À la recherche de produits et de services de sécurité informatique ? L’ANSSI tient deux listes référentes. D’une part, de ceux qualifiés par rapport aux besoins de l’administration. De l’autre, de ceux crédités de la CSPN (évaluation du niveau de sécurité indépendamment de l’usage final).
Son homologue américaine – le CISA – a elle aussi sa boîte à outils. Elle vient d’y ajouter un catalogue d’une centaine de solutions. Leur point commun : toutes peuvent être utilisées gratuitement.
La majorité de ces solutions proviennent d’entreprises américaines. Nommément, AT&T, Cisco, Cloudflare, Crowdstrike, Google, IBM, Mandiant, Microsoft, Palo Alto Networks, Secureworks, Splunk, Tenable et VMware. Un bon quart sont néanmoins open source.
On implémentera ces outils après avoir mis en place un certain nombre de mesures, explique la CISA. En particulier, corriger les failles connues dans son parc logiciel, mettre en œuvre le MFA et remplacer les systèmes qui exploitent des mots de passe non modifiables.
L’essentiel des solutions open source que propose la CISA relèvent de la prévention des incidents. Parmi elles, il y a des « vieux de la vieille », comme :
– Aircrack (outil en ligne de commande pour l’audit des réseaux Wi-Fi ; il trouve ses origines en 2009)
– Paros Proxy (outil Java de recherche de vulnérabilités dans les web apps ; il remonte aux années 2000)
– Hping (outil en ligne de commande pour l’analyse de paquets TCP, UDP, ICMP et RAW-IP ; année de naissance : 2006)
– OpenPGP (chiffrement à clés publiques ; né dans les années 90)
– Nikto (outil d’analyse de serveurs web fondé sur Perl et LibWhisker2 ; il a une dizaine d’années)
– w3af (framework d’audit des applications web ; créé en 2013)
Beaucoup d’outils origine Google
AdBlock fait partie des outils plus récents. Il fait partie de l’arsenal de la Global Cyber Alliance, à laquelle Cybermalveillance.gouv.fr s’est associé voilà deux ans. Même chose pour l’autorité de certification Let’s Encrypt.
Plusieurs outils trouvent leurs racines chez Google. Il en est ainsi de :
– Santa (système d’autorisation binaire pour Mac ; première version publique en 2014 ; logo ci-contre)
– Go Safe Web (bibliothèque de développement de serveurs HTTP sécurisés)
– Tink (bibliothèque cryptographique pour Java, C++, Objective-C, Go et Python ; première version publique en 2017)
– Tsunami Security Scanner (moteur d’analyse des réseaux ; actuellement en « pré-alpha » ; première version publique en 2020)
– OSV (Open Source Vulnerabilities, base de données de failles dans l’open source ; ouverte en 2021)
– Open Source Insights (graphe des dépendances de projets open source et de leurs vulnérabilités ; lancé en 2021)
Toujours dans la catégorie « prévention », deux outils proviennent de l’OSSF (Open Source Security Foundation, organisation de droit américain qui réunit des « poids lourds » du numérique). D’un côté, AllStar (sécurité et conformité sur GitHub). De l’autre, Security Scorecards (scoring de sécurité des projets open source).
Le dernier outil de prévention listé s’appelle Quad9. Porté par la fondation de droit suisse du même nom (et qui compte la Global Cyber Alliance dans ses sponsors), il consiste en un DNS récursif destiné à empêcher la connexion à des hôtes malveillants.
Journalisation, forensique, tests d’intrusion…
Sur la partie « détection des intrusions », on trouve aussi des « anciens ». Par exemple :
– Wireshark (ex-Ethereal ; capture de paquets réseau ; il avait émergé en 1998 ; logo ci-contre)
– Kismet (monitoring de réseaux sans fil ; complément fréquent à Wireshark)
– Netfilter (filtrage réseau au niveau du noyau Linux)
Avec ELSA (Enterprise Log Search), on est sur la composante journalisation, à l’appui du socle syslog-ng/MySQL/Sphinx. Ettercap permet quant à lui de réaliser des attaques par interception (man-in-the-middle). sqlmap (illustré ci-dessous) se concentre pour sa part sur les bases de données ; avec, en première ligne, les techniques d’injection. Et RITA (Real Intelligence Threat Intelligence ; logo ci-contre), sur la détection du trafic malveillant (beaconing, tunnels DNS…) à partir de logs Zeek.
Source : silicon
