Google met à disposition un scanner de vulnérabilités

« En 2018, le nombre de vulnérabilités logicielles a dépassé celui de l’année précédente, avec une augmentation de 12 % du nombre total de vulnérabilités publiées en 2017 », lit-on dans le rapport de Skybox Security, leader mondial en matière d’opérations, d’analyse et de reporting dans le domaine de la cybersécurité.

De son côté, l’étude « 2020 Global Network Insights Report » de NTT constate une augmentation du nombre de vulnérabilités par catégorie d’équipements d’infrastructure de réseau. Mais les organisations n’appliquent pas régulièrement de correctifs aux systèmes. Très peu d’entreprises ont une gestion claire et précise des patchs de sécurité.

À leur décharge, il faut reconnaître que le déploiement de correctifs de sécurité relève du parcours du combattant pour les entreprises, car leur réseau informatique s’apparente à un millefeuille avec de multiples couches différentes.

Or, lorsqu’un pirate commence à exploiter les vulnérabilités de sécurité ou les mauvaises configurations de sécurité (telles que des mots de passe faibles), une organisation doit réagir rapidement afin de protéger les actifs potentiellement vulnérables.

Les attaquants investissant de plus en plus dans l’automatisation, le délai de réaction à une nouvelle vulnérabilité (surtout si elle est jugée comme « critique ») est généralement mesuré en heures. Cela représente un défi important pour les grandes organisations qui possèdent des milliers, voire des millions de systèmes connectés à Internet.

Dans de tels environnements à grande échelle, les vulnérabilités de sécurité doivent être détectées et, idéalement, corrigées de manière entièrement automatisée. Une gageure pour les grands comptes. D’où l’idée de Google de proposer un scanner de vulnérabilités spécialement conçu pour ce type d’entreprises.

Baptisé Tsunami, le scanner a été utilisé en interne chez Google et a été mis à disposition sur GitHub en juin. À la différence des autres solutions proposées par le moteur de recherche, Tsunami sera entretenu par la communauté des logiciels libres.

Autre particularité, Tsunami est capable d’analyser des réseaux extrêmement divers et très étendus, sans qu’il soit nécessaire de faire fonctionner des scanners différents pour chaque type d’appareil.

Sur son blog, Google a expliqué que Tsunami exécute un processus en deux étapes lorsqu’il scanne un système. La première est la reconnaissance : Tsunami scanne le réseau d’une entreprise à la recherche de ports (ou connexions) ouverts. Ensuite, il teste chaque port et tente d’identifier les protocoles et les services qui y sont exécutés afin d’éviter les erreurs d’étiquetage des ports et de tester les dispositifs pour détecter les vulnérabilités.

À partir des résultats du premier processus, l’étape suivante va vérifier s’il s’agit bien d’une vulnérabilité. Le logiciel utilise les informations recueillies lors de la reconnaissance pour confirmer qu’une faille existe bel et bien. Pour ce faire, le scanner exécute des tentatives d’infiltrations afin de confirmer que le système est bien vulnérable.

La précision du balayage sera l’objectif principal, le projet s’efforçant de fournir des résultats avec le moins de faux positifs possible (détections incorrectes). Cet objectif sera primordial, car même des petits faux positifs pourraient entraîner l’envoi de patchs incorrects à des centaines ou des milliers d’appareils, ce qui pourrait provoquer des pannes d’appareils ou des pannes de réseau.