Un scanner de vulnérabilités en Open Source, gratuit et développé par un des géants de la Tech (un gafam pour être exact), ça existe mais ça n’est que peu connu. Google l’a fait en lançant « Tsunami », un scanner de réseau conçu pour détecter les vulnérabilités critiques avec une grande précision. Il est utile toutefois de noter que Tsunami est un outil communautaire, et non un produit commercialisé sous la bannière de Google. En effet, à l’instar de Kubernetes, il est mis à disposition du grand public et maintenu par la communauté open source.
Tsunami : comment ça marche ?
Alors que le marché regorge déjà de scanners de vulnérabilités, commerciaux ou open source, Tsunami marque sa différence au niveau de sa conception. En effet, Google l’a spécifiquement pensé pour des entreprises de grande envergure, un peu sur son modèle, gérant d’immenses réseaux de serveurs, postes de travail, équipements de réseau et dispositifs IoT connectés à Internet. Concrètement, Tsunami est conçu pour s’adapter à ces vastes et divers réseaux sans avoir besoin de multiples scanners pour chaque type de dispositif. Pour ce faire, Tsunami se divise en deux composantes principales, avec un mécanisme de plugin inclus.
Au cœur de Tsunami
La première composante de Tsunami est le scanner, ou module de reconnaissance. Son rôle : scanner le réseau d’une entreprise pour des ports ouverts et tenter ensuite d’identifier les protocoles et les services exécutés pour prévenir les erreurs d’étiquetage et tester les dispositifs pour détecter les vulnérabilités. Le module d’analyse des ports est basé sur le moteur de cartographie du réseau nmap, éprouvé par l’industrie, mais il utilise également un code personnalisé.
La seconde composante, plus complexe, fonctionne sur la base des résultats de la première. Elle prend chaque dispositif et ses ports exposés, sélectionne une liste de vulnérabilités à tester et exécute des exploits bénins pour vérifier si le dispositif est vulnérable aux attaques. En bonus, le module de vérification des vulnérabilités est extensible grâce à des plugins, permettant aux équipes de sécurité d’ajouter de nouveaux vecteurs d’attaque et vulnérabilités.
Par ailleurs, la version actuelle de Tsunami inclut des plugins pour les interfaces utilisateur d’applications telles que Jenkins, Jupyter, et Hadoop Yarn, ainsi que pour détecter les mots de passe faibles avec des outils open source comme ncrack. C’est donc un scanner de vulnérabilités relativement polyvalent très utile pour les pentests, sans pour autant pouvoir remplacer l’intervention humaine par exemple dans la combinaison des failles ou dans l’identification de failles logiques. A l’avenir, Google prévoit de développer Tsunami avec de nouveaux plugins pour détecter une plus grande variété d’exploit. Notez que tous ces plugins seront disponibles sur un deuxième dépôt GitHub.
Le futur de Tsunami
Evolutif, Tsunami est axé, aux dires de Google, sur la satisfaction des objectifs des grandes entreprises, avec un accent mis sur la précision du balayage pour fournir des résultats avec le moins de faux positifs possible. Il est utile ici de souligner que ce point revêt une importance capitale dans les réseaux massifs, où un seul faux positif peut entraîner des corrections erronées sur des centaines, voire des milliers de dispositifs, provoquant potentiellement des pannes, des heures de travail perdues, et même des impacts financiers négatifs.