Devenir SysAdmin d’une PME - Quelques outils et scanners de vulnérabilités
Quand on est amené à être administrateur système et a gérer un parc de sites webs, et que l’on a une sensibilité à la sécurité informatique et quelques connaissances associées, que l’on a rencontré des soucis avec l’exploitation d’une faille Drupal, et qu’un certain nombre de machines du parc sont obsolètes, on se pose la question des outils et scanners de vulnérabilités pour identifier les problèmes des failles et problèmes de sécurité.
Le but de ce billet n’est pas de faire un tutoriel complet sur ces outils, juste de donner quelques noms et pistes qui peuvent être utiles. Le domaine de la sécurité étant un domaine à part entière, il vaut mieux laisser ça aux spécialistes. Mais à défaut, plutôt que de ne rien faire, si on a un peu de temps, il y a quelques petites choses que l’on peut commencer à faire.
A l’heure actuel, la plupart des sites webs classiques reposent sur deux CMS, des tas de plugins et du développement maison associés, potentiellement fait par des stagiaires ou des débutants, ou des personnes ayant peu de temps pour faire une réalisation correcte. De plus, chaque nouveau développeur aura ses plugins préférés qu’il va rajouter à l’ensemble des plugins existants (c’est du vécu) et s’il n’y a pas de gestion de projet par quelqu’un qui connaît bien l’écosystème en question, on se retrouve avec des sites usines à gaz bourrés de failles de sécurité.
Les interfaces d’administration des CMS proposent des mises à jour des plugins (quand les plugins sont maintenus), mais les mises à jour peuvent tout casser, il peut y avoir des problèmes de compatibilité...
Un bon moyen d’attirer l’attention d’une direction sur ces problématiques et de passer un scanner de vulnérabilité sur le site de l’entreprise.
Analyses des failles des sites webs - des outils
Des outils à lancer en ligne de commandes sont disponibles sur Github. J’ai personnellement testé et utilisé les outils suivants :
Pour Wordpress :
– https://github.com/wpscanteam/wpscan
– https://github.com/m4ll0k/WPSeku
Pour Drupal :
– https://github.com/droope/droopescan
Ces outils ont un usage assez similaire et listent les problèmes potentiels ou avérés à travers différentes catégories issues de différents tests.
Pour un outil plus généraliste en ligne, Mozilla propose une suite d’outil en ligne pour tester les sites webs, les connexions https, ssh... en attribuant une note (sur le principe du SSLLabs qui est dédié aux connexions Https). Ce site c’est https://observatory.mozilla.org.
Pour les systèmes d’exploitations
Je recommande Lynis. Lynis est un outil Open Source destiné aux administrateurs systèmes, et aux experts en sécurité informatique. Cet outil sert à évaluer la sécurité des systèmes Unix/Linux. Lynis scanne votre système, ainsi que les logiciels installés, à la recherche d’éventuels problèmes de sécurité, ou d’erreurs de configuration ou de vulnérabilités des systèmes. Lynis : l’outil d’audit pour les systèmes Unix/Linux
Cet outil va donner une looongue liste de tout ce qui est à vérifier et corriger et me semble assez complet.
Passer à l’étape supérieure
Avoir une liste des failles potentielles ou existantes, c’est bien, les corriger c’est mieux. Pour cela, il va falloir prendre du temps pour comprendre, faire les modifications nécessaires, s’appuyer sur des personnes ayant la connaissance et les compétences. Et vu les loooongues listes de choses à corriger, on peut très vite prendre peur ou être découragé par le travail à accomplir.
Les outils plus haut de gamme
Dans la série des outils plus haut de gamme, me viennent en tête deux outils :
L’OWASP Application Security Verification Standard Project, du projet OWASP. Open Web Application Security Project (OWASP) est une communauté en ligne travaillant sur la sécurité des applications Web. Sa philosophie est d’être à la fois libre et ouverte à tous. Elle a pour vocation de publier des recommandations de sécurisation Web et de proposer aux internautes, administrateurs et entreprises des méthodes et outils de référence permettant de contrôler le niveau de sécurisation de ses applications Web. Site de l’OWASP Application Security Verification Standard Project
Kali Linux et ses outils Kali Linux est une distribution regroupant l’ensemble des outils nécessaires aux tests de sécurité d’un système d’information, notamment le test d’intrusion. Site de Kali Linux : https://www.kali.org/. Cette distribution comporte des tas d’outils. Un certain nombre de tutoriels existent en ligne. Là encore, il faut du temps et de l’investissement pour acquérir les connaissances et compétences nécessaires à l’exploitation de ces outils.