Tests d'intrusion : les outils des experts de la sécurité

Auditeurs externes et cellules sécurité des entreprises disposent de multiples outils pour vérifier la fiabilité d'un système d'information et identifier les vulnérabilités des applications. Le monde Open Source développe d'ailleurs de nombreux logiciels pour la réalisation d'audits et de tests d'intrusions. Les outils de fuzzing y tiennent un rôle de plus en plus important, notamment en raison d'une plus grande sensibilité en matière de sécurité applicative.

Le fuzzing est mis à contribution afin de détecter des bugs et failles dans les applications. Grâce à des logiciels, des fuzzers, il est possible de vérifier les entrées possibles sur une application donnée, et ainsi forcer les opérations dans le cas où celle-ci réagit de façon anormale.

Plus spécifiquement, Protos se décline en Protos Wap, Protos HTTP_reply, LDAP, SIP, ou encore SNMP ou ISAKMP pour analyser les implémentations IPSec. Le chercheur américain H.D Moore a probablement contribué à faire connaître les fuzzers, même si ces derniers existaient bien avant leur médiatisation au travers de l'opération du mois des bugs navigateurs en 2006.

Moore a collaboré notamment au développement de trois fuzzers dédiés aux navigateurs Internet : Hamachi, CSS-Die et DOM-Hanai. Toutefois, les fuzzers sont loin d'être les seuls outils dans la panoplie des chercheurs et des auditeurs spécialisés dans les tests d'intrusion. On doit ainsi, toujours à H.D Moore, la création de la plate-forme Open Source Metasploit. Celle-ci intègre une base d'exploits (plus d'une centaine), c'est-à-dire de codes usant de vulnérabilités, pour exécuter arbitrairement une commande sur une machine.

"L'utilisation avec succès d'une faille donne la possibilité d'exécuter sur une machine cible un code, ce qu'on appelle la charge. Cette dernière peut être par exemple la création d'un compte ou la suppression de certains fichiers. Grâce à Metasploit, il est ainsi possible pour chaque exploit, de définir la charge que l'on souhaite associer, en faisant appel à celles paramétrées dans le framework", déclarait Ali Rahbar, consultant pour le cabinet de sécurité Sysdream.

Metasploit trouve également sa place au sein du cabinet HSC qui propose désormais des formations en test d'intrusion. "Les outils utilisés lors de la formation sont tous des outils disponibles en Open Source, sans exception. Ce sont les mêmes outils que ceux que nous utilisons dans nos tests d'intrusion. Metasploit sera utilisé à plusieurs reprises mais pas seulement", précise le dirigeant de HSC, Hervé Schauer.

Pour la partie réseau, HSC recourt ainsi à Socat, Hping, Fping, Nmap, Arp, ainsi qu'à des scripts développés en interne au cas par cas. Pour les environnements Windows, Pwdump est exploité pour l'extraction de mots de passe cryptés, comme Fgdump (Metasploit ou milw0rm pour Linux/Unix). Ces crédences chiffrées extraites, elles peuvent être soumises à des outils tels que John The Ripper et RainbowCrack afin d'évaluer leur robustesse.

Sur le volet des applications Web, les experts en sécurité disposent également de logiciels matures parmi lesquels Paros Proxy, Burp Suite et WebScarab. Ces derniers sont des outils proxy qui vont émuler le navigateur pour tester des actions sur des services Web. Des extensions de sécurité s'intégrant directement à Firefox permettent également de réaliser des tests d'intrusion. ExploitMe sera ainsi prochainement disponible.