Vous avez un serveur, un NAS, quelques services qui tournent chez vous ou au boulot, et vous vous demandez si tout ça est bien sécurisé ? Alors plutôt que d'attendre qu'un petit malin vous le fasse savoir de manière désagréable, autant prendre les devants avec un scanner de vulnérabilités.

Attention : si vous scannez le réseau de votre boulot, demandez toujours une autorisation écrite avant car scanner sans permission, c'est illégal et ça peut vous coûter cher. Et ne comptez pas sur moi pour vous apporter des oranges en prison.

OpenVAS (Open Vulnerability Assessment Scanner), c'est l'un des scanners open source les plus connus, maintenu par Greenbone. Une fois en place sur votre réseau, il scanne vos services exposés et vous balance un rapport avec ce qui craint : Ports ouverts, services mal configurés, failles connues, certificats expirés... De quoi repérer une bonne partie de ce qu'un attaquant pourrait exploiter.

L'interface principale d'OpenVAS

Ce qui est cool, c'est que vous restez en mode défensif. C'est pas un outil de pentest offensif ou de hacking pur et dur mais juste un audit de votre propre infra pour savoir où vous en êtes. Et ça tourne avec un feed de vulnérabilités (le Greenbone Community Feed) qui est régulièrement mis à jour, ce qui permet de détecter les failles récentes.

Pour l'installer, une des méthodes c'est de passer par Docker. Greenbone fournit une stack complète avec docker-compose. Après vous cherchez plutôt à analyser spécifiquement vos images de conteneurs, Grype pourrait aussi vous intéresser .

Pour OpenVAS, vous créez un répertoire, vous téléchargez leur fichier de config (jetez toujours un œil dedans avant de l'exécuter, c'est une bonne pratique), et hop :

mkdir -p ~/greenbone-community-container
cd ~/greenbone-community-container
curl -f -O -L https://greenbone.github.io/docs/latest/_static/docker-compose.yml
docker compose pull
docker compose up -d

L'assistant de configuration initiale

Après ça, vous accédez à l'interface web via http://localhost:9392.

Et pour le login, attention, car sur les versions récentes du conteneur communautaire, le mot de passe admin est généré aléatoirement au premier démarrage. Il faut donc aller voir les logs pour le récupérer (docker compose logs -f). Si ça ne marche pas, tentez le classique admin/admin, mais changez-le direct.

La première synchro des feeds peut prendre un moment, le temps que la base de vulnérabilités se télécharge. Vous avez le temps d'aller vous faire un café, c'est pas instantané.

Niveau config machine, la documentation recommande au moins 2 CPU et 4 Go de RAM pour que ça tourne, mais pour scanner un réseau un peu costaud, doublez ça (4 CPU / 8 Go) pour être à l'aise. Et une fois connecté, direction la section scans pour créer une cible avec votre IP ou plage d'adresses. Ensuite vous pouvez lancer un scan avec le profil de votre choix :

Le mode "Discovery" se contente de lister les services et ports ouverts tandis que le mode "Full and Fast" lance une batterie complète de tests de vulnérabilités. Il est conçu pour être "safe" (ne pas planter les services), mais le risque zéro n'existe pas en réseau donc évitez de scanner votre prod en pleine journée sans prévenir.

Les résultats arrivent sous forme de rapport avec un score de criticité comme ça vous avez le détail de ce qui pose problème et souvent des pistes pour corriger. Genre si vous avez un service SSH avec une config un peu lâche ou un serveur web trop bavard, le rapport vous le dira.

Par contre, c'est vrai que l'interface est assez austère comparée à des solutions commerciales comme Nessus mais c'est gratuit, c'est open source, et ça fait le taf pour un audit interne. La version Community a quand même quelques limitations (feed communautaire vs feed entreprise, support, etc.), mais pour surveiller son infra perso ou sa PME, c'est déjà très puissant.

Du coup, si vous voulez savoir ce qui traîne sur votre réseau avant que quelqu'un d'autre le découvre, OpenVAS est un excellent point de départ. Et c'est toujours mieux de découvrir ses failles soi-même que de les lire dans un mail de rançon... enfin, je pense ^^.

A découvrir ici !

Ce serait cool si on pouvait réunir les Avengers des LLMs pour les faire bosser ensemble sur de la recherche de faille de sécurité ? OpenAI, Anthropic, X.AI et Meta ensemble contre les forces du mal, c’est maintenant possible avec Deep Eye , un super scanner de vulnérabilités qui transforme les quatre IA rivales en équipe de pentesteurs. Vous allez voir, c’est assez génial !

Deep Eye, c’est donc un outil Python open source qui scanne les sites web et les API pour trouver des vulnérabilités. SQL injection, XSS, command injection, SSRF, path traversal, authentication bypass, au total y’a plus de 45 méthodes d’attaque automatisées. Vous lui indiquez une URL, et il teste tout en switchant entre les services d’IA selon le contexte.

Dans le contexte d’un pentest légitime, Deep Eye a même trouvé comment parler aux IA pour qu’elles acceptent de pondre du code un peu sensible. Et ça tombe bien car chaque IA a ses forces et ses faiblesses. GPT-4 par exemple excelle sur les payloads créatifs et les contournements de filtres. Claude lui est plus méthodique, et capable de mieux analyser le contexte et de génèrer des attaques adaptées au framework détecté. LLAMA en local quand à lui est rapide et ne coûte rien en appels API. Et Grok ? Bah il a le mérite d’être dispo même s’il est loin d’être le meilleur.

Deep Eye en tout cas est capable des les utiliser toutes selon la situation. Pour l’installer, ça se passe en 3 commandes :

Vous installez ça comme ceci :

git clone https://github.com/zakirkun/deep-eye.git
cd deep-eye

cd scripts
./install.ps1

chmod +x scripts/install.sh
cd scripts
./install.sh

python deep_eye.py -u https://example.com

Hier soir, en faisant un peu de tri dans mon portefeuille, j’ai regardé un billet de 20 euros et là, je me suis souvenu d’un truc. Vous voyez ces petits cercles discrets disposés un peu partout sur vos billets ? Ces cinq points qui ont l’air anodins ? Eh bien figurez-vous que c’est un système de protection ultra sophistiqué qui peut bloquer instantanément n’importe quel photocopieur. Et le plus marrant, c’est qu’on peut l’utiliser pour nos propres documents.

Cette technologie s’appelle la constellation EURion, aussi connue sous le nom de cercles Omron, et elle existe depuis 1996. Ces cinq cercles jaunes, verts ou orange sont répétés à différentes orientations sur les billets de banque du monde entier et leur présence suffit à faire buguer la plupart des photocopieurs couleur qui refusent catégoriquement de traiter le document. Un vrai mur invisible contre la contrefaçon.

Alors attention, je vais maintenant vous révéler un secret. En fait, il y a deux systèmes complètement différents qui protègent votre argent. D’un côté, vous avez la constellation EURion qui fait planter les photocopieurs physiques. Et de l’autre, les logiciels comme Photoshop utilisent depuis 2003, un système totalement différent appelé CDS (Counterfeit Deterrence System). Selon les recherches de Steven J. Murdoch, ce système ne se base pas du tout sur les cercles EURion mais détecte un watermark invisible développé par Digimarc. Donc si Photoshop refuse d’ouvrir un billet scanné, ce n’est pas à cause des petits points, mais d’un filigrane numérique caché dans l’image.

Un développeur nommé Martin Scharm a surtout eu l’idée géniale de tester si on pouvait détourner ce système pour protéger ses propres documents. Il a créé un template LaTeX qui intègre la constellation EURion directement dans un PDF.

Voici le code :

wanna scan my letter?
\includegraphics[width=7mm]{EURion.pdf}

La taille de 7 mm est cruciale, car c’est l’idéal pour que les scanners détectent le motif. Martin a d’ailleurs mis tout son travail sur GitHub, avec l’image EURion et le fichier PDF résultant. Sympa de sa part de partager ça !

Le PDF de Martin

Par contre, voilà le hic… tous les scanners et photocopieurs ne sont pas sensibles à la constellation EURion. Certains modèles récents l’ignorent complètement, et d’autres la détectent parfaitement. D’après les discussions que j’ai pu lire sur Stack Overflow, un utilisateur a quand même réussi à bloquer un photocopieur Ricoh en ajoutant le motif EURion sur ses documents, mais sur d’autres machines, rien ne se passe. C’est un peu la loterie.

Alors maintenant, la question à 10 balles : Est-ce légal d’utiliser la constellation EURion sur ses propres documents ? Et bien, bonne nouvelle, aucune loi n’interdit l’utilisation de ce motif en dehors des billets de banque. Les discussions techniques sur TeX Stack Exchange confirment qu’on peut parfaitement intégrer ce système dans des documents LaTeX pour empêcher leur reproduction car c’est uniquement la reproduction des billets eux-mêmes qui est illégale, et pas l’utilisation du motif de protection. Logique, vous allez me dire.

Les cas d’usage sont quand même assez limités, je vous l’accorde. Pourquoi voudriez-vous empêcher quelqu’un de photocopier l’un de vos courrier ? Mais pour les photographes qui veulent protéger leurs œuvres en mode “le photocopillage tue le livre mais m’en fous je vais arrêter la vague de l’IA avec ma fourchette”, ou pour des documents confidentiels d’entreprise, ça peut avoir du sens.

D’ailleurs, les fabricants de photocopieurs et de scanners intègrent ce DRM physique volontairement dans leurs appareils depuis des années. C’est un accord tacite entre l’industrie et les banques centrales pour lutter contre la contrefaçon. Tout le monde le fait, même si légalement, personne n’est obligé.

Voilà, si vous voulez tester, récupérez le template LaTeX de Martin Scharm, ajoutez la constellation EURion à vos documents, et voyez si votre photocopieur au bureau fait la tête. Au pire, ça ne marchera pas. Au mieux, vous aurez créé un document physiquement incopiable. Ensuite en bon agent du chaos, y’a plus qu’à faire des patchs transparents avec cette discrète constellation de points, et à les coller sur la vitre des photocopieurs du boulot ! Et là vous récupérez tous les jours fériés qu’on vous a piqué.

Bon après, dans un monde où tout le monde partage des fichiers numériques, l’intérêt reste limité mais c’est toujours sympa de savoir qu’on peut transformer n’importe quel document en version “anti-copie” juste en ajoutant cinq petits cercles bien placés…

Source