Quand on est amené à être administrateur système et a gérer un parc de sites webs, et que l'on a une sensibilité à la sécurité informatique et quelques connaissances associées, que l'on a rencontré des soucis avec l'exploitation d'une faille Drupal, et qu'un certain nombre de machines du parc sont obsolètes, on se pose la question des outils et scanners de vulnérabilités pour identifier les problèmes des failles et problèmes de sécurité.

Le but de ce billet n'est pas de faire un tutoriel complet sur ces outils, juste de donner quelques noms et pistes qui peuvent être utiles. Le domaine de la sécurité étant un domaine à part entière, il vaut mieux laisser ça aux spécialistes. Mais à défaut, plutôt que de ne rien faire, si on a un peu de temps, il y a quelques petites choses que l'on peut commencer à faire.

A l'heure actuel, la plupart des sites webs classiques reposent sur deux CMS, des tas de plugins et du développement maison associés, potentiellement fait par des stagiaires ou des débutants, ou des personnes ayant peu de temps pour faire une réalisation correcte. De plus, chaque nouveau développeur aura ses plugins préférés qu'il va rajouter à l'ensemble des plugins existants (c'est du vécu) et s'il n'y a pas de gestion de projet par quelqu'un qui connaît bien l'écosystème en question, on se retrouve avec des sites usines à gaz bourrés de failles de sécurité.

Les interfaces d'administration des CMS proposent des mises à jour des plugins (quand les plugins sont maintenus), mais les mises à jour peuvent tout casser, il peut y avoir des problèmes de compatibilité...

Un bon moyen d'attirer l'attention d'une direction sur ces problématiques et de passer un scanner de vulnérabilité sur le site de l'entreprise.

Analyses des failles des sites webs - des outils

Des outils à lancer en ligne de commandes sont disponibles sur Github. J'ai personnellement testé et utilisé les outils suivants :

Pour Wordpress :
https://github.com/wpscanteam/wpscan
https://github.com/m4ll0k/WPSeku

Pour Drupal :
https://github.com/droope/droopescan

Ces outils ont un usage assez similaire et listent les problèmes potentiels ou avérés à travers différentes catégories issues de différents tests.

Pour un outil plus généraliste en ligne, Mozilla propose une suite d'outil en ligne pour tester les sites webs, les connexions https, ssh... en attribuant une note (sur le principe du SSLLabs qui est dédié aux connexions Https). Ce site c'est https://observatory.mozilla.org.

Pour les systèmes d'exploitations

Je recommande Lynis. Lynis est un outil Open Source destiné aux administrateurs systèmes, et aux experts en sécurité informatique. Cet outil sert à évaluer la sécurité des systèmes Unix/Linux. Lynis scanne votre système, ainsi que les logiciels installés, à la recherche d'éventuels problèmes de sécurité, ou d'erreurs de configuration ou de vulnérabilités des systèmes. Lynis : l'outil d'audit pour les systèmes Unix/Linux

Cet outil va donner une looongue liste de tout ce qui est à vérifier et corriger et me semble assez complet.

Passer à l'étape supérieure

Avoir une liste des failles potentielles ou existantes, c'est bien, les corriger c'est mieux. Pour cela, il va falloir prendre du temps pour comprendre, faire les modifications nécessaires, s'appuyer sur des personnes ayant la connaissance et les compétences. Et vu les loooongues listes de choses à corriger, on peut très vite prendre peur ou être découragé par le travail à accomplir.

Les outils plus haut de gamme

Dans la série des outils plus haut de gamme, me viennent en tête deux outils :

L'OWASP Application Security Verification Standard Project, du projet OWASP. Open Web Application Security Project (OWASP) est une communauté en ligne travaillant sur la sécurité des applications Web. Sa philosophie est d'être à la fois libre et ouverte à tous. Elle a pour vocation de publier des recommandations de sécurisation Web et de proposer aux internautes, administrateurs et entreprises des méthodes et outils de référence permettant de contrôler le niveau de sécurisation de ses applications Web. Site de l'OWASP Application Security Verification Standard Project

Kali Linux et ses outils Kali Linux est une distribution regroupant l'ensemble des outils nécessaires aux tests de sécurité d'un système d'information, notamment le test d'intrusion. Site de Kali Linux : https://www.kali.org/. Cette distribution comporte des tas d'outils. Un certain nombre de tutoriels existent en ligne. Là encore, il faut du temps et de l'investissement pour acquérir les connaissances et compétences nécessaires à l'exploitation de ces outils.

Sur mon instance Yunohost en version 3.6.4.6 (stable), dans les mises à jour d'applications, il est proposé de mettre à jour différentes applications (Nextcloud, Dokuwiki...). Je lance donc la mise à jour et au cours de celle-ci, une erreur est rencontrée. Que ce soit via l'interface graphique d'administration ou via la ligne de commande, la mise à jour des applications ne peut se se faire et tombe en erreur.

La phrase clef de cette erreur est :

Lors du Yunohost Camp du mois d'août 2019 (oui ce billet est publié avec un peu de retard), grâce à deux membres mainteneurs du core de Yunohost, Alex & LJF, j'ai pu résoudre ce problème qui est lié à un bug connu. Le bug en question sur Github https://github.com/YunoHost-Apps/shaarli_ynh/issues/45. J'ai effectivement installé l'application Shaarli packagée dans Yunohost. Effet de bord lié au paquet de l'application... Je vous laisse lire le détail du bug pour comprendre.

La solution / résolution au problème est en fait assez simple (une fois qu'on le sait) et est à faire en deux commandes depuis un terminal (en tant qu'administrateur de la machine) :

On supprime un dossier log.txt qui devrait être en réalité un fichier log.txt. Une fois le remplacement / substitution faite, les applications comme Nextcloud peuvent enfin être mises à jour.

Bon à savoir, donc je partage.

Comme évoqué dans d'autres billets précédents sur ce blog, j'ai quitté mon poste d'Administrateur Système dans une PME (l'administration système étant une des nombreuses casquettes que j'avais) et ma vie de famille a été changée. Deux raisons qui font que la série des billets ayant pour titre "Devenir SysAdmin d'une PME" avait été interrompu depuis plusieurs mois.

Je suis passé à autre chose, mais je continue toujours de m'intéresser et de faire un peu d'administration système sur mon temps libre (parce que j'aime bien ça), et la plupart des écrits de cette catégorie sont généralisables et pas uniquement applicables à une PME. De plus, j'avais rédigé un certain nombre d'ébauches d'articles qu'il faudrait que je finisse et qui peuvent entrer dans cette catégorie.

Je pense que je vais donc reprendre dans les prochaines semaines et prochains mois la publication d'articles dans la série "Devenir SysAdmin d'une PME".

Pour organiser un peu tout ça, j'ai créé une rubrique dédiée et un tag associé, permettant ainsi de regrouper les articles de la série déjà publié et les articles à venir.

A noter que cette série parle d'administration système (SysAdmin), pas encore de DevOps. La nuance est importante. Et j'espère pouvoir vous l'expliquer à l'occasion (#Teaser).

Les samedi et dimanche 14 et 15 septembre, à Berlin, se déroulera l'événement Nextcloud Conference. Deux jours organisés par et autour de la solution Nextcloud. Je vous laisse consulter le site pour les détails.

Je serai présent à cet événement pour présenter deux lightning talk (conférence au format rapide : 7 minutes de présentation). Les conférences sont en anglais, une première pour moi.

Le premier talk, intitulé "YunoHost & Nextcloud, the selfhosted cloud for a better privacy". L'objet est de présenter rapidement Yunohost et le principe d'applications packagées, dont Nextcloud. Et de comment participer au projet.

Pour le second, je vous laisse trouver ;) Cela concerne un projet lié à mes nouvelles activités et à ma volonté de plus m'impliquer dans le projet Nextcloud à titre professionnel, en proposant en construisant une offre sur base de partenariat.

Les supports seront disponibles en ligne (le présent article sera mis a jour en conséquence) à la suite de l'événement.

Si j'ai le temps (et l'envie), je ferai un billet de blog retour sur cette expérience. A voir.