> Tech > Les tests de vulnérabilité

Les tests de vulnérabilité

Tech - Par iTPro - Publié le 24 juin 2010
email

Les tests de vulnérabilité sont semblables à  l'analyse des ports, mais s'appliquent à  des OS spécifiques et non au protocole de communications TCP/IP. Les failles de sécurité étant très souvent spécifiques aux OS, évitez de dévoiler les OS des serveurs.

En revanche, certains indices tels que des extensions de

fichiers .asp, l’utilisation
de .htm au lieu de .html, et les pages d’accueil baptisées default.htm permettent
généralement à  un pirate d’identifier un serveur IIS. De plus, beaucoup d’outils
aident les pirates à  déterminer l’OS d’un système et ne nécessitent, pour être
utilisés, que l’adresse IP du serveur.

Les administrateurs systèmes ont donc tout intérêt à  examiner les vulnérabilités
des OS de leurs systèmes. Par exemple, j’ai utilisé WebTrends Security Analyzer
pour analyser les vulnérabilités des systèmes d’exploitation de quatre serveurs.
Le logiciel a généré un rapport répartissant les faiblesses du système en quatre
catégories, à  savoir risque élevé, moyen ou faible, comme le montre l’écran 2.
Security Analyzer a détecté des failles de sécurité sur tous les serveurs.Être
informé de ces failles permet de remporter une bataille, mais pas de gagner la
guerre.
La plupart des tests de vulnérabilité indiquent également où trouver d’autres
informations, grâce à  des pointeurs vers des articles de Microsoft et des liens
vers des corrections d’urgence et des service packs, et suggèrent des mesures
correctrices, telles que des instructions de mise à  jour du Registre pour sécuriser
les systèmes.

Par exemple, l’écran 3 montre une partie du rapport de WebTrends Security Analyzer
donnant la liste des corrections suggérées pour les vulnérabilités de mon système.

Les vulnérabilités des nouveaux OS, en particulier celles de NT, surgissent à 
tout moment. On ne peut donc pas exécuter un test de vulnérabilité, corriger les
problèmes et avoir un système sécurisé une fois pour toutes. Il faut utiliser
l’outil fréquemment avec une base de données des risques à  jour.

En outre, maintes versions de scanners de ports et de testeurs de vulnérabilité
peuvent analyser tout un réseau. Vous pouvez donc les utiliser pour tester votre
réseau… et les hackers peuvent en faire de même pour tester ses faiblesses.

Téléchargez gratuitement cette ressource

Sécurité Office 365 : 5 erreurs à ne pas commettre

Sécurité Office 365 : 5 erreurs à ne pas commettre

A l’heure où les données des solutions Microsoft de Digital Workplace sont devenues indispensables au bon fonctionnement de l’entreprise, êtes-vous certain de pouvoir compter sur votre plan de sécurité des données et de sauvegarde des identités Microsoft 365, Exchange et Teams ? Découvrez les 5 erreurs à ne pas commettre et les bonnes pratiques recommandées par les Experts DIB France.

Tech - Par iTPro - Publié le 24 juin 2010