Comparatif de Vulnerability Scanners Gratuits

Pour les professionnels de la cybersécurité, une des premières étapes lors de l’assessment de sécurité, est de parcourrir un réseau/ système d’information afin de déceller les vulnérabilités connues. Dans cet article, nous allons essayer d’introduire des scanners de vulnérabilité gratuits afin de pouvoir s’exercer à moindre coût.
Cette tache a pendant longtemps été manuelle, elle consistait à développer une bibliothèque d’outils et de commandes capables de detecter, vulnérabilité par vulnérabilité, la porte d’entrée tant convoitée.
Heureusement depuis, des outils d’automatisation existent, capables de parcourrir des milliers de hotes en quelques minutes, et de pouvoir detecter dans une bibliothèque très riches, les systèmes vulnérables et la vulnérabilité en question.
Des entreprises comme Rapid7 ont développé des solutions commerciales (NeXpose) qui offrent un confort d’utilisation et une robustesse pour attaquer les gros projets, mais, il est possible, dans une mission limitée, d’utiliser des outils libres ou gratuits que je vous présente tout de suite :

OpenVAS

OpenVAS, (acronyme de Open source Vulnerability Assessment Scanner, anciennement GNessUs), est un fork sous licence GNU GPL du scanner de vulnérabilité Nessus dont le but est de permettre un développement libre de l’outil qui est maintenant sous licence propriétaire.
Une architecture typique du déploiement de OpenVAS est la suivante :

OpenVAS est une testeur de vulnérabilité très modulaire, avec un grand nombre d’additions pour pouvoir scanner des machines windows, Linux, Web, et des boitiers réseau. Il existe aussi un plugin poour interfacer metasploit et passer le cap du scan vers le pentesting actif.
Lien pour le téléchargement et la documentation : http://www.openvas.org/download.html

Flexera Personnal Software Inspector

Il s’agit d’un outil gratuit mais propriétaire Windows capable de scanner et de trouver les vulnérabilités sur une grande liste de softwares windows, cet outil propose aussi les correctifs si publiés.

Lien pour le téléchargement et la documentation : http://learn.flexerasoftware.com/SVM-EVAL-Personal-Software-Inspector

Microsoft Baseline Security Analyzer

Cet outil est un freeware propriétaire développé par Microsoft. MBSA scanne les vulnérabilités des produits microsoft seulement, il propose ensuite les correctifs dans le cadre du programme sécurité de Microsoft.
Instructions et lien pour téléchargement : https://www.microsoft.com/en-us/download/details.aspx?id=7558

Cette liste est biensûr ouverte pour être enrichie, si vous avez d’autre outils open ou gratuits qui peuvent servir à cette fin, prière de l’envoyer sur les commentaires.
Merci.


Posted

in

,

by

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *