• 1 heure
  • Facile

Ce cours est visible gratuitement en ligne.

Vous pouvez obtenir un certificat de réussite à l'issue de ce cours.

J'ai tout compris !

Mis à jour le 07/03/2019

Partez à la chasse aux vulnérabilités

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Appuyez-vous sur le référencement des vulnérabilités

Les vulnérabilités sont référencées et classées au niveau mondial. Il existe un système mis en place par le MITRE, organisation à but non lucratif américaine. Ce système est le CVE, pour Common Vulnerabilities and Exposures.

Vous trouverez  ci-dessous le bulletin type d’une vulnérabilité du serveur Apache Tika (service d’extraction de métadata dans de nombreux documents). Vous pouvez constater au tout début la fameuse référence CVE, suivie généralement d’une description très succincte de la vulnérabilité. Vous n’y trouverez pas par contre d’indices sur les possibilités d’exploitation de la faille :),

Exemple de bulletin type de vulnérabilité
Exemple de bulletin type de vulnérabilité

Vous pouvez lire le score CVSS qui se veut un indicateur de la gravité de la faille, basé sur des critères objectifs et mesurables. Il y a trois métriques :

  •  les métriques de base. Elles se regroupent en deux catégories, les métriques d’exploitation et les métriques d'impact :

    • les métriques d'exploitation recouvrent :

      • le vecteur d’accès (local, réseau local, réseau) ;

      • la complexité d’accès (basse, moyenne, haute) ;

      • l'authentification (multiple, simple, inexistante).

    • les métriques d’impact incluent :

      • la confidentialité ;

      • l'intégrité ;

      • la disponibilité.

  • les métriques temporelles ;

  • les métriques environnementales.

C’est très bien, tout cela, mais est-ce que je dois m’abonner à tous les bulletins dans la perspective de rencontrer ceux impactant mon système ? Ou est-ce que je dois, de moi-même, détecter des vulnérabilités via des outils, ou à la main ?

Informez-vous grâce aux bulletins

Vous devez admettre que les deux approches sont complémentaires. Il vous faut vous tenir au courant de tous les CVE, les qualifier vis-à-vis de votre système d’information et planifier des interventions, tout en prévoyant un suivi de vos interventions. Vous pourrez vous aider pour cela d’un logiciel de gestion des correctifs, nous y reviendrons plus tard.

Vous pourrez consulter les bulletins les plus courants :

  • les trois CERT français :

    • le CERT-FR, centre gouvernemental de veille, d’alertes et de réponses aux attaques informatiques pour l’administration ;

    • le CERT RENATER pour le secteur universitaire ;

    • le CERT-IST pour l’industrie, les services et le tertiaire.

  • le CERT de l’Union européenne : CERT-EU ;

  • les autres CERT, comme les CERT étrangers :

    • maCERT, Direction générale de la sécurité du Maroc ;

    • CISA via le National Cybersecurity and Communications Integration Center.

  • les entités françaises réputées pour leur expertise, comme Vigilance d’Orange

Déployez des outils efficaces

Vous déploierez également des outils qui vont vous permettre de déterminer des vulnérabilités.

Les principaux outils sont les scanners de vulnérabilités. Ils se présentent sous forme de logiciels à installer sur votre machine, qu’elle soit virtuelle, physique ou même sur le Cloud. Vous n’avez plus qu’à lancer le scanner sur des listes d’IP spécifiques ou sur des rangs complets de machines. Ces scanners donnent alors des rapports relativement complets en détectant :

  • les machines actives ;

  • leurs ports accessibles (UDP ou TCP) ;

  • les services actifs tournant sur ces ports ;

  • les programmes installés sur la machine (avec l’aide d’un compte fourni) ;

  • les applications web ;

  • etc.

Vous avez d’autres types d’outils, comme les outils d’audit de code, de scans de port, d'audit de configuration, de gestion des patchs et correctifs, ou même des scanners de vulnérabilités plus ciblés.

Vous trouverez les plus courants ci-dessous :

  • des scanners de vulnérabilités : Nexpose, OpenVAS, Nessus ;

  • des projets open source orientés CMS : wpscan, cmsscan, cmsmap ;

  • des projets propriétaires orientés sites web : Acunetix, Xenotix, W3af, QualysGuard ;

  • des outils orientés sur le "patch management", comme les solutions de Bitdefender ou encore celles de SolarWinds ;

  • des outils d'audit de configuration comme Lynis ;

  • des scanners de port comme Nmap, sachant que celui-ci est devenu plus qu’un simple scanner de ports, avec son système de plugins intégrés.

Connaissez votre SI sur le bout des doigts

Afin de pouvoir qualifier avec précision l’importance des vulnérabilités, vous devez absolument bien connaître :

  • les noms des logiciels/matériels utilisés dans votre SI ;

  • les éditeurs associés à ces produits ;

  • les numéros de versions des matériels/logiciels ;

  • les équipements de sécurité entourant les points vulnérables (si ceux-ci comportent des protections, la priorité de l’application d’un patch peut être moindre) ;

  • les responsables des différents équipements ;

  • la criticité des services fonctionnels associés.

Répondez de façon appropriée suite au traitement

Vous devrez, en fonction de ce que vous avez mis en lumière, agir de façon adaptée.

Pour corriger les failles, vous pouvez vous y prendre de plusieurs façons :

  • installez un patch. Si un patch logiciel ou correctif est prévu par l’éditeur du produit, il suffit de l’installer, non sans s’être au préalable assuré de la fiabilité du patch lui-même. On a déjà vu des patchs de l’éditeur Microsoft, par exemple, entraîner plus de problèmes qu’ils n’en résolvaient ;

  • remplacez le logiciel. Si le patch n’existe pas, ou que nous n’avons pas la possibilité de l’appliquer, il est alors possible de supprimer le logiciel pour un logiciel équivalent remplissant le même niveau de services, mais avec un indice de vulnérabilité moindre ;

  • modifiez l'architecture. Enfin, il est tout à fait possible de modifier l’architecture de l’ensemble du système afin que la vulnérabilité n’ait pas d’impacts notables, comme par exemple en isolant au maximum les services vulnérables. Nous pouvons entourer la machine de pare-feux et contrôler strictement les entrées-sorties vers le service vulnérable, afin de limiter les possibilités d’une exploitation. Pour les services web, il existe les systèmes WAF pour stopper injections SQL et techniques de type Bypass. Vous connaissez aussi sans doute, pour JAVA, la possibilité de ne lancer que les applications signées.

En cas de patch ou de mise à jour possible

Si vous avez détecté une vulnérabilité qui fait l’objet d’un patch ou d’une mise à jour du logiciel/matériel, vous devez :

  • détecter les risques de l’application de cette mise à jour et faire des tests de non-régression, pour vous assurer que cela n’affectera pas la qualité de service ;

  • prendre connaissance des interactions avec d’autres éléments du système d’information, pour éviter les effets de bord ;

  • mettre en place une intervention pour le traitement de la vulnérabilité.

En cas de mauvaise configuration

Si vous constatez que cela est dû à une mauvaise configuration, rédigez une politique technique de sécurité qui inclut la rectification de la faille trouvée.

Si vous vous rendez compte que le problème est plus large, prévoyez au plus vite une réunion avec les architectes concernés, afin de planifier un projet de correction du service existant.

Enfin, vous vous devez de rectifier le processus de veille, si votre analyse met en lumière un défaut de celui-ci.

Intégrez votre CMDB

Vous l’aurez compris, connaître son environnement est la clé pour pouvoir identifier les vulnérabilités de votre SI. Dans un système d’information en évolution continue, il est très difficile de suivre l’ajout des nouveaux équipements. C’est pourquoi nous devons parler de CMDB. Nous sommes dans le cas de logiciels qui jouent bien malgré eux un rôle majeur en terme de sécurité.

Qu’est qu’une CMDB ?

CMDB, ou Configuration Management DataBase. C’est une base de données regroupant tous les composants de votre système d’information. Elle comprend notamment les relations entre les différents composants (logiciels et matériels) et les entités qui sont responsables (les équipes). Les dépendances entre ces différents composants sont aussi enregistrées. Ce service tente de gérer et de suivre les changements d’organisation de votre SI. Les tâches principales sont les suivantes :

  • identifier les composants à inclure dans la CMDB ;

  • gérer les personnes habilitées à modifier votre base de données ;

  • surveiller l’état de vos composants pour vous assurer que vous avez une vue cohérente et à jour ;

  • faire des audits et évaluations pour vous assurer de cette cohérence.

Exemple de certificat de réussite
Exemple de certificat de réussite