Le hacking automatisé complètera-t-il l'arsenal des consultants en sécurité ?

Si un outil capable d'automatiser toute la chaîne d'intrusion d'un réseau tombait entre les mains de pirates mal intentionnés, le danger serait très important. Facile à utiliser, il se rendrait encore plus menaçant en se mettant à la portée d'utilisateurs non chevronnés. A l'inverse, des consultants en sécurité pourraient éventuellement en retirer un bénéfice pour déterminer et résoudre rapidement les vulnérabilités des systèmes de leurs clients.

Dévoilée dans un article paru sur SecurityFocus.com, la promesse faite lors d'une conférence ayant précédé le salon Def Con à Las Vegas par les développeurs de l'éditeur spécialisé américain Core-SDI va même encore plus loin, puisqu'il s'agit de "rendre le hacker obsolète". Dans à peine deux mois, selon leurs dires, la bêta version de cet outil "miracle" devrait être finalisée avant d'être commercialisée à un prix le mettant hors de portée du néophyte. D'après eux, ce logiciel s'avère capable au fur et à mesure qu'il récolte une information fouillée sur la cible, de dresser la carte du réseau, de déterminer les vulnérabilités, d'élaborer les attaques pour les exploiter, voire de corriger des failles. Le secret technologique de cette bestiole ? Des agents intelligents sont chargés de communiquer entre eux via des tunnels chiffrés au fur et à mesure de leur progression d'un serveur ou d'un équipement à l'autre. L'agent initial, disposé sur le poste du consultant et relié à une base de connaissances, sert de premier relai et enregistre l'information dans des fichiers logs dans un format adapté au reporting.

L'outil de Core-SDI ne remplacera pas l'humain
Alors que ses initiateurs ont cru générer l'enthousiasme chez les consultants en sécurité, la nouvelle ne fait pas l'unanimité. Ainsi, Guillaume Malgras de CF6-Telindus juge qu'il est "intéressant mais prétentieux de dire qu'un outil sera capable de tout faire et de remplacer l'homme. D'un côté, les hackers ont d'autres techniques comme le social ingeneering (obtenir des informations en jouant le rôle de quelqu'un d'autre), qui ne sont pas traités par ce genre d'outils. Et il est facile de se faire passer pour une personne chargée du nettoyage en vue d'obtenir des informations secrètes. D'un autre côté, poursuit-il, l'humain va plus loin dans la détection des vulnérabilités en imaginant ce qu'une machine ne fera pas. Les hommes peuvent apporter une analyse plus fine, mais tous ne produisent pas le même résultat. Tout dépend de leur expertise et de leur niveau d'expérience. Si l'on prend l'exemple de SunOS qui n'a plus cours depuis plusieurs années, les jeunes sociétés n'ont pu se constituer une base de connaissances sur le sujet, alors que des experts plus anciens pourront se rappeler des méthodes qu'ils avaient employées à une certaine époque."

Ces technologies s'adapteront-elles à la complexité ?
Aujourd'hui, des pirates un peu chevronnés peuvent télécharger et utiliser plusieurs outils de tests d'intrusion sur Internet. Mais selon Guillaume Malgras, "lorsqu'un réseau est bien configuré, il n'y a rien à craindre de ce genre d'outils. Ce n'est pas une solution de les interdire, car ils aident l'entreprise à prendre conscience des problèmes de failles, et les pirates peuvent très bien programmer leurs propres logiciels." La nouveauté résiderait donc dans l'automatisation des tâches, en particulier sur le lancement des attaques et la correction des failles. A cette fin, le logiciel pourrait apprendre à "être responsable", afin qu'il n'expose pas les réseaux à de réelles conditions d'attaque susceptibles de les faire tomber.

"Et là, l'outil perd de sa crédibilité", estime le consultant de CF6-Telindus qui fait figure de société réputée pour ses pratiques en matière de tests d'intrusions mais également de simulations d'attaques virales. "Si une politique est mise en place et que les conditions d'attaque réelles n'ont pas été reproduites, comment savoir ce qui se passerait vraiment dans la réalité ? Et si le serveur est situé chez un hébergeur, il n'est pas légal de pratiquer des tests d'intrusion." Quant à l'évaluation des vulnérabilités, les pendant actuels de cet outil paraîssent susceptible d'induire en erreur. "J'en ai testé un sur un serveur sécurisé et il a identifié des milliers de failles, explique Guillaume Malgras. Et je n'ai réussi à exploiter aucunes de celles que j'ai testées en grandeur nature. Le problème de ces outils, c'est qu'ils ne donnent pas une vision globale du système d'informations, et qu'ils ne sont utiles qu'en complément d'une intervention humaine."