Un site, c’est des milliers de lignes de code, écrites par un ou plusieurs développeurs. Or, tous ne sont pas des experts en sécurité informatique, et même s’ils l’étaient, ils demeurent des humains, faillibles; c’est pourquoi il n’existe pas de sites imprenables, imperméables aux hackers les plus motivés.

Les audits de code coûtent cher, et ne peuvent raisonnablement pas être exhaustifs. Quand bien même ils le seraient, il y a des chances que l’auditeur passe à côté de subtilités, ou d’une combinaison de vulnérabilités donnant des résultats inattendus.

scann_largeIl existe donc des scanners automatiques, qui peuvent passer en revue votre code et détecter une grande partie des failles triviales ou publiquement connues, permettant à l’auditeur de se concentrer sur les plus complexes. Ces « web application security scanners » vous fournissent ensuite un rapport, pour vous permettre de corriger votre code et ainsi de mettre en lumière les failles les plus faciles a exploiter.

NBS System, notamment dans le cadre de son offre de Cloud de très haute sécurité CerberHost, utilise  certains de ces outils de manière routinière afin d’analyser les sites de ses clients pour les protéger au mieux. Bien entendu, nos experts peuvent réaliser eux-mêmes ces vérifications. Cependant, l’avantage de ces scanners « externes » est leur caractère automatique et programmable ; à terme, ils sont utilisés pour scanner, régulièrement et de manière complètement autonome, les sites. Ainsi, vous pouvez protéger votre site tout au long de son existence contre les failles courantes en corrigeant les problèmes décelés lors des scanns, sans avoir à s’occuper régulièrement de ces vérifications simples mais chronophages. Les spécialistes ont donc ensuite le champ libre pour étudier les problèmes moins évidents.

Nos experts ont étudié pour vous les différents scanners disponibles sur le marché, et vous livrent leurs analyses.

Nous avons classé les produits étudiés en 4 catégories :

  • Nos recommandations
  • Les « stars »
  • Pour les non techniques
  • Ils ne nous ont pas convaincu

Nos recommandations

Nos consultants en sécurité informatique ont été convaincus en particulier par 2 scanners autonomes : Acunetix et Arachni.

Ces deux outils génèrent des rapports personnalisables, techniques comme non techniques ; ces rapports peuvent également être sauvegardés puis comparés tout au long de l’évolution du site. Ils détectent les failles, étudient même les pages générées de manière dynamique en JavaScript… Il est également possible, avec ces outils, de planifier les scans à l’avance, et (avantage non négligeable) de faire analyser le code en temps réel pendant son écriture !

Il existe cependant quelques différences majeures entre Acunetix et Arachni :

  • Acunetix_logoAcunetix : détectant, entre autres, bon nombre de failles SQL et XSS (deux vecteurs de compromission tres utilisés), et avec très peu de faux positifs, il a d’excellents résultats. Petit plus, il possède un module à placer côté serveur, qui indique exactement à quelle ligne de code se trouve la vulnérabilité, et quelles en sont les causes; un gain de temps non négligeable qui a fait pencher la balance pour nos experts. Il possède également un scanner de webservice, ce qui n’est pas le cas de la majorité des outils de scan. La licence consultant s’achète à 4000€, et l’utilisation de l’outil coûte ensuite 800€ par année.
  • Arachni_logoArachni : si vous êtes plus « open source », Arachni est fait pour vous ! Ce framework, par définition gratuit, est codé en Ruby et a d’excellents résultats de détection dans toutes les catégories. Il possède également un module d’auto-apprentissage pour s’adapter à la complexité et aux changements des applications. Son gros plus est qu’il gère de manière native le load-balancing: il est possible d’ajouter (et de supprimer) à la volée des machines au scan, permettant de le distribuer et donc de multiplier sa puissance. Cette fonctionnalité est particulièrement utile pour scanner des gros sites, demandant beaucoup de ressources. Malheureusement, l’outil manque parfois un peu de finition.

Les « stars »

Il existe également de bons scanners, développés par des géants de l’informatique ; leur prix, en revanche, est proportionnel à leur renommée…Appscan_logo

  • Appscan : Il s’agit d’un logiciel développé par IBM, coûtant  37.000$ par licence, puis 17.000$ par an. C’est un logiciel complet, un peu à la manière de la suite SAP.
  • Webinspect_logoWebinspect : développé par HP, Webinspect est également un géant, capable d’être distribué, de gérer des rôles, gérant la compliance, pouvant être intégré a d’autres produits HP, etc. Les tarifs ne sont pas divulgués, on peut donc imaginer le coût de cette solution…

Ces deux behemoths sont inadaptés pour la plupart des entreprises.

Pour les non-techniques

Vega_logoLa meilleure option si vous n’êtes pas technique est de scanner votre site avec Vega, le logiciel libre développé par Subgraph. Notre équipe a réellement été surprise (et convaincue) par ce logiciel sans prétention, qui fait son travail, et qui le fait bien. Gratuit et intuitif, il génère un rapport non technique pour le site, compréhensible par tous, afin de vous accompagner dans la sécurisation de votre site.

Ils ne nous ont pas convaincu

  • TinfoilSecurity_logoTinfoil Security : avec cet outil, pour 200$ par mois vous bénéficierez d’un scan externe par semaine pour votre site (valable uniquement sur 1 site). Il s’agit d’une plateforme de type software as a service (SaaS), ce qui en fait une application plutôt orientée devops. Si vous avez un budget serré et une équipe technique, n’hésitez pas à leur envoyer un email, le support est très sympathique.
  • Netsparker_logoNetsparker : pour 6000$ par an, ce scanner est plutôt utile pour « déblayer » les vulnérabilités évidentes. Il n’est malheureusement pas personnalisable. De plus, même s’il annonce sur son site qu’il ne fait pas de faux positifs, dans les faits on remarque des faux positifs dans le repérage de failles de type injection SQL.

Conclusion

Toutes les solutions existantes n’ont pas été analysées ou mentionnées ici, mais cette petite étude peut vous aider à prendre une décision selon vos ressources, la taille de votre entreprise, la quantité de sites à scanner, vos capacités techniques… Cependant, il est important de réaliser que ces outils, bien qu’efficaces, ne remplaceront jamais l’expertise d’un spécialiste en sécurité informatique. Un site n’est jamais à 100% sûr, mais choisir les bons partenaires et ne pas négliger cet aspect vous évitera bien des déconvenues.

Source technique : Julien Voisin

Lucie Saunois
Lucie Saunois
Passionnée d'informatique, en particulier de sécurité, depuis qu'elle a rejoint l'OT Group en 2015, Lucie se spécialise dans la vulgarisation technique pour permettre à tous d'appréhender ces sujets parfois complexes.