Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée

Scans de failles et vulnérabilités
Application des correctifs aux failles

Dernière mise à jour : 2017-04-28T00:00 - 28.04.2017
01.04.2012 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)
14.10.2012 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour (scan de nouvelles versions à ne pas confondre avec scan de correctifs de failles)

Pour les produits Microsoft, il y a Windows Update qui analyse un ordinateur et préconise les correctifs de sécurité à appliquer à Windows et aux autres produits Microsoft installés. Mais pour tous les autres produits, non Windows, il y a mieux que de parcourir les sites de chaque éditeur pour savoir si un correctif a été publié : il y a des solutions simples avec des outils fédérateurs de tous les autres correctifs, tous logiciels de toutes marques. Voici quelques outils gratuits qui recherchent des correctifs que vous n'avez pas encore appliqué à des produits installés dans votre ordinateur.


Avertissement : Produits et Services gratuits

Ne jamais utiliser un "service gratuit en ligne", ou un "outil gratuit à télécharger et installer" qui ne soit pas recommandé par Assiste.com. Si nous n'avons pas encore parlé de tous les produits ou services fiables existants, il est quasi certain que presque tous les produits ou services dont nous ne parlons pas sont des malveillances ou des crapuleries (ou des produits moins performants, donc inutiles).


Accès à la base de données Sécunia des failles de sécurité Etat des failles de sécurité de tous les produits logiciels du monde, à jour en continu.

Windows Update doit être réglé en mode automatique

Secunia Online Software Inspector (OSI) Scan des logiciels installés, à la recherche de ceux dont des patchs de sécurité existent et devraient être immédiatement installés. Propose le lien pour opérer la mise à jour, voire est capable, dans certains cas, de procéder lui-même à la mise à jour. Signale également les applications obsolètes ou abandonnées et propose le lien vers la nouvelle version lorsqu'elle existe. La version "PSI" de ce scanner est plus performante que la version "On line". Gratuit.

Secunia Personal Software Inspector (PSI). Scan des logiciels installés, à la recherche de ceux dont des patchs de sécurité existent et devraient être immédiatement installés. Propose le lien pour opérer la mise à jour, voire est capable, dans certains cas, de procéder lui-même à la mise à jour. Signale également les applications obsolètes ou abandonnées et propose le lien vers la nouvelle version lorsqu'elle existe. Application installée et indépendante du navigateur, contrairement à Secunia Online. Cible de bien plus nombreuses failles que la version online. Gratuit.

Kaspersky PURE, la version tout-en-un de Kaspersky (antivirus, pare-feu, contrôle parental etc. ...) comporte un module de recherches de vulnérabilités.

Fix it (Microsoft) Vaste ensemble d'outils très divers (plusieurs centaines d'outils), gratuits, offerts par Microsoft, permettant de corriger certaines erreurs de Windows, de Windows Update et d'une foule de logiciels Microsoft.

Single Vulnerability Test, par Security Space. Test gratuit de l'une des 29469 vulnérabilités (en avril 2012) 50192 vulnérabilités (en juin 2016) qu'ils analysent. Il faut donc utiliser ce service 50192 fois pour tester toutes les vulnérabilités ! Sinon, il y a le service payant "Desktop Audit", par Security Space.


"Desktop Audit", par Security Space. Test approfondi d'une machine ne fonctionnant pas en mode "serveur". Scan de vulnérabilités, scan de ports etc. ... 19.95US$


Filehippo
N'est pas un scanner de failles.
N'est qu'un outil de scan de mises à jour (nouvelles versions, y compris beta).
En sait moins et en fait moins que Secunia Personal Software Inspector (PSI).
En plus, réserves vis à vis de ce site.


CNet Version Tracker (Arrêté le 7 septembre 2011)
N'est pas un scanner de failles.
N'est qu'un outil de scan de mises à jour (nouvelles versions, y compris beta).
En sait moins et en fait moins que Secunia Personal Software Inspector (PSI).
Très grandes réserves vis à vis de tout le site CNet (C|Net). Ne pas utiliser.


SUMo Software Update Monitor
N'est pas un scanner de failles.
N'est qu'un outil de scan de mises à jour (nouvelles versions, y compris beta).
En sait moins et en fait moins que Secunia Personal Software Inspector (PSI).


Software Informer
N'est pas un scanner de failles.
N'est qu'un outil de scan de mises à jour (nouvelles versions, y compris beta).
En sait moins et en fait moins que Secunia Personal Software Inspector (PSI).
Réserves vis à vis de ce site.

Côté Webmasters (scan de sites et d'hébergement de sites)

Acunetix : Licence 4.000 € et 800 € par an. Détecte de très nombreuses failles dont les failles SQL et XSS. Produit très peu de faux positifs.

Arachni : Open source et gratuit. Une caractéristique particulière : il peut être déployé sur de nombreuses machines simultanément (load balancing à la volée, en cours de fonctionnement, augmentant sa puissance tout en répartissant la charge sur plusieurs machines) pour analyser un seul site particulièrement gros. Ecrit en Ruby.

Appscan : Mastodonte d'IBM dont la licence coûte 37.000$, puis 17.000$ par an.

Webinspect :  Mastodonte d'HP dont la licence coûte environ 30.000$ puis environ 890$ par mois.

Vega : Libre et gratuit. Particularité : il génère un rapport orienté vers les non technicien de la chose (un rapport « lisible » par un webmaster d'un site perso, sans avoir besoin de sortir de l'EFREI pour le commencer à comprendre de quoi on parle).