Qu'est-ce que le Fuzzing ? Définition, fonctionnement et outils
Sélectionnez un chapitre
Spear phishing, deepfakes, LOLBins, side-channel attacks, … Les techniques d’attaques pirates évoluent à vitesse grand V. Afin de maximiser la protection des SI, les experts cyber doivent réaliser une veille constante. Mais cela n’est pas toujours suffisant. Il y a régulièrement des attaques émergentes qui passent à la trappe. Alors pour les détecter de manière exhaustive, il convient d’utiliser les bonnes techniques de cybersécurité. Parmi elles, il y a le fuzzing. De quoi s’agit-il ? Comment fonctionne le fuzz testing ? Quels outils utiliser ? Quels sont les avantages et inconvénients de cette technique d’audit ? Jedha répond à vos questions.
Qu'est-ce que le fuzz testing en cybersécurité ?
Le fuzzing est une technique de test de sécurité automatisé qui consiste à envoyer des données invalides, aléatoires ou inattendues dans un système informatique.
Contrairement à d’autres méthodes de test dynamique, les fuzzers ne recherchent pas d'attaques ou de vulnérabilités spécifiques. À la place, ils nourrissent le SI avec des entrées inattendues. Ensuite, ils observent son comportement afin de détecter des erreurs, des bugs ou des failles potentielles.
En fournissant la gamme la plus large possible d'entrées inattendues, les experts en cybersécurité sont plus à même de découvrir des vulnérabilités nouvelles et inconnues pouvant être exploitées par les cybercriminels. Reste ensuite à corriger ces failles pour renforcer le système et prévenir d'éventuelles attaques.
Pour la petite histoire, la technique du fuzz testing a été découverte par hasard à cause d’une soirée orageuse. Dans les années 1980, un informaticien constata des bugs dans son équipement informatique du fait des mauvaises conditions météorologiques. Mais tous les systèmes informatiques ne réagissent pas de la même manière. Il décida alors de lancer le premier test de fuzzing connu. Progressivement, cette technique a été développée sur différents systèmes et services réseaux.
Comment fonctionne le fuzzing?
Quels sont les différents types de fuzz testing ?
Depuis les années 1980, les différentes techniques du fuzzing ont bien évolué. Voici ses différentes approches :
- Le whitebox fuzzing (ou fuzzing en boîte blanche) : le fuzzer se focalise sur la structure interne du programme informatique pour identifier toutes les vulnérabilités et maximiser la couverture du code. Cette technique suppose d’analyser chaque branche de la structure interne. Ce qui consomme énormément de ressources, tout en prenant du temps.
- Le blackbox fuzzing : le programme est analysé en tant que boîte noire. Le fuzzer se focalise sur les données de sortie pour comprendre le fonctionnement interne. Beaucoup plus rapide et moins onéreux que la méthode précédente, le blackbox fuzzing présente toutefois un inconvénient majeur. Il rentre beaucoup moins en profondeur, rendant plus difficile la détection des vulnérabilités cachées.
- Le greybox fuzzing : c’est une méthode intermédiaire et l’une des plus utilisées aujourd’hui. L’idée est de commencer par une analyse de la structure interne (mais plus légère) et d’étudier les sorties de programme pour mieux comprendre ce qui se passe à l’intérieur.
Au-delà de ces différentes approches, il est aussi possible de classer les types de fuzzing selon les domaines d’application. Par exemple, le fuzzing des systèmes d’exploitation, des applications mobiles, des applications web, les logiciels, les URL fuzzer pour les sites web …
Quelles sont les étapes de la prévention d’attaque par fuzzing ?
Pour tester efficacement un système d’information, plusieurs étapes sont nécessaires :
- L’identification d’un système cible : le pentester commence par rechercher une faiblesse à exploiter dans le système d’information. Il est alors possible d’analyser tous types de programmes, comme des logiciels, des microprogrammes, des réseaux, etc.
- La détermination des inputs : pour chaque programme analysé, il convient de mettre en place des mécanismes de filtrage et de validation. L’idée est de s'assurer que les données d'entrée soient conformes aux spécifications définies en amont pour garantir la sécurité du système.
- La génération de données de test : ce peut être des données de test aléatoire ou des données existantes modifiées. L’idée étant de créer des entrées inattendues et d'explorer différents chemins dans le code.
- L’envoi des données de test : une fois les données générées, elles sont envoyées au système à tester à des points spécifiques. Par exemple, les champs de saisie, les fichiers, les protocoles de réseau, etc.
- La surveillance et l’analyse comportementale : bugs, crashs, plantages, exceptions, … Tout type de comportement “anormal” est analysé. C’est ce qui permet d’identifier les vulnérabilités.
- La correction : les développeurs doivent corriger les vulnérabilités identifiées pour améliorer la sécurité du système.
Quels outils utiliser pour le fuzzing testing ?
Les fuzzer sont des outils cyber permettant de détecter des vulnérabilités très rapidement. Contrairement à d’autres solutions de test, ils ne se concentrent pas sur la détection des vulnérabilités connues, mais sur l'utilisation du plus grand nombre d'entrées possible. Concrètement, les fuzzers injectent des données aléatoires, malformées ou inattendues dans un programme afin de provoquer des erreurs ou des comportements inattendus. L’intérêt réside justement dans ces erreurs qui peuvent révéler de nouvelles vulnérabilités dans le logiciel. Des failles auxquelles les experts cyber n’auraient pas forcément pensé en utilisant un autre outil de sécurité informatique.
Quels sont les meilleurs fuzzers payants ?
Voici les meilleurs outils de fuzzing payants :
- Beyond Security beSTORM : c’est un fuzzer polyvalent qui permet de tester à la fois le matériel et les logiciels. Avec beSTORM, vous n’avez pas besoin d'accéder au code source pour tester le système.
- Code Intelligence Fuzz : livré sous la forme d'une machine virtuelle Ubuntu, ce fuzzer s’intègre parfaitement au pipeline CI/CD. Ce qui permet de contrôler que les modifications effectuées sur un programme ne créent pas de nouvelles vulnérabilités.
- ForAllSecure Mayhem for Code : c’est un fuzzer intelligent qui devient plus efficace au fil du temps grâce à l’apprentissage automatique. Fonctionnant de manière autonome, cet outil requiert un minimum d’intervention humaine.
Quels sont les meilleurs fuzzers open source ?
Côté outils de fuzz testing open source, voici notre sélection :
- Go-fuzz : conçu pour tester les paquets en langage Go, il est très efficace pour analyser des entrées textuelles et binaires complexes.
- Ffuf (Fuzz Faster U Fool) : c’est l’un des outils gratuits les plus avancés, puisqu’il permet d’exécuter les fonctions de fuzzing les plus courantes. Il fonctionne exclusivement en ligne de commande.
- PeachTech Peach Fuzzer : c’est un outil hautement configurable qui fonctionne avec presque n'importe quel langage ou système d'exploitation.
Quels sont les avantages et inconvénients du fuzzing test en cybersécurité ?
Méthode de cybersécurité incontournable, le fuzzing offre de nombreux avantages aux entreprises :
- La découverte de vulnérabilités inconnues : grâce à son approche par l’envoi de données aléatoires, le fuzzing permet de repérer des failles qui pourraient ne pas être détectées lors de tests conventionnels.
- L’amélioration de la stabilité des logiciels : en soumettant l'application à différents scénarios de test, le fuzzing limite les problèmes de stabilité. Plantages ou goulots d'étranglement sont détectés et corrigés. Ce qui rend l’application plus robuste et plus fiable.
- La détection précoce : ce test de sécurité peut être appliqué à différents stades du cycle de développement des logiciels, depuis les premières étapes de la conception jusqu'aux tests d'acceptation finaux.
- Le gain de temps : le fuzzing test automatise une grande partie du processus de test de sécurité. Au lieu d'effectuer des tests manuels approfondis, les équipes de développement peuvent se concentrer sur la résolution des problèmes et l’amélioration de la solution.
- La prévention des attaques réussies : en maximisant la couverture du code, les experts cyber limitent drastiquement les vulnérabilités. La probabilité que les attaquants réussissent à exploiter les faiblesses des logiciels est considérablement réduite.
Malgré tous ces avantages, le fuzzing est loin d’être une solution parfaite. D’une part, à cause de la charge de travail supplémentaire et d’une manipulation parfois complexe. D’autre part, parce que cette méthode ne permet pas toujours d’identifier précisément les causes d'erreurs.
3 étapes pour se former au fuzzing et à la cybersécurité offensive
Vous voulez aller plus loin et devenir un pro du fuzzing ? Chez Jedha, nous proposons plusieurs formations en cybersécurité. Pour en savoir plus, voici les 3 étapes à suivre pour devenir un expert en cybersécurité :
- Tester la méthode Jedha en suivant notre cours gratuit d’introduction à la cybersécurité sur JULIE by Jedha.
- La découverte. Il vous suffit de Télécharger le syllabus de nos formations certifiantes en cybersécurité.
- Participer à l’une de nos soirée portes ouvertes, organisées tous les jeudis à 18h