Identifier le type et la version d'un applicatif web avec BlindElephant

Partager

BlindElephant est un outil permettant d'identifier à distance le type d'applicatif (forum, gestionnaire de contenu, ...) présent sur un site web et d'en détecter la version. Avec ces informations il est aisé de déterminer si des failles de sécurité potentielles existent ou non.

Cet outil a été mis au point par Patrick Thomas de la société Qualys qui est spécialisée dans les services de détection de vulnérabilités (cf des outils comme Nessus, Rapid7, ...).

Le coté novateur de ce type d'outil c'est qu'il ne se base pas sur l'identification d'une chaine de caractères (genre un "phpBB v1.0") pour identifier l'application. En effet, le système fonctionne en deux grandes étapes :

  1. BlindElephant va parcourir des sites de référence (dont le nom et la version sont connus) et va télécharger tous les fichiers (.html, .css, .txt, ...). Pour chaque fichier il va calculer une somme de contrôle (un "hash-code"). Cette liste de fichier associé à leur hash-code vont ensuite servir de "signature". Cette première étape a été faite pour vous : Une version est livrée avec l'outil.
  2. Lors d'un audit, l'outil va tenter de télécharger tous les fichiers dont il connait les chemins et pour chacun va calculer une somme de contrôle. En comparant les résultats de ce scan avec le contenu de sa base il peut ainsi déterminer avec une certitude plus ou moins bonne le type d'applicatif et son numéro de version.

Cet outil étant OpenSource (disponible en téléchargement depuis SourceForge), la base de signature devrait pouvoir bénéficier des contributions de la communauté Internet. Pour ceux qui souhaiteraient en savoir plus sur son mode de fonctionnement, un site web a été mis en ligne par Qualys pour favoriser les échanges et contributions.

Pour les anglophones, vous trouverez ICI une petite vidéo de Patrick Thomas qui présente BlindElephant et précise fort justement que rares sont les applicatifs qui facilitent le déploiement des mises à jour et font l'effort d'avertir leurs utilisateurs de la mise à disposition de nouvelles versions... Ce qui expliquerai les mauvais résultats des tests qu'il a pu mener.

Ce type d'outil est à mettre dans la catégorie "prise d'empreinte d'applications web" (Web application fingerprinting). A fourrer dans la trousse à outils du parfait auditeur. Une intégration dans la distribution BackTrack Linux ne devrait à priori pas tarder. Bon scan !

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)