Évaluation de la sécurité du système informatique

Test de vulérabilité
Module B3 SISR A.DINIS le 08/10/2021

Objectif : Évaluer le niveau de vulnérabilité d’un système

La définition de la sécurité du système d’information est complexe néanmoins, les points principaux sont
empêcher la divulgation non-autorisée de données. empêcher la modification non-autorisée de données.
empêcher l'utilisation non-autorisée de ressources réseau ou informatiques de façon générale.

On peut définir les fondements de la sécurité informatique comme suit :

✔
✔ L'intégrité : garantir que les données sont bien celles que l'on croit être.
✔ La disponibilité : maintenir le bon fonctionnement du système d'information.
✔ La confidentialité : rendre l'information inintelligible à d'autres personnes que
les seuls acteurs d'une transaction.confidentialité

Pour garantir un niveau de sécurité nécessaire à une organisation, il indispensable de réaliser des audits
réguliers pour déterminer les éventuelles failles du système.
Il existe différentes méthodes et outils pour réaliser ces tests.

Les tests d’intrusions et de vulnérabilités

Les scanners de vulnérabilité et les tests d’intrusion ( aussi appelé PENTEST ) sont les techniques les plus
courantes pour découvrir les failles de cybersécurité.
Bien qu’il existe des similitudes entre les deux, elles donnent lieu à des degrés d’analyse très différents.
Les scanners de vulnérabilité sont généralement utilisés afin de détecter les
vulnérabilités communes
Les pentests, en revanche, identifient à la fois les vulnérabilités bien
documentées et celles qui n’ont jamais été vues auparavant, tout en fournissant
des preuves de leur impact potentiel sur votre entreprise par le biais de son
exploitation.
Étapes de mise en œuvre d’un test d’intrusions Étapes de mise en œuvre d’un test de
vulnérabilité

Nous allons dans la suite étudier un outil de scan de vulnérabilité.

Installation de l’outil de scan de vulnérabilité

On peut citer plusieurs outils permettant de scanner les vulnérabilités comme , Qualys, Nessus, Nexpose…
Pour notre part nous utiliserons Le logiciel OpenVAS (Open Vulnerability Scanner) qui est un logiciel libre et
Open Source , fork du logiciel du même type, Nessus.
Vous l’imaginez bien, l’installation contient des multiples composants et n’est pas du tout évidente.
Pour simplifier nous allons utiliser une installation de type container dans un container Docker.
L’installation du scanner de vulnérabilité OpenVAS étant longue, passons toute de suite à la suite.

Installation de docker
Vous disposez en annexe d’une présentation du principe des conteneurs virtuels que vous lirez un peu plus
tard.
Nous allons utiliser notre machine hote pour installer le scanner de vulnérabilite, il faut donc tout d’abord
installer docker sur votre système.
sudo apt update
sudo apt install docker.io

Vérifier ensuite que Docker est bien lancé et éventuellement sa version :

systemctl status docker
docker -v

Installation de OpenVAS
Vous allez installer OpenVas sur une machine cliente de votre environnement M2L. Vous disposez de deux
clients, sélectionner le client habituellement utilisé comme client graphique. Ajouter de la RAM à ce client, 2GO
pour commencer.
Nous allons lancer l’installation du container. Dans un premier temps nous allons télécharger l’image sur
Docker Hub :
#docker pull mikesplain/openvas:9

C’est là que Docker, Mike Splain propose une version d’OpenVAS 9 conteneurisée et fonctionnelle. Pour ceux
qui ont déjà une maitrise des dockerfile, vous pouvez observer la composition du container openvas-docker
l’image de base utilisée est une Ubuntu:16.04, l’ensemble des dépendances du logiciel sont installées, les
sources externes sont récupérés et les ports 443 et 9390 sont exposés.
L’utilisation de ce container est expliqué ici
Le téléchargement de l’image est long car il doit télécharger l’ensemble des composants du logiciel :

Donc pendant ce temps nous allons prendre connaissance des éléments de cybersécurité indiqués ci-dessous
et représenter la carte mentale correspondant à ces 3 articles

• Les Tests d’Intrusion vs les Scanners de Vulnérabilités

• Questions Fréquentes sur les Tests d'Intrusion

• Top 5 Cybermenaces en 2020 ( mesure de conception )

Une fois l’installation terminée, nous pouvons maintenant lancer directement notre conteneur avec la
commande suivante :
#docker run -d -p 443:443 -p 9390:9390 --name openvas mikesplain/openvas:9

• -d pour que le conteneur se lance en fond

• -p pour exposer les différents ports ici le 9390 ( qui doit être dispo sur votre machine)
• –name pour définir le nom de l’image
Vous pouvez en suite voir l’évolution de l’installation des services avec la commande suivante :
#docker top openvas
Utilisation du scanner
Ce scanner de vulnérabilité nous permettra donc de découvrir de façon manuelle ou automatisée les
éventuelles failles de sécurité connue sur nos systèmes. Pour ce faire le logiciel embarque en interne une base
des failles ( nommée CVE, où NVT ) dans OpenVAS. Il faut donc la mettre à jour régulièrement. D’autres
options concernant la mise à jour de la base ou la gestion des volumes, sont directement expliquées sur la
page Docker Hub de l’image.

La connexion à l’interface WEB du logiciel OpenVas se fera sur le port 443 . Si vous êtes sur le client sur
lequel est installé OpenVAS, l’accès se fera via l’url https://localhost ou https://127.0.0.1

( A noter que le port standard de OpenVas est 9392. Dans ce cas il faudrait utiliser l’url @ip:9392, mais dans
notre cas nous avons lancé l’applicatif OpenVas sur le port 443- cf les options de lancement du container
Docker OpenVas-
Le premier accès est lent !!
Par défaut, un certificat auto-signé est généré pour l’accès en HTTPS. Pour vous connecter utilisez
admin/admin.

Vous pouvez maintenant accéder à l’interface d’OpenVAS en cliquant sur DashBord.

Mon premier scan de vulnérabilité!
Deux méthodes pour lancer un audit depuis Openvas :
• la plus rapide (et la moins efficace)
1. aller dans le menu Scans / Tasks
2. cliquer sur l’icône assistant et sélectionnez Task Wizard

3. saisir l’adresse IP à scanner et cliquer sur Start Scan

Nous allons réaliser l’opération de scan de vulnérabilité pour les nœuds suivants :
• sur notre serveur Windows 2016 – 192.168.2.50
• sur notre routeur Inter-VLAN – 172.16.0.254
• sur une machine surprise MESPLOITABLE @IP communiqué par le prof.

Dans l’exemple ci-dessous on voit l’ajout de la target ( hôte ) 192.168.2.40 ; il est d’abord en mode
status = requested ,
puis au bout de quelques secondes débute le scan . Vous pouvez mesurer la progression , ici status = 1 %

Une fois le scan de vulnérabilité terminé sur la target le status passe à done

Le scan, même simple reste long à réaliser !!! , il est donc possible de poursuivre la lecture des documents
précédents
 Vous
pouvez

visualiser le reporting avec la vue Scan/Results , puis en cliquant sur severity jusqu’à obtenir un tri sur le
niveau de gravité de la faille.
On constate ici les failles ( vulnérability ) détectés et pour chacune le niveaux de gravité (séverity) .
Les niveaux se répartissent comme suit :
HIGHT – ELEVE – a corriger urgemment
MEDIUM – MOYEN-A regarder rapidement
LOW - FAIBLE-
LOG – Pour information

pour comprendre les résultats d’un test de vulnérabilité lire ce document – liste des termes à connaître -
Pour obtenir l’information sur la vulnérabilité découverte, cliquer sur la vulnérabilité dans la colonne
Vulnerability . Ici «Microsoft Windows SMB Server Multiple Vulnerabilities-Remote (4013389)»
Vous obtenez le détail de la faille avec l’impact , qui décrit comment un « pirate informatique» peut exploiter
cette faille et les actions à réaliser pour corriger la faille

Après lecture des documents correspondants aux deux URL ci -dessus.

✔ Indiquer le niveau de vulnérabilité auquel nous sommes exposé

✔ indiquer comment exploiter cette faille

✔ expliquer comment corriger cette faille

✔ expliquer comment éviter qu’une faille comme celle-ci se reproduise

Quelques rappels sur le risque informatique

Qu’est-ce que le risque ? consulter la documentation ici

Risque = Menace x Vulnérabilité x Actif

Prenons l’exemple de notre serveur WEB accessible pour la consultation du catalogue produit de
l’entreprise. Une analyse du risque pourrait être la suivante :
Ici l’actif auquel on s’intéresse est le catalogue en ligne de M2L :
Recommandations de
Menace Vulnérabilité Actif Impact Probabilité Risque
contrôle
Le pare-feu est
correctement
Attaque DDoS Site Web Les ressources
configuré , Une attaque
par des humains d’achat en du site Web Perte potentielle de Surveiller le pare-feu
récent et dispose DDoS est
malveillants ligne seront 8 900 € par heure (scan de vulnérabilité
d’une bonne découverte tous
(interférence) indisponible indisponibles d’indisponibilité quotidien)
atténuation des les deux ans
attaques DDoS

ÉLEVÉE FAIBLE CRITIQUE CRITIQUE MOYENNE MOYEN

Analyse des failles

Observer les failles, de votre système :
✔ Votre windows server
✔ Votre Pare-feu
✔ votre serveur WEB

faille Criticité Impact solution

Être informé et connaître les vulnérabilités de son système

Il est essentielle d’etre informé des vulnérabilités des différents systèmes avant quelles ne soient exploitées.
Le système CVE (Common Vulnerabilities and Exposures) permet de recenser toutes les failles et les menaces
liées à la sécurité des systèmes d’information. Pour ce faire, un identifiant unique est attribué à chaque faille.
Format de l’identifiant :
CVE-AAAA-NNNN (AAAA est l'année de publication et NNNN un numéro d'identifiant unique).
L’objectif est de constituer un dictionnaire qui recense toutes les failles avec une description succincte de la
vulnérabilité, ainsi qu’un ensemble de liens que les utilisateurs peuvent consulter pour plus d’informations.
Cette base vous est proposée pour consultation et reste maintenue par l'organisme à but non lucratif MITRE
soutenu par le département de la Sécurité intérieure des États-Unis. Pour consulter les CVE il suffit de se
rendre sur https://nvd.nist.gov/

Dans la base de données du système CVE on retrouve l’identifiant de l’une des dernières vulnérabilités qui a
permis une attaque massive par ransomware (Wannacry) : CVE-2017-0144. Il s’agit de l’identifiant de la faille
dans le protocole SMB, celle qui est à l’origine de l’arrêt des lignes de production de Renault. Plus 200.000
ordinateurs on été impactés dans environ 100 pays.

Connaître les techniques d’attaque

MITRE ATT&CK® est une base de connaissance des techniques d’attaque observées.
Vous disposez d’une base des attaques connues : https://attack.mitre.org/matrices/enterprise/
Annexe : Qu'est-ce que Docker ? En quelques mots .. mais nous verrons plus précisément ..

Docker permet de créer des environnements (appelées containers) de manière à isoler des applications.
Docker repose sur le kernel Linux et sur une fonctionnalité : les containers, que vous connaissez peut-être
déjà sous le doux nom de LXC. L'idée est de lancer du code (ou d'exécuter une tâche, si vous préférez) dans
un environnement isolé.
Dans le cas de Docker, le kernel va partager les ressources du système hôte et interagir avec
le(s) container(s). Techniquement, Docker n'est pas une VM, pas le moins du monde, mais en terme
d'utilisation, Docker peut-être apparenté à une VM.
Lancer un environnement, et isoler les composants de ce container avec les composants de mon hôte, voilà
ce que Docker sait faire ! Il le fait d'ailleurs très bien, et reste une alternative bien plus performante que les
VMs (à utilisation équivalente).
Schema réalisé par Docker themselves

Ok je comprends mieux. Dans

une machine virtuelle, tu
alloues "physiquement" de la
RAM et du stockage, comme
2go de RAM et 20Go. Alors
que sur Docker, tout est
partagé avec le Linux hôte qui
utilise Docker. C'est pour ça
que tout est plus rapide, je me
trompe ?
C'est exactement ça !!