Il est fortement question en ce moment d’un outil très particulier, Metasploit, destiné à effectuer des tests d’intrusion sur les systèmes d’information. L’ennui c’est qu’il peut servir autant aux « Blue Teams », les équipes internes qui veulent se prémunir contre les attaques, qu’aux « Red Teams », les équipes externes, parmi lesquelles d’éventuels criminels, qui cherchent à établir le niveau de vulnérabilité des cibles. A la fois « ange », car Metasploit est un excellent produit d’analyses et « démon », car il ne fait pas la distinction entre les testeurs et donc facilite le « travail » de ceux qui ne nous veulent pas que du bien…

Metasploit Pen Testing fait partie de la grande famille des outils de tests de pénétration et a été conçu pour cela en 2003. Créé par HD Moore, son objectif est de mesurer le niveau d’imperméabilité des cibles et de mettre en évidence les faiblesses qu’il faudra combler. D’abord codé en Perl, puis réécrit en Ruby, l’outil a été racheté par Rapid7, HD Moore rejoignant également rapid7, jusqu’en 2016.

Metasploit est l’un des logiciels les plus complets du marché et participe à la boîte à outils de tous les RSSI qui se respectent. Entre les mains d’un spécialiste, si possible honnête, il est capable de faire à peu près n’importe quoi :

• ·         Scanner et récolter des informations sur une cible, machine, application, site
• ·         Repérer et exploiter des vulnérabilités
• ·         Escalader les privilèges et voler des données
• ·         Installer une porte dérobée (« backdoor »)
• ·         Envoyer des données vers une application (« fuzzing »), pour tester ses réactions
• ·         « bypasser » l’antivirus
• ·         Supprimer les fichiers logs

Concrètement, utiliser MetaSploit revient à se placer dans la « peau » d’un criminel et à effectuer un certain nombre d’actions, qui consistent d’abord à comprendre la cible et ensuite à l’attaquer.

Dans un premier temps, il s’agit de collecter des informations sur la cible : l’OS dont elle est dotée, les services réseaux installés, l’identité du DNS et sa génération, etc. MetaSploit fait cela très bien, bien que d’autres produits soient sans doute tout aussi pertinents que lui, dans cette phase amont : Nmap, Maltego, Nessus, etc. On est ici dans le domaine du « footprinting », c’est-à-dire dans la récupération de toutes les informations utiles à la mise en place de véritables protections. Sachant que MetaSploit va beaucoup plus loin. Car il permet de lancer les exploits, autrement dit, les attaques répertoriées et voir comment la cible se comporte.

Actuellement, Metasploit comporte près de 2 000 exploits recensés et plus de 500 charges utiles, qui sont les programmes à installer sur la cible, pour en prendre le contrôle.

L’essentiel du travail va donc consister à tester les exploits les uns après les autres, constater si la cible réagit ou pas et prendre les mesures adaptées, en fonction des résultats. Contrairement à un produit tel que Nmap, par exemple, MetaSploit n’a pas besoin d’aide et se suffit à lui-même.

Metasploit est disponible gratuitement dans une version très limitée, mais peu exploitable en production et en version Pro, une copie par poste utilisateur, qui donne accès, entre-autre, à une interface graphique très simple d’emploi.

Depuis quinze ans, MetaSploit aussi est devenu le centre d’un véritable écosystème, susceptible de satisfaire toutes les demandes… justifiées ou non.

_{L’architecture de Metasploit, avec ses principaux composants Payloads et Exploits.}

Bonne ou mauvaise idée

Depuis qu’il existe des outils de « footprinting », la même question revient inlassablement : faut-il donner aux criminels les moyens de réaliser leurs forfaits, sous prétexte que ce sont ces mêmes outils qui vont nous servir pour nous protéger. Metasploit est exactement dans ce cas et on sait maintenant qu’il a servi à de nombreuses campagnes de hackers, sanctionnées par de graves indisponibilités et pertes financières.

Le problème est très ambigu. Car ce n’est pas tant de disposer d’outils dangereux comme peut l’être Metasploit, qui est contestable, car les criminels sont le plus souvent compétents et n’ont pas vraiment besoin de nous, pour forger leurs outils de pénétration, hormis les débutants, mais le fait de s’attaquer avec intelligence aux problèmes de sécurité. En se mettant en ordre de bataille, en se dotant de vraies compétences internes, à qui on donnera éventuellement un statut particulier et en admettant, une fois pour toutes, que les protocoles que nous utilisons et qui sont issus d’Internet, sont de véritables provocations et incitations au hacking, tant ils sont inadaptés à ce qu’on leur fait faire aujourd’hui. Et que l’on est donc dans un état de guerre permanent.

Tant que l’on n’aura pas compris cela, les criminels auront des boulevards devant eux…

Entre de bonnes mains, MetaSploit peut rendre de grands services, la question étant de savoir s’en servir et de comprendre ce qu’il peut nous apporter. Au-delà de l’outil, c’est donc bien l’ensemble de l’écosystème du « footprinting » qu’il faut savoir appréhender.

Dans la mesure où le sujet est sensible, il sera très difficile de réconcilier les points de vue : pour ou contre la libéralisation du « footprinting »…

Cela fait dix ans que l’on n’est pas d’accord et il n’y a pas de raisons pour que cela change.