Bloquer les scanners à la découverte de votre exposition sur Internet : bonne ou mauvaise idée ?

Il semblerait que, pour certains, ces scanners soient vus comme « le mal ». Ils mettent en effet en lumière certains défauts de sécurité, certaines portes ouvertes dans de nombreux systèmes d’information. Alors ces réfractaires à l’idée de regarder la vérité en face se disent qu’il serait pertinent de faire fermer les yeux aux scanners pour éviter qu’ils recensent leurs faiblesses. Un grand constructeur de pares-feux américain « proposerait » désormais de bloquer facilement à ces scanners, et notamment le grand méchant Shodan, l’accès à vos services exposés sur Internet.

Pour commencer, plusieurs scanners, comme Shodan, ne fournissent pas la liste des adresses IP qu’ils utilisent pour effectuer leurs recensements, même s’il est possible de les trouver assez facilement. Il faut bien avoir en tête que cette liste ne sera jamais exhaustive et que passer son temps à coller des rustines sur une chambre à air qui ressemble à une passoire n’est peut être pas la solution la plus efficiente qu’il soit. Surtout que la passoire en question, c’est vous qui l’avez vous-même créée.

Il faut partir du principe que tout ce que l’on expose sur Internet, a une bonne raison de l’être. Le service mis en ligne doit être accessible depuis n’importe où. Si ce n’est pas le cas, il faut peut-être revoir sa façon de penser. Limiter l’accès aux personnes qui en ont vraiment besoin, utiliser un VPN, par exemples.

Article connexe → Au nom du Père, des bits et du cyber-Esprit

Lorsque l’on configure un pare-feu, on crée généralement des règles d’autorisation de flux et on termine par une règle qui indique que tout ce qui n’a pas été précédemment autorisé doit être bloqué. Par principe, quand on commence à créer des règles de blocage dans un pare-feu, ça sous-entend que l’on a raté quelque chose dans sa configuration.

Si j’ouvre l’accès à un service de mon SI à tout le monde et que je pense être tranquille en disant à l’agent de sécurité qui surveille l’entrée, finalement tu laisses rentrer tout le monde sauf les mecs qui ont des baskets blanches avec des semelles rouges et des lacets bleus car ce sont eux qui risquent de poser des problèmes, je ne suis pas certain que ce soit la meilleure idée pour se protéger. Surtout s’il s’agit d’une soirée privée réservée aux membres du club de natation. La consigne à lui donner serait plutôt, laisse uniquement rentrer les membres du club sur présentation de leur carte.

Si j’ai identifié que les utilisateurs de mon service sont uniquement des résidents français, je peux peut-être limiter son accès via géo IP, aux adresses localisées en France.

OK certains attaquants pourront peut-être gagner un peu de temps avec le recensement fait par un scanner tel que Shodan, mais il ne faut pas se leurrer, beaucoup d’attaquants (et pas qu’eux) réalisent leurs propres scans, vous n’avez qu’à jeter un œil à vos logs de pare-feu ou de serveurs exposés sur Internet pour vous en apercevoir.

Donc bloquer des scanners connus ne vous apportera pas grand-chose en termes de sécurité si les services que vous exposez sont vulnérables. En revanche, si vous n’êtes pas en capacité de faire aussi bien que des spécialistes de l’analyse de votre exposition Internet comme Onyphe par exemple, vous risquez de vous pénaliser vous-même en perdant de la visibilité sur ce que vous exposez, même si le dictons dit « pour vivre heureux vivons cachés », et que dans certains cas cela peut se justifier.

Pour revenir sur ce le référencement de certains services de scan ou des nœuds TOR, en réalité, je ne suis pas persuadé que les constructeurs de pares-feux les mettent en avant pour qu’ils soient bloqués, mais plutôt pour permettre de les identifier facilement dans les traces.

Il peut en revanche être intéressant d’observer les scans qui sont réalisés depuis des outils connus, cela pourra permettre de mettre en avant des services qui n’auraient peut-être plus ou pas lieu d’être exposés. La détection de certains de ces scans peut être faite à l’aide d’une solution basée sur le moteur Suricata [2], telle que SELKS [3,] et des règles proposées au sein du projet Paw Patrules [4].

Dans cet exemple, les règles de détection mettent en avant que le port 22 de la machine dont l’adresse IP est 192.168.42.105 sur mon réseau interne est accessible depuis Internet.

[1] https://www.onyphe.io/ 

[2] https://suricata.io/ 

[3] https://www.stamus-networks.com/selks

[4] https://pawpatrules.fr

L'auteur

Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS (Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)