OpenVAS : Le scanner de vulnérabilités open source pour sécuriser vos serveurs
Votre serveur, NAS ou infrastructure maison est-il vraiment protégé contre les cyberattaques ? Plutôt que d’attendre qu’un pirate ne découvre une faille critique, pourquoi ne pas prendre les devants avec un outil d’audit de sécurité ? OpenVAS, le scanner de vulnérabilités open source, se présente comme une solution robuste et gratuite pour identifier les failles avant qu’elles ne soient exploitées. Mais attention : avant de scanner un réseau professionnel, une autorisation écrite est indispensable, sous peine de conséquences légales.
Dans cet article, nous explorons en détail OpenVAS, son fonctionnement, ses avantages, et comment l’installer facilement via Docker pour auditer votre infrastructure en toute sécurité.
Qu’est-ce qu’OpenVAS et pourquoi l’utiliser ?
OpenVAS (Open Vulnerability Assessment System) est un scanner de vulnérabilités open source développé par Greenbone Networks. Contrairement aux outils offensifs comme Kali Linux, OpenVAS se concentre sur l’audit défensif : il analyse votre infrastructure pour détecter les failles connues, les ports ouverts, les services mal configurés ou les certificats expirés. L’objectif ? Vous fournir un rapport clair et détaillé des vulnérabilités présentes, avec un niveau de criticité pour chaque risque identifié.
Ce qui distingue OpenVAS, c’est son feed de vulnérabilités (Greenbone Community Feed), régulièrement mis à jour pour inclure les dernières failles découvertes. Contrairement à certains outils commerciaux comme Nessus, OpenVAS est entièrement gratuit et open source, ce qui en fait une solution accessible aux particuliers comme aux petites entreprises. Cependant, son interface peut sembler austère comparée à des solutions payantes, ce qui peut rebuter les utilisateurs moins techniques.
Enfin, OpenVAS est particulièrement utile pour les administrateurs système, les responsables sécurité ou les passionnés de domotique qui souhaitent sécuriser leurs serveurs personnels ou leurs projets DIY. Que vous hébergiez un site web, un NAS ou une application interne, un scan régulier avec OpenVAS permet de réduire considérablement les risques d’intrusion.
Les fonctionnalités clés d’OpenVAS
OpenVAS ne se contente pas de scanner les ports ouverts : il analyse en profondeur votre infrastructure pour repérer un large éventail de vulnérabilités. Voici ses principales fonctionnalités :
- Détection des ports ouverts : Identification des services exposés sur votre réseau, comme les serveurs web, les bases de données ou les services SSH.
- Analyse des services mal configurés : Détection des services utilisant des protocoles obsolètes (comme SSLv3) ou des configurations par défaut dangereuses.
- Vérification des certificats SSL/TLS : Alerte en cas de certificats expirés ou utilisant des algorithmes obsolètes (SHA-1, par exemple).
- Détection des vulnérabilités connues : Utilisation d’une base de données de failles (CVE, CVSS) pour identifier les risques critiques ou élevés.
- Génération de rapports détaillés : Export possible en PDF, HTML ou XML, avec des recommandations pour corriger les failles détectées.
Ces fonctionnalités en font un outil polyvalent, adapté aussi bien aux administrateurs réseau qu’aux développeurs souhaitant sécuriser leurs applications. Cependant, OpenVAS ne remplace pas un audit complet par un expert en cybersécurité : il reste un premier rempart essentiel pour identifier les problèmes évidents.
Installation simplifiée avec Docker
L’installation d’OpenVAS peut sembler complexe, mais Greenbone propose une solution clé en main via Docker. Cette méthode permet de déployer rapidement l’outil sans avoir à configurer manuellement les dépendances. Voici les étapes à suivre :
- Créer un répertoire dédié :
mkdir -p ~/greenbone-community-container cd ~/greenbone-community-container - Télécharger le fichier docker-compose.yml :
curl -f -O -L https://greenbone.github.io/docs/latest/_static/docker-compose.yml - Télécharger les images Docker :
docker compose pull - Démarrer les conteneurs :
docker compose up -d
Une fois les conteneurs lancés, vous pourrez accéder à l’interface web d’OpenVAS sur http://localhost:9392. Le premier lancement peut prendre plusieurs minutes, le temps que les bases de données de vulnérabilités soient initialisées. Pour un scan efficace, Greenbone recommande d’allouer au moins 4 CPU et 8 Go de RAM à l’outil, surtout si vous analysez une infrastructure complexe.
Cette méthode Docker évite les conflits de dépendances et simplifie les mises à jour. De plus, elle permet de déployer OpenVAS sur n’importe quelle machine supportant Docker, que ce soit un Raspberry Pi, un serveur dédié ou un NAS.
Comment utiliser OpenVAS pour auditer votre infrastructure ?
Une fois OpenVAS installé, son utilisation est intuitive. Voici les étapes pour lancer un scan et analyser les résultats :
- Se connecter à l’interface web : Rendez-vous sur
http://localhost:9392et connectez-vous avec les identifiants par défaut (généralementadminpour le nom d’utilisateur etadminpour le mot de passe, à changer dès la première connexion). - Configurer un nouveau scan : Dans l’onglet \ »Scans\ », cliquez sur \ »New Scan Task\ » pour créer une nouvelle tâche. Vous pouvez choisir un scan rapide (pour une première évaluation) ou un scan complet (pour une analyse approfondie).
- Définir la cible : Indiquez l’adresse IP ou le nom de domaine de la machine à analyser. Vous pouvez aussi scanner un sous-réseau entier si nécessaire.
- Lancer le scan : Une fois la configuration terminée, lancez le scan. La durée varie selon la taille de l’infrastructure et le type de scan sélectionné.
- Analyser le rapport : Une fois le scan terminé, OpenVAS génère un rapport détaillé avec les vulnérabilités détectées, classées par niveau de criticité (faible, moyenne, élevée, critique). Chaque faille est accompagnée d’une description et de recommandations pour la corriger.
Pour aller plus loin, vous pouvez planifier des scans automatiques (via des tâches récurrentes) ou exporter les rapports pour les partager avec votre équipe. OpenVAS permet aussi de comparer les résultats de scans successifs pour suivre l’évolution de votre sécurité au fil du temps.
OpenVAS vs. les alternatives : Nessus, Grype et autres outils
OpenVAS n’est pas le seul scanner de vulnérabilités disponible, mais il se distingue par son approche open source et gratuite. Voici une comparaison avec ses principaux concurrents :
- Nessus : Solution commerciale développée par Tenable, Nessus offre une interface plus moderne et des fonctionnalités avancées (comme le scan des conteneurs Docker via Nessus Container Security). Cependant, son coût peut être prohibitif pour les particuliers et les petites structures. OpenVAS reste une alternative viable pour ceux qui cherchent une solution gratuite.
- Grype : Spécialisé dans l’analyse des vulnérabilités des images Docker, Grype est idéal pour sécuriser vos conteneurs avant leur déploiement. OpenVAS, en revanche, est plus adapté pour auditer des infrastructures complètes (serveurs, NAS, routeurs).
- Nmap : Bien que Nmap soit excellent pour cartographier un réseau, il ne fournit pas d’analyse des vulnérabilités. OpenVAS combine les deux approches en identifiant les failles potentielles.
- Kali Linux : Ce système d’exploitation est une boîte à outils complète pour le pentest et le hacking éthique. OpenVAS, lui, se concentre sur l’audit défensif et n’est pas conçu pour exploiter des failles.
Le choix entre ces outils dépend de vos besoins : OpenVAS est idéal pour un audit régulier et gratuit, tandis que Nessus ou Grype peuvent compléter votre arsenal si vous avez des besoins spécifiques (comme l’analyse des conteneurs).
Bonnes pratiques et limites d’OpenVAS
Bien qu’OpenVAS soit un outil puissant, son utilisation nécessite de respecter certaines bonnes pratiques pour en tirer le meilleur parti :
- Scanner uniquement ce que vous possédez : Avant de lancer un scan, assurez-vous d’avoir l’autorisation de tester la machine ou le réseau. Scanner un serveur sans permission est illégal et peut entraîner des poursuites.
- Mettre à jour régulièrement le feed de vulnérabilités : Le Greenbone Community Feed est mis à jour quotidiennement. Pour le mettre à jour, utilisez la commande :
docker compose exec gvmd greenbone-feed-sync --type GVMD_DATA - Ne pas se reposer uniquement sur OpenVAS : Cet outil détecte les failles connues, mais un attaquant pourrait exploiter une vulnérabilité zero-day (inconnue des bases de données). Complétez avec des audits manuels ou des outils comme Burp Suite pour une sécurité optimale.
- Configurer des alertes : OpenVAS permet de configurer des notifications par email pour les nouvelles vulnérabilités critiques détectées. Activez cette option pour réagir rapidement.
Source : https://search.app/ShQam