Scanners de vulnérabilités Web : ce que vous n’apprendrez pas des éditeurs

Les incidents de sécurité Web commencent et se terminent par des tests de sécurité proactifs, car les tests d’intrusion et de vulnérabilités ciblés sur le Web sont des éléments clés pour minimiser les risques.

Aussi important soit-il, cet aspect de la sécurité n’est toujours suffisamment pris au sérieux. Il est facile de se laisser prendre au piège de la culture, de la politique et, peut-être surtout, du management, quand on a l'impression de ne pas recevoir le soutien nécessaire pour trouver et combler les vulnérabilités Web. Ce sont là des obstacles formidables aux tests de sécurité sur le Web. Mais cela ne s’arrête pas là.

Lorsque l’on cherche les vulnérabilités de sécurité Web qui comptent, il faut savoir à quoi s’attendre et comment utiliser les outils de test appropriés. Il ne s'agit pas seulement de pointer et cliquer. Et la plupart des choses que l’on apprendre-là ne viendra jamais des fournisseurs de scanners de vulnérabilités Web eux-mêmes. Voici quelques enseignements tirés de l’expérience :

• Il y a une différence entre un scanner de vulnérabilités de réseau traditionnel pouvant effectuer des vérifications sur un site Web, et un scanner de vulnérabilités Web dédié. Le premier peut facilement trouver des failles liées à la configuration du serveur, voire quelques pages ouvertes au scripting inter-sites (XSS), mais c’est tout. Les scanners dédiés aux vulnérabilités Web trouveront ces éléments, mais aussi de nombreuses autres failles, telles que l'injection SQL, la manipulation de paramètres et la redirection HTTP. Ces scanners de vulnérabilités dédiés au Web intègrent également des outils tels que les éditeurs HTTP, proxies et les moyens d'automatiser l’exploitation de vulnérabilités que vous ne trouverez pas dans les scanners traditionnels.
• L'exécution d'un seul scanner de vulnérabilités Web ne suffit pas. Même si cela peut nuire au budget et compliquer le processus, c'est la vérité. Il n’est pas possible de compter sur les résultats d'un seul outil. Il y a souvent des redondances, mais différents scanners de vulnérabilités Web ont tendance à trouver beaucoup de choses différentes ; c'est frustrant, mais c’est aussi une réalité qu’il faut accepter. Certains scanners ont ainsi presque amené à la perfection le processus de découverte de vulnérabilités XSS, tandis que d'autres sont beaucoup plus efficaces pour trouver les possibilités d’injection SQL, ou même pour tester des applications basées sur .Net. D'autres scanners sont mieux adaptés aux systèmes basés sur Java ou PHP.
• Tester un site Web ou une application à partir d'une seule perspective ne suffit pas non plus. Bien que les éditeurs de scanners de vulnérabilités Web offrent la possibilité d'effectuer des tests authentifiés et non authentifiés, il vaut mieux faire les deux. Beaucoup de gens se contentent des seconds. Mais les tests effectués sur Internet sans authentification fourniront un ensemble de résultats, et les tests réalisés avec authentification de l'utilisateur en fourniront un autre. De même, les tests avec différents rôles d'utilisateur peuvent fournir des résultats radicalement différents, et les tests effectués avec le pare-feu, le système de prévention des intrusions (IPS) ou le pare-feu d'applications Web (WAF) peuvent également révéler de nouvelles choses. Pour découvrir tous les problèmes de sécurité de son site Web, il faut aborder les tests sous tous les angles possibles. Les pirates ne laissent rien de côté…
• Les faux positifs sont toujours un problème, comme avec la plupart des outils de sécurité. Et entre eux, les faux négatifs ou les vulnérabilités manquées, il est impossible de proclamer que l’on connaît le véritable état santé de son environnement Web sur la base de seules analyses automatisées. Il faut se pencher sur les rapports avec un œil d’expert.
• Il est impossible de savoir la moitié de ce que peut faire le scanner sans avoir creusé en profondeur. Le processus d'approfondissement nécessite des connaissances et des ressources de l’éditeur du scanner, mais aussi des chaînes YouTube, des blogs, un support technique et une bonne documentation à l'ancienne. Les choses qui autrement prendraient des années à comprendre peuvent être apprises en quelques heures de furetage en ligne.
• Une fois que l’on a exécuté suffisamment d'analyses de vulnérabilités Web, il est possible de percevoir les avantages et les inconvénients de chaque outil, ainsi que les problèmes à surmonter pour effectuer son travail. Les éditeurs restent souvent silencieux à ce sujet, donc c'est un fait peu connu, mais, si on leur fournit des commentaires sur la façon dont l'outil ne fonctionne pas, dans le meilleur intérêt de ses utilisateurs, ils écoutent généralement.

Il n’est pas question de minimiser la valeur des scanners de vulnérabilités Web, car ils sont indispensables. Les personnes qui ne les utilisent pas régulièrement dans le cadre de leur programme de gestion du cycle de vie et de gestion des vulnérabilités sont tout simplement perdues.

Mais il faut essayer plusieurs scanners, trouver le meilleur ajustement et utiliser au moins deux d'entre eux. En combinant cette approche avec les conseils ci-dessus, il est possible de résoudre les 20 % de failles de sécurité Web qui représentent 80 % du risque – un petit prix à payer pour un rendement important.