Au mois de janvier, nous lancions le service gratuit IKare FreeScan, afin de sensibiliser petites et grandes entreprises à la sécurité Web… et de vous proposer une alternative à des solutions parfois coûteuses.
Nous avons aussi pensé à la création d’un mini-observatoire de la sécurité web, avec l’idée de partager librement les résultats anonymisés de nos tests.
Nous aimerions donc vous faire part de nos premiers retours.
Eviter les dérives
Nous savions que ce service pouvait donner des idées à des apprentis pirates qui souhaiteraient obtenir des informations sur des sites web qui ne sont pas les leurs. Je fais notamment référence à une demande surréaliste de scan du portail internet du Ministère de l’intérieur ! Peut-être un membre des anonymous, qui sait…
Bref, c’est pour éviter ce genre de dérives que nous contrôlons manuellement la procédure, de l’inscription jusqu’à la remise du rapport final. Parmi nos contrôles, quelques requêtes DNS et Whois de base afin de vérifier la pertinence de la demande… avec un peu de social engineering pour vérifier l’autorité du demandeur si nécessaire. C’est grâce à cette procédure que nous avons refusé quelques demandes incomplètes ou tout simplement illégales.
Surmonter les obstacles
En lançant le service, il y a une chose que nous avions minimisé : les serveurs mutualisés. Et oui, sachez que le temps où vous aviez des serveurs dédiés touche à sa fin, pour des raisons de coûts, de maitrise de l’énergie, de l’espace de stockage, etc.
Nous nous félicitons de ces progrès technologiques, virtualisation et cloud notamment. Mais si une vulnérabilité est identifié sur un serveur, elle peut concerner non plus un seul mais jusqu’à plusieurs dizaines de site web à la fois. C’est pour cela que nous vous demandons systématiquement de demander l’autorisation de scan à votre hébergeur… Nous travaillons aussi du côté des hébergeurs pour les aider à gérer leur infra, mais c’est un autre sujet.
Le scanner de vulnérabilité IKare scanne une IP, donc l’ensemble d’un serveur et in fine l’ensemble des sites internet potentiellement hébergés sur celui-ci. Vous comprendrez donc que si nous n’avons pas les autorisations de l’ensemble des propriétaires, effectuer un scan serait quelque peu illégal. En voyant le nombre de serveurs mutualisés s’accroitre, nous n’avons malheureusement pas pu répondre favorablement à un certain nombre de demandes de scan. C’était sans compter la réactivité de la R&D IKare, qui a tout de suite pensé à un système D !
Détecter les technologies Web
Nos ingénieurs ont développé rapidement un scanner capable d’identifier les technologies web sur une URL spécifique. Dorénavant, dans le cas où votre serveur est mutualisé, nous ne lançons pas l’intégralité des scans IKare mais seulement ce module spécifique. Il identifie les Content Management System (CMS), Drupal, Joomla!, Wordpress, Spip... qui ont le vent en poupe en ce moment, la version des plateformes de blogging, les librairies JavaScript, PHP, etc.
Aujourd’hui, ce module a fait ses preuves, à tel point qu’une intégration définitive est prévue dans la solution IKare. Au passage, des tests menés en interne, révèlent qu’IKare génère moins de faux positifs sur les vulnérabilités web identifiées, que des solutions coûteuses du marché, dont je tairai le nom.
1er bilan des tests IKare
Venons en maintenant à la partie que vous attendez, le bilan des vulnérabilités identifiées grâce au service IKare FreeScan, pendant un peu plus d’un mois.
- 40 domaines scannés…
- …en réalité, beaucoup plus de demandes souvent incomplètes ou illégales,
- 11 Labels FreeScan décernés.
Critiques
|
Hautes
|
Moyennes
|
Faibles
|
Total
|
13
|
32
|
42
|
22
|
109
|
Les failles critiques et hautes représentent environ 41% des vulnérabilités recensées quand la moyenne des vulnérabilités identifiées s’établit à environ 2,7 par scan.
Par type d’application:
CMS/CRM
|
PHP
|
Apache
|
Autres
|
Total des Applications vulnérables
|
21
|
13
|
4
|
22
|
47
|
Même si vous le savez déjà, je me permets un petit conseil pour conclure ce post : pensez à mettre régulièrement à jour vos applications, qu'elles soient web ou simplement sur votre poste de travail.
N.B. Si
vous souhaitez auditer la sécurité de votre site internet ou une IP publique, inscrivez-vous à notre service gratuit IKare FreeScan :
http://www.ikare-monitoring.com/ikare-freescan
http://www.ikare-monitoring.com/ikare-freescan
Aucun commentaire:
Enregistrer un commentaire