30/07/01
Le
hacking automatisé complètera-t-il l'arsenal des consultants
en sécurité ?
Si un outil capable d'automatiser
toute la chaîne d'intrusion d'un réseau
tombait entre les mains de pirates mal intentionnés,
le danger serait très important. Facile à
utiliser, il se rendrait encore plus menaçant
en se mettant à la portée d'utilisateurs
non chevronnés. A l'inverse, des consultants
en sécurité pourraient éventuellement
en retirer un bénéfice pour déterminer
et résoudre rapidement les vulnérabilités
des systèmes de leurs clients.
Dévoilée
dans un article paru sur SecurityFocus.com,
la promesse faite lors d'une conférence ayant
précédé le salon Def Con
à Las Vegas par les développeurs de l'éditeur
spécialisé américain Core-SDI
va même encore plus loin, puisqu'il s'agit de
"rendre le hacker obsolète". Dans à
peine deux mois, selon leurs dires, la bêta version
de cet outil "miracle" devrait être
finalisée avant d'être commercialisée
à un prix le mettant hors de portée du
néophyte. D'après eux, ce logiciel s'avère
capable au fur et à mesure qu'il récolte
une information fouillée sur la cible, de dresser
la carte du réseau, de déterminer les
vulnérabilités, d'élaborer les
attaques pour les exploiter, voire de corriger des failles.
Le secret technologique de cette bestiole ? Des agents
intelligents sont chargés de communiquer entre
eux via des tunnels chiffrés au fur et à
mesure de leur progression d'un serveur ou d'un équipement
à l'autre. L'agent initial, disposé sur
le poste du consultant et relié à une
base de connaissances, sert de premier relai et enregistre
l'information dans des fichiers logs dans un format
adapté au reporting.
L'outil
de Core-SDI ne remplacera pas l'humain
Alors
que ses initiateurs ont cru générer l'enthousiasme
chez les consultants en sécurité, la nouvelle
ne fait pas l'unanimité. Ainsi, Guillaume Malgras
de CF6-Telindus
juge qu'il est "intéressant mais prétentieux
de dire qu'un outil sera capable de tout faire et de
remplacer l'homme. D'un côté, les hackers
ont d'autres techniques comme le social ingeneering
(obtenir des informations en jouant le rôle de
quelqu'un d'autre), qui ne sont pas traités par
ce genre d'outils. Et il est facile de se faire passer
pour une personne chargée du nettoyage en vue
d'obtenir des informations secrètes. D'un autre
côté, poursuit-il, l'humain va plus loin
dans la détection des vulnérabilités
en imaginant ce qu'une machine ne fera pas. Les hommes
peuvent apporter une analyse plus fine, mais tous ne
produisent pas le même résultat. Tout dépend
de leur expertise et de leur niveau d'expérience.
Si l'on prend l'exemple de SunOS qui n'a plus cours
depuis plusieurs années, les jeunes sociétés
n'ont pu se constituer une base de connaissances sur
le sujet, alors que des experts plus anciens pourront
se rappeler des méthodes qu'ils avaient employées
à une certaine époque."
Ces technologies s'adapteront-elles
à la complexité ?
Aujourd'hui, des pirates un peu chevronnés
peuvent télécharger et utiliser plusieurs
outils de tests d'intrusion sur Internet. Mais selon
Guillaume Malgras, "lorsqu'un réseau est
bien configuré, il n'y a rien à craindre
de ce genre d'outils. Ce n'est pas une solution de les
interdire, car ils aident l'entreprise à prendre
conscience des problèmes de failles, et les pirates
peuvent très bien programmer leurs propres logiciels."
La nouveauté résiderait donc dans l'automatisation
des tâches, en particulier sur le lancement des
attaques et la correction des failles. A cette fin,
le logiciel pourrait apprendre à "être
responsable", afin qu'il n'expose pas les réseaux
à de réelles conditions d'attaque susceptibles
de les faire tomber.
"Et là, l'outil perd de sa crédibilité",
estime le consultant
de CF6-Telindus qui fait figure de société
réputée pour ses pratiques en matière
de tests d'intrusions mais également de
simulations d'attaques virales. "Si une politique
est mise en place
et que les conditions d'attaque réelles n'ont
pas été reproduites, comment savoir ce
qui se passerait vraiment dans la réalité ?
Et si le serveur est situé chez un hébergeur,
il n'est pas légal de pratiquer des tests d'intrusion."
Quant à l'évaluation des vulnérabilités,
les pendant actuels de cet outil paraîssent susceptible
d'induire en erreur. "J'en ai testé un sur
un serveur sécurisé et il a identifié
des milliers de failles, explique Guillaume Malgras.
Et je n'ai réussi à exploiter aucunes
de celles que j'ai testées en grandeur nature.
Le problème de ces outils, c'est qu'ils ne donnent
pas une vision globale du système d'informations,
et qu'ils ne sont utiles qu'en complément d'une
intervention humaine."
|