FAQ relative à l'outil de test en boîte noire à données aléatoires de beSTORM

Plus d'informations et essai gratuit

En quoi consiste beSTORM ?

beSTORM est un outil d'évaluation de sécurité qui exécute une analyse exhaustive afin de démasquer les vulnérabilités nouvelles et inconnues dans les applications logicielles sur réseau pendant le cycle de développement. En testant automatiquement des milliards de combinaisons d'attaques, beSTORM assure la sécurité des produits avant leur déploiement, permettant ainsi aux entreprises d'économiser des millions de frais liés à la réparation des failles de sécurité après l'expédition des produits. beSTORM diffère des outils d'ancienne génération qui se servent des signatures ou des tentatives d'attaques pour isoler les vulnérabilités connues dans les produits.

Pourquoi beSTORM est-il un outil important pour les fournisseurs de logiciels ?

La sécurité constitue à présent une préoccupation fondamentale chez les utilisateurs finaux et les fournisseurs de logiciels se démènent pour rendre leurs logiciels plus sûrs avant leur expédition. À mesure que les règlements de conformité s'imposent aux professionnels pour ce qui concerne la sécurité des documents financiers et des données globales, de nombreuses entreprises sont de plus en plus tenues de veiller à ce que les applications logicielles des tiers respectent des exigences rigoureuses en matière de certifications de sécurité. Les applications logicielles qui n'ont pas été entièrement testées préalablement à leur déploiement fragilisent les entreprises et donnent aux clients un sentiment d'insécurité.

Avec beSTORM, les développeurs de logiciels peuvent tester leur logiciel afin de détecter les brèches de sécurité pendant le processus de développement, ce de la manière dont l'assurance qualité est aujourd'hui effectuée. Cela étant réalisé automatiquement, les développeurs peuvent éprouver leurs versions une première fois, puis soumettre celles-ci à de nouveaux tests au moment de leur sortie, quelle que soit la durée de leur cycle de développement.

Comment une évaluation des vulnérabilités peut-elle contribuer à atténuer les problèmes de sécurité d'un logiciel ?

La recherche de vulnérabilités peut aider à repérer les défauts de sécurité avant l'expédition du logiciel. Cela signifie que les défauts qui sont découverts aujourd'hui par les pirates informatiques seront isolés et réparés par les développeurs avant la mise en circulation du produit sur le marché. Cela se traduira par une sécurité du logiciel constamment accrue et par une diminution du nombre de failles de sécurité pouvant être mises à profit par les pirates informatiques.

Pourquoi les outils de surveillance des vulnérabilités des logiciels prennent-ils de l'importance ? La plupart des problèmes ne sont-ils pas concentrés sur les systèmes d'exploitation ?

En réalité, le système d’exploitation est logiciel. Le système d'exploitation comporte de nombreux composants logiciels qui sont perméables aux failles et la position dominante de Microsoft dans l'univers informatique a fait de ceux-ci une cible opportune pour les attaques contre la sécurité. Au fur et à mesure des progrès accomplis sous l'angle des correctifs de sécurité, la détection de nouvelles brèches dans les composants du système d'exploitation s'avère de plus en plus difficile tandis que celle des vulnérabilités logicielles devient relativement aisée dans les autres applications. Se fondant sur leurs propres calculs de rentabilité, les pirates informatiques ont commencé à cibler les composants logiciels ne relevant pas du système d'exploitation. En conséquence, nous observons aujourd'hui une augmentation considérable des vulnérabilités constatées dans d'autres applications logicielles.

Fonctionnement de beSTORM

beSTORM est un outil automatisé, programmé pour réaliser une recherche exhaustive de toutes les combinaisons d'entrées possibles d'un protocole de réseau afin de tester la présence de défauts dans la mise en œuvre du protocole. Toutefois, tenter de cerner toutes les combinaisons d'entrées théoriques du programme n'est pas chose facile et nécessite de disposer de la capacité de tester automatiquement des milliards de combinaisons. beSTORM est doté d'un algorithme d'établissement des priorités permettant le traitement exhaustif de l'intégralité des entrées qui sont susceptibles de « déclencher » une brèche de sécurité, ce dans un délai raisonnable.

Pour ce faire, beSTORM convertit les spécifications du protocole en une série de tests automatisés et met en pratique le protocole de réseau en insistant tout particulièrement sur les cas légaux d'un point de vue technique, mais erronés et tendus sur le plan fonctionnel. À titre d'exemple, beSTORM teste automatiquement chaque combinaison possible de protocole jusqu'au déclenchement d'un dépassement de tampon. Autre exemple. Et si l'application attend un nom de fichier et que vous lui envoyez des caractères qui ne sont pas valides ? Et si vous procédez de manière illogique avec les numéros de séquence du protocole ? beSTORM ne se limite pas à des cas particuliers, il finira par englober l'intégralité de l'espace de recherche du protocole.

Qui utilise beSTORM ?

beSTORM est destiné à être utilisé dans un environnement d'ingénierie logicielle et doit être employé par les développeurs, les équipes chargées de l'assurance qualité et les experts en sécurité. beSTORM munit ces personnes d'un outil qui leur permet de tester les failles de sécurité alors qu'ils se situent encore dans la phase de développement. Le nouveau produit donne la possibilité aux équipes de développement de planifier des tests de sécurité dans le cadre du processus de mise en circulation du produit, ce qui leur ménage du temps pour réparer leur code avant l'expédition du produit.

beSTORM est-il facile à utiliser ?

Ne présentant pas plus de complexité que les outils d'assurance qualité habituels, beSTORM s'avère en fait plus simple d'utilisation que la plupart des solutions analogues. Compte tenu de l'automatisation des tests, l'utilisateur moyen peut commencer à se servir de beSTORM en l'espace de quelques minutes. L'expert procédant aux tests de sécurité appréciera les nombreux paramètres en option qui sont à sa disposition pour modifier légèrement et affiner les tests de manière à cerner certaines parties du protocole ou à augmenter la vitesse des tests.

Comment beSTORM teste-t-il les brèches de sécurité pendant le cycle de développement sans avoir besoin du code source ?

beSTORM teste l'application binaire et est donc complètement détaché du langage de programmation ou des bibliothèques du système utilisés. Cela permet à une équipe de test distincte, qui n'a peut-être pas accès au code source, d'utiliser beSTORM pour tester la sécurité de l'application.

beSTORM établit un rapport sur l'interaction précise qui déclenche la vulnérabilité, lequel rapport peut être envoyé aux programmeurs qui peuvent désormais déboguer l'application dans l'environnement de développement de leur préférence pour savoir ce qui génère le défaut.

Avez-vous vraiment décelé des vulnérabilités inconnues à l'aide de beSTORM ?

Notre page d'avis répertorie toutes les vulnérabilités repérées par notre équipe, la plupart d'entre elles ayant été trouvées en exécutant beSTORM automatiquement.

En quoi beSTORM diffère-t-il d'une solution d'analyse automatique ?

Comme d'autres outils d'évaluation des vulnérabilités, l'analyse automatique recherche les vulnérabilités connues dans des produits connus. Bien que celle-ci repère quelquefois des vulnérabilités inconnues, ce genre de détection intervient généralement en raison de similitudes avec des signatures connues ayant permis d'identifier des vulnérabilités.

beSTORM teste de manière exhaustive la mise en œuvre du protocole et démasque toutes les vulnérabilités connues et inconnues, qui se rapportent aux vulnérabilités liées au dépassement de tampon, à la chaîne de format et de type « off-by-one » afférente à une erreur de boucle (actuellement, plus de 95 % des défauts de sécurité relèvent de l'une de ces catégories de vulnérabilités).

De plus, l'analyse automatique sert aux utilisateurs finaux pour analyser les machines de leur réseau. beSTORM est mis à profit par le fournisseur de logiciel lui-même pour analyser le produit pendant son développement.

Quelles autres alternatives sont disponibles pour les fournisseurs de logiciels ?

L'audit de sécurité est généralement effectué manuellement pas les chercheurs-experts en sécurité. Bien que l'audit de sécurité soit réalisé sur les produits d'Internet depuis de nombreuses années, peu d'outils automatisés ont été conçus à cette fin. Aujourd'hui, ces produits sont habituellement des outils créés en interne par des chercheurs en sécurité afin de les aider pendant leurs audits. L'utilisation de produits tels que ceux-ci nécessite habituellement un niveau d'expertise élevé et ceux-ci transmettent très peu d'« intelligence » artificielle. La plupart de ces outils ne comportent aucune fonctionnalité automatique au-delà de l'aide à l'analyse manuelle, de même qu'ils ne procèdent pas à une analyse complète et exhaustive du protocole.

D'autres alternatives résident dans un logiciel d'audit du code source. Ces solutions recherchent dans le code source ce qui semble être un mauvais code pouvant indiquer une potentielle faille de sécurité. En outre, d'autres outils de tests de la sécurité s'appuient sur un nombre relativement réduit d'études de cas (soit des milliers ou des dizaines de milliers) qui sont connus pour déclencher des dépassements de tampons dans certaines mises en œuvre de protocoles.

En quoi beSTORM diffère-t-il des autres produits de sécurité disponibles aujourd'hui ?

La principale différence entre les outils de tests du code source et beSTORM tient à ce que beSTORM ne nécessite aucun code source. beSTORM teste le protocole plutôt que le produit et peut donc être mis à profit pour éprouver des produits éminemment complexes avec une grande base de codes, alors que, normalement, les outils de test du code source ne s'adaptent pas aux grandes bases de codes.

Un autre élément de différence clé par rapport à l'analyse du code source réside dans la précision du rapport : beSTORM vérifie l'application de l'extérieur en provoquant vraiment les attaques et les vulnérabilités ne sont signalées qu'en cas de réussite d'une attaque réelle. D'autre part, les outils d'analyse du code source pâtissent d'un nombre important de faux positifs.

Comparativement aux outils qui exécutent un certain nombre d'études de cas ou de scénarios, beSTORM réalise des millions, voire quelquefois des milliards, de combinaisons d'attaques par rapport à des milliers ou à des dizaines de milliers d'études de cas. C'est là que réside la différence entre livrer la guerre du passé (soit rechercher les problèmes connus) et mener le combat de demain (soit rechercher les vulnérabilités encore inconnues).

De quoi ai-je besoin pour utiliser beSTORM ? Puis-je y accéder par Internet ou dois-je prendre une licence du logiciel, puis installer celui-ci sur mes propres serveurs ?

beSTORM est un logiciel que vous installez sur vos serveurs. Un composant de beSTORM (le composant de surveillance) est installé sur le serveur où se trouve votre produit, tandis que l'autre composant (celui qui lance les tests) peut être installé sur le même serveur ou sur une machine distincte présente sur le réseau afin d'augmenter le débit et de permettre davantage de scénarios réalistes de tests.


Plus d'informations et essai gratuit