaient mis en évidence et quelles possibilités de planification et de personnalisation étaient offertes. Dans l'ensemble, les résultats liés à la pertinence ne sont pas brillants : si la détection des failles de Windows est bonne, les logiciels restent inopérants quant à celles de nos équipements réseau. Tous peuvent planifier les audits avec une échéance. Ils effectuent eux-mêmes les attaques pour s'assurer de la véracité des vulnérabilités. Mais ils proposent peu d'options d'optimisation et de personnalisation.

 

3. Gestion des vulnérabilités
Cliquez ici pour agrandir l'image
À l'exception d'eEye, les éditeurs testés sont compatibles avec CVE, Bugtraq et Cert en plus de leur propre nomenclature. La classification des vulnérabilités est, en revanche, différente d'un acteur à l'autre : ISS propose de bonnes fonctions (tris, détails CVE, vulnérabilités les plus actives) tandis que les classifications d'eEye sont parfois imprécises. Toutes les solutions testées n'offrent pas une bonne compatibilité avec d'autres équipements tels que coupe-feu, routeurs, etc. Par ailleurs, aucune ne peut utiliser de requêtes OVAL (Open Vulnerability Assessment Language). Tous les éditeurs proposent des recommandations pour pallier les vulnérabilités, mais seul Tenable permet à l'administrateur de suivre les correctifs.

 

4. Rapports et alertes
Cliquez ici pour agrandir l'image
Nous avons évalué deux types de rapports : un premier exécutif, censé présenter la tendance du réseau au DSI et un second, plus technique, destiné à l'administrateur système. ISS et eEye fournissent d'appréciables rapports prédéfinis. De plus, le rapport exécutif d'eEye comporte un graphique des niveaux de risque et des vulnérabilités les plus fréquents, ainsi que des machines les plus critiques. Les rapports d'ISS sont insuffisants. Seules les solutions de Tenable et d'eEye peuvent envoyer des alertes à l'administrateur système lorsqu'une machine vulnérable est détectée.

 

5. Facilité d'emploi et sécurité
Cliquez ici pour agrandir l'image
Pour tous les éditeurs, l'exécution du premier scan par défaut est simple. Par la suite, les audits peuvent être programmés directement depuis l'interface, ou commandés en ligne pour ISS. Tenable est le seul à ne pas suivre les audits en temps réel, mais il est, en revanche, le seul à autoriser une pause lors d'un scan. eEye peut produire automatiquement un rapport à la suite d'un audit. Tous proposent des interfaces en anglais associées à une aide en ligne. Si tous chiffrent les données entre la console et le logiciel d'audit, seul eEye stocke de façon sécurisée les résultats.

 
La méthodologie

Un premier test vise à détecter les noeuds du réseau, les OS et les services ; le second à rechercher les vulnérabilités, failles ou les mauvaises configurations. Nous avions intégré les systèmes d'exploitation Windows NT 4 SP4, 2000 SP3, XP avec coupe-feu filtrant ICMP, 2000 Pro SP4, 2003 Enterprise fr, 98 SE, ainsi que Red Hat 9, Solaris 5.8 et Free-BSD. Notre réseau comptait aussi : un point d'accès Cisco Aironet 1100, un commutateur 3Com, des routeurs Cisco 1720 et 1750. Après avoir comparé l'information remontée avec la configuration effective, nous avons évalué la classification des vulnérabilités et les éventuelles synchronisations avec d'autres bases. Enfin, les dispositifs de sécurisation de l'information sur les vulnérabilités ont été relevés.

Retina Network Security Scanner

La rédaction , Décision Informatique, le 03/05/2004 à 00h00

 

Bon rapport qualité/prix

 Comme les autres logiciels, ce scanner a bien détecté les machines de notre plate-forme de test. Seuls Windows 98 SE, Mac OS 10.3 et le point d'accès Cisco n'ont pas été identifiés correctement. Sa configuration est relativement aisée et le premier scan simple à lancer. L'aide en ligne est également efficace. L'administrateur a la possibilité de définir des tests personnalisés de façon simple, grâce à un assistant. En revanche, il n'y a pas de scan automatique des nouveaux utilisateurs. Les remontées d'alertes sont assez précises. Elles peuvent être classées par niveau de risque et envoyées par messages Windows. On regrette l'absence de tableau de suivi des interventions. Par ailleurs, eEye n'utilise pas la nomenclature de Cert. Les rapports peuvent être classés par utilisateur et par groupe. Le rapport exécutif bénéficie d'une bonne présentation avec, notamment, un résumé graphique des vulnérabilités. Le rapport technique présente celles-ci par niveau de risque. L'ensemble des données qui circulent entre la console et le logiciel d'audit de vulnérabilités sont chiffrées, et les résultats peuvent être stockés de façon sécurisée.

 
Caractéristiques

Version 4.9.153, mise à jour le 27 janvier 2004.

Points forts

- Bonne présentation des rapports.

- Bonne aide en ligne.

- Tests personnalisés.

Points faibles

- Problèmes d'identification.

- Pas de gestion des correctifs.

- Pas de tableau de suivi des interventions.

Notes

- Inventaire et découverte : 6,3

- Pertinence de l'audit 6,2

- Gestion des vulnérabilités 2,6

- Rapports et alertes 5,7

- Facilité d'emploi et sécurité 6,4

Prix

6 060 euros HT pour 256 adresses IP.



 
Internet Scanner 7.0

La rédaction , Décision Informatique, le 03/05/2004 à 00h00

 

Bien conçu mais cher

 Bien que cette solution pour Windows soit de loin la plus chère du comparatif, elle n'a pas su identifier correctement les systèmes Windows 98 SE, Linux 2.4 et Mac OS 10.3 de notre plate-forme, ni les services dissimulés. Simple d'installation, le logiciel propose des politiques préconfigurées par système cible et par niveau de test, et autorise le scan automatique des nouveaux utilisateurs. En revanche, il n'inclut ni outil de création de tests personnalisés ni inventaire systématique entre deux scans. Internet Scanner indique les vulnérabilités les plus récentes avec les préconisations relatives aux mises à jour. Cependant, il ne comporte pas de tableau de bord de suivi des interventions. De nombreux rapports prédéfinis sont proposés. Le rapport exécutif bénéficie d'une interface de bonne qualité et d'un diagramme avec les vulnérabilités classées par risque, certes un peu trop concis. Il en va de même pour le rapport technique, qui dispose d'une bonne présentation mais manque de consistance. Un rapport sur les parades à appliquer est également proposé. L'administrateur a la possibilité de suivre en temps réel les audits, mais il ne peut stocker les résultats de façon sécurisée.

 
Caractéristiques

Version 7.0 2003 310 (XPU16), mise à jour le 27 janvier 2004.

Points forts

- Bonne présentation des rapports.

- Nombreuses politiques préconfigurées.

Points faibles

- Prix.

- Problème d'identification.

- Le scan repose par défaut sur ICMP.

Notes

- Inventaire et découverte 6,2

- Pertinence de l'audit 5,5

- Gestion des vulnérabilités 5,5

- Rapports et alertes 4,1

- Facilité d'emploi et sécurité 6,7

Prix

11 000 euros HT pour 250 adresses IP.



 
Nessus 2.0.9 +Lightning Console 2.0.3

La rédaction , Décision Informatique, le 03/05/2004 à 00h00

 

L'open source privilégié

 Ce logiciel est le seul du comparatif à être compatible avec Linux. Il utilise la solution open source Nessus, sur laquelle a été ajoutée la console d'administration Lightning Console. S'il est un peu plus complexe à déployer que ses concurrents, il est assez simple à utiliser : le premier scan s'effectue aisément ; il est possible de comparer deux scans successifs ; la mise à jour, facile, se fait par interface graphique... Lors de nos tests, il est celui qui a, logiquement, le mieux identifié les services Linux. Il s'est également bien comporté pour détecter Mac OS 10.3, les points d'accès Cisco Aironet ainsi que les services dissimulés. En revanche, il a été moins performant pour repérer Windows XP protégé par un coupe-feu personnel. Lightning Console laisse la possibilité de centraliser le contrôle de plusieurs scanners et peut se coupler aux log de certains IDS et IPS. Lorsqu'une faille est détectée, une parade est proposée. Le rapport exécutif est assez complet (vulnérabilités classées par niveau de risque, par fréquence, lien avec explication sur leur nature), mais la présentation reste moyenne. Le rapport technique est clair et exhaustif, mais le stockage des résultats n'est pas sécurisé. Enfin, les alertes peuvent être envoyées par e-mail.

 
Caractéristiques

Nessus 2.0.9 et Lightning Console 2.0.3. Mise à jour des plug-in datée du 3 février 2004.

Points forts

- Identification des services Linux.

- Bon niveau de détail.

- Interfaçage avec les langages C et NASL.

Points faibles

- Complexité de déploiement.

- Stockage des alertes en clair.

Notes

- Inventaire et découverte 6,8

- Pertinence de l'audit 6,1

- Gestion des vulnérabilités 7,6

- Rapports et alertes 7,5

- Facilité d'emploi et sécurité 6,5

Prix

7 996 euros HT pour 255 adresses IP.