VulnIT's blog

Coup de coeur Microsoft !

VMaury — Thu, 23 Jun 2011 13:26:00 +0200

VulnIT reçoit le Coup de Coeur Microsoft !

A l'occasion de la Fête des Entrepreneurs 2011 du 23 juin dernier, VulnIT reçoit le Coup de Coeur Microsoft pour son implication dans le diagnostic et l'amélioration de la sécurité informatique en entreprise et collectivités. Toute l'équipe VulnIT est très heureuse et fière de cette distinction !

Déjà membre du programme Microsoft BizSpark dédié aux startups éditeur de logiciel, VulnIT bénéficie de ce partenariat pour enrichir son laboratoire technique de R&D et répondre à la demande grandissante de tests approfondis sur les systèmes Windows, en particulier sur la revue des habilitations (utilisateurs de l'active directory) et quelques points spécifiques de configuration.

VULNIT fournisseur français de confiance en sécurité informatique pour les PME et ETI

VMaury — Tue, 21 Jun 2011 13:16:00 +0200

VULNIT fournisseur français de confiance en sécurité informatique pour les PME et ETI

Après un diplôme d'ingénieur informatique, un passage à HEC et quatre années d'expériences dans le contrôle informatique, Vincent Maury crée sa société VULNIT spécialisée dans la sécurité informatique des Petites et Moyennes Entreprises et des Entreprises de Tailles Intermédiaires.

Fort de son expérience et de sa connaissance du marché, Vincent Maury détecte que ces entreprises ont des besoins de visibilité sur la protection de leurs données confidentielles et quelles ne disposent pas en interne, d'experts pour leur sécurité informatique.

Il existe bien des outils spécialisés mais trop complexes. C'est pourquoi, en 2009 il lance son premier produit qui simplifie les tests de sécurité informatique dans son utilisation et dans sa compréhension.

Au lieu de rester sur la défensive, c'est à dire vérifier s'il y a eu intrusion VULNIT vous propose une stratégie de sécurité offensive qui teste régulièrement les vulnérabilités de l'entreprise.

Le logiciel peut tester les failles de mise à jour, de configuration, ou de contrôle d'accès sur :

Sites web
Serveurs Windows et Unix
Bases de données
Messagerie
Partages de fichiers
Connexions distantes

Le produit est automatisé et peut être utilisé par des personnes non expertes. Parmis ses clients, on trouve le Conseil Général de la Gironde pour les institutions et JC Decaux pour les entreprises. VULNIT a vu le jour grâce à du love money. Son capital est 100% français. Elle compte aujourd'hui 5 employés et continue sa démarche R&D.

VULNIT est en cours de levée de fonds avec des capitaux français ce qui lui donne la garantie d'être un fournisseur de confiance pour les PME et ETI françaises.

Actuellement, le produit est disponible sur différents supports :

Une clé USB,
Une machine virtuelle pour automatiser les tests.

Prochainement, une version SAAS sera proposée.

VULNIT va s'appuyer sur un réseau de revendeurs certifiés et formés à la méthodologie dans le but de comprendre les enjeux, de détecter les failles pour apporter des solutions.

Rien n'est conservé chez VULNIT pour éviter tout vol d'informations. C'est le client qui stocke les données sur son serveur. Il reste maître de ses données de sécurité informatique.

La jeune Start-up renforce ses liens avec le monde académique (l'EPITA, Telecom SudParis et l'ENSIIE) et travaille sur le dépôt d'un brevet.

VULNIT développe un nouveau produit de sécurité pour le Web 2.0 à destination des PME et ETI et souhaite conquérir des parts de marché à l'étranger.

Le leitmotiv de VULNIT est l'amélioration de la sécurité en entreprise via une démarche vertueuse.

Revoir l'interview sur IE Love PME.

Sortie de la version 4.0

VMaury — Thu, 09 Jun 2011 13:20:00 +0200

Cette nouvelle version apporte essentiellement une nouvelle interface, offrant une plus grande souplesse d'utilisation, ainsi qu'un support matériel amélioré.

Cette nouvelle version 4.0 existe sous le format traditionnel de clé USB bootable (VulnIT-KEY), mais aussi sous forme de machine virtuelle dénommée VulnIT-VM, fournie sous forme de fichier OVA.

Cette mise à jour apporte deux principales améliorations :

Refonte de l'interface du logiciel, offrant une plus grande souplesse d'utilisation,
Intégration du nouveau linux Ubuntu 11.04 pour supporter les matériels les plus récents.

Cette version intègre également le nouveau OpenVAS 4 (tests de patch management), un rapport enrichi (distinction boîte noire/boîte blanche et récapitulatif par machine) et le support de l'authentification Kerberos pour paramétrer l'accès à Internet (nécessaire pour les mises à jour). Enfin, elle corrige une dizaine d'anomalies mineures,

Vous pouvez suivre l'historique des versions de VulnIT Plug & Audit.

Vincent Maury, VulnIT : « nous mettons la sécurité à la portée de tous »

VMaury — Tue, 19 Apr 2011 13:12:00 +0200

La sécurité informatique est généralement perçue comme une affaire d'experts, complexe et coûteuse à mettre à œuvre. Face à ce constat, la société VulnIT, via une offre transversale et accessible, souhaite démocratiser la sécurité et la mettre à la portée de tous. Ainsi, les entreprises qui n'ont ni les compétences humaines dans ce domaine, ni les ressources financières nécessaires, ne verront plus la sécurité comme une barrière infranchissable. Rencontre avec Vincent Maury, Président de VulnIT, à l'occasion d'Infosecurity Europe.

Global Security Mag : Que présentez-vous à l'occasion d'Infosecurity Europe ?

Vincent Maury : VulnIT est un éditeur de logiciel innovant sur le test de sécurité informatique. Notre solution permet aux entreprises de vérifier leur niveau de sécurité informatique sur tout un ensemble de thèmes : patch management, réseau, bases de données, wifi, sites Web... Nous offrons donc une large couverture fonctionnelle.

Nous proposons aujourd'hui trois produits :

Virtual appliance : permet un monitoring de la sécurité. Dans un environnement multi-sites, il suffit de déployer la machine virtuelle Deploy & Audit, vous pourrez ensuite réaliser vos tests de sécurité à distance ;
Clé USB : pour les entreprises qui souhaitent effectuer des tests dans un usage nomade. Fournie sous forme de clé USB, la solution VulnIT permet de démarrer le poste d'audit sur un environnement immédiatement opérationnel. Ce système peut servir par exemple à évaluer la sécurité de filiales de l'entreprise ;
SaaS : ce service d'Audit à la demande vous permet d'obtenir le niveau de sécurité externe de l'entreprise. Dans ce cas de figure, le logiciel est hébergé chez nous, et l'entreprise commande un test de sécurité quand elle le souhaite.

GS Mag : Qu'est-ce qui différencie votre offre sur ce marché ?

Vincent Maury : Tout d'abord, VulnIT offre une couverture transversale des tests et de toutes les problématiques de sécurité. Ensuite, nous partons du principe que les utilisateurs ne sont pas des experts en sécurité. La notion d'accessibilité pour tous est fondamentale et manque aujourd'hui cruellement sur le marché. C'est pourquoi nous proposons au client, en plus d'une solution technique, une méthodologie en 3 étapes :

la découverte de l'environnement de l'entreprise ;
les tests techniques automatisés par VulnIT ;
la consolidation des résultats et la définition d'un plan d'action.

GS Mag : A quels types d'entreprises votre offre s'adresse-t-elle ?

Vincent Maury : Aujourd'hui, tout type d'entreprise, quelque soit sa taille, est potentiellement intéressé par notre offre, puisque nous proposons à la fois aux entreprises une polyvalence des produits (sécurité interne, mobile et externe), une couverture fonctionnelle transversale et une accessibilité pour tous. Toutefois, même si elle s'adresse à tout type d'entreprise, cette accessibilité la rend particulièrement idéale pour les PME, qui le plus souvent n'ont pas d'équipe dédiée à la sécurité.

GS Mag : Vous êtes présent pour la première fois sur Infosecurity Europe. Quels sont vos objectifs sur le salon ?

Vincent Maury : Faire connaître VulnIT, rencontrer des clients et partenaires potentiels, mais aussi essayer de bâtir des partenariats technologiques avec d'autres éditeurs. Nous sommes actuellement en train de développer notre réseau de revendeurs. Nous avons actuellement une petite dizaine de revendeurs en France. Nous espérons en avoir une trentaine en France d'ici fin 2012, mais aussi développer notre réseau dans les pays voisins.

GS Mag : Quel message souhaitez-vous faire passer à nos lecteurs ?

Vincent Maury : Nous proposons une solution qui permet à n'importe qui de se mettre à la sécurité informatique. Notre cœur de cible est d'amener tout un chacun à la sécurité informatique et ce de manière très simple, puisque nous fournissons le logiciel et la méthodologie, avec des prix d'entrée compris entre 4000 et 5000 euros.

Revoir l'interview sur Global Security Mag.

Sortie de la version 3.1

VMaury — Fri, 04 Mar 2011 17:42:00 +0100

La version 3.1 existe sous 2 supports : clé USB ou machine virtuelle. Elle apporte en outre 2 nouveaux modules de test et de nouvelles fonctionnalités.

Cette nouvelle version 3.1 existe sous le format traditionnel de clé USB bootable (Plug & Audit), mais aussi sous forme de machine virtuelle dénommée VulnIT-VM, fournie sous forme de fichier OVA.

Cette mise à jour apporte deux nouveaux modules permettant :

de tester les partages de fichiers Windows, en automatisant la découverte de partages accessibles à un utilisateur donné ou à tout le monde,
d'exporter l'inventaire du parc et le résultat des tests sous de nouveaux formats CSV (pour intégration dans Excel par exemple), et MHT (pour modification dans Word par exemple).

Cette version ajoute également :

la gestion de l'inscription du poste au domaine Windows pour faciliter l'accès à Internet et aux mises à jour (via le menu 'Proxy'),
l'amélioration du parcours de site web (suivi de redirections, détection des ports hébergeant des sites web, limitation à un alias voire un sous-répertoire de site web),
l'ajout de références sur les vulnérabilités web (voir un exemple de rapport).

Enfin, elle corrige un problème de prise en charge du compte administrateur de domaine pour les tests de patch management et fiabilise les tests de relai de spam et d'authentification sur MSSQL,

Vous pouvez suivre l'historique des versions de VulnIT Plug & Audit.

Le changement des mots de passe

VMaury — Wed, 02 Mar 2011 17:52:00 +0100

Le changement des mots de passe est loin d'être simple, qu'il s'agisse de contraintes d'un progiciel ou d'un coût jugé trop important.

Les mots de passe triviaux sont la panacée des pentesters, comme l'indique le dernier numéro du GS mag. Pourquoi ?

Sans doute, l'origine vient d'un défaut de prise en compte de la sécurité dès la conception du logiciel, celui-ci ne prévoyant pas aisément de changer le mot de passe applicatif utilisé pour accéder à la base de données sous-jacente. Pire, le mot de passe peut-être inscrit en dur dans le programme, auquel cas la modification du mot de passe entraîne une recompilation complète du programme souvent jugée trop coûteuse ou risquée. Dans cette configuration, le mot de passe est commun à tous les environnements (développement à production), constituant l'une des pires infractions aux bonnes pratiques de séparation des tâches...

Ainsi, les éditeurs sont rapidement mis à mal par des mots de passe triviaux (ou publics dans le cas des équipements Siemens WinCC piratés par Stuxnet).

Bref, les mots de passe triviaux ont encore de beaux jours devant eux !

Sortie de la version 3.0

VMaury — Thu, 17 Feb 2011 15:03:00 +0100

La v3.0 apporte un nouveau module permettant de tester les vulnérabilités de sites web.

VulnIT propose une nouvelle version de son logiciel de sécurité informatique permettant de tester les vulnérabilités de sites web.

Le logiciel VulnIT-KEY permet de déceler automatiquement les vulnérabilités les plus courantes, exploitables et donc sensibles afin d'aider le RSSI dans ses contrôles de sécurité.

Après l'ajout des tests de patch management et une console d'audit wifi, VulnIT élargit son spectre de compétences en intégrant un module dédié aux tests de sites web.

Ce module commence par une phase de découverte du site (crawling) recensant toutes les pages accessibles, qu'elles soient liées naturellement (liens hypertextes, formulaires, menus Flash) ou cachées (découverte basée sur dictionnaire).

Une fois ces pages recensées, VulnIT Plug & Audit automatise la découverte des vulnérabilités suivantes :

Injection SQL (à l'aveugle), sur 4 technologies de bases de données sous-jacentes : Oracle, SQL Server, MySQL et PostgreSQL,
XSS (Cross-site scripting, stored ou reflected),
Inclusion de fichier (File inclusion) local (LFI) ou distant (RFI),
Authentification triviale (formulaire web ou sécurité http par .htaccess).

L'OWASP classe ces failles parmi les plus critiques et les plus couramment rencontrées sur les sites web.

VulnIT Plug & Audit détecte également les fuites d'information suivantes pouvant servir à faciliter une attaque :

Autocomplétion dans les formulaires web d'authentification,
Fichiers temporaires (de développement ou de sauvegarde),
FPD (Full Path Disclosure) indiquant l'architecture du serveur web,
Fonction TRACE activée sur le serveur web,
Détection de la version du serveur web.

Vous pouvez suivre l'historique des versions de VulnIT Plug & Audit.

Voir l'annonce complète sur Global Security Mag.

VULNIT lauréat du Réseau Entreprendre 92

VMaury — Mon, 20 Dec 2010 15:24:00 +0100

VULNIT est Lauréat du Réseau Entreprendre 92.

VULNIT est Lauréat du Réseau Entreprendre 92 et bénéficie ainsi :

du soutien et d'échanges réguliers avec d'autres chefs d'entreprise,
d'un prêt d'honneur,
d'une validation de la solidité du projet VulnIT.

Profitez de l'été pour tester gratuitement la solution VulnIT

VMaury — Mon, 19 Jul 2010 11:48:00 +0200

VulnIT propose durant l'été des clés d'évaluation (gratuites et sans engagement) de sa solution d'audit de sécurité informatique.

La solution VulnIT (Vulnerability Identification Tool) permet de déceler les vulnérabilités les plus courantes, exploitables et donc sensibles afin d'aider le RSSI dans ses contrôles de sécurité.

Fournie sous forme de clé USB, la solution VulnIT permet de démarrer un poste d'audit sur un environnement immédiatement opérationnel. Il vous suffit alors de préciser quel(s) serveur(s) vous voulez tester pour obtenir en quelques instants un rapport d'audit précis et didactique recensant les vulnérabilités détectées et le moyen de les résoudre.

Les tests de sécurité portent entre autres sur les problématiques suivantes :

Authentification aux bases de données (SQL Server, Oracle, DB2 LUW, MySQL et PostgreSQL),
Partages de fichiers ouverts (partages Windows, FTP),
Authentification aux connexions à distance (SSH, Telnet),
Messagerie (relai de spam),
Supervision (SNMP), ou
Protocoles réseau simples (Finger, Rdesktop, Rlogin, etc).

Ses atouts :

un logiciel sans installation (la clé USB embarquant tout l'environnement de test),
une interface dépouillée sans autre paramétrage que la cible à tester, et
un rapport intégrant une première partie managériale réellement vulgarisée et une seconde partie technique et opérationnelle.

Démonstration, informations complémentaires et tarifs en ligne sur le site : http://www.vulnit.com

Revoir cet article sur Global Security Mag.

Une nouvelle approche de l'audit de sécurité informatique annoncée pour juin 2010

VMaury — Mon, 14 Jun 2010 11:39:00 +0200

VulnIT (Vulnerability Identification Tool) apporte une solution automatique, simple et innovante destinée à faciliter l'audit de sécurité informatique.

La solution VulnIT permet de déceler les vulnérabilités les plus courantes, exploitables et donc sensibles afin d'aider le RSSI dans ses contrôles de sécurité.

Fournie sous forme de clé USB, elle comporte 3 phases :

la découverte de l'environnement informatique de l'entreprise, de ses spécificités d'architecture et de ses composants logiciels afin d'adapter automatiquement les tests réalisés en fonction des plateformes et services découverts,
l'analyse des services recensés, parmi lesquels les partages de fichiers, bases de données, connexions à distance, supervision système, messagerie (pouvant servir de relai de spam), site web, etc.
la construction d'un rapport d'audit didactique et exploitable, présentant les vulnérabilités détectées qualifiées en termes d'impact potentiel et d'exploitabilité.

La solution VulnIT permet de démarrer le poste d'audit sur la clé USB pour bénéficier d'une plateforme immédiatement fonctionnelle ne nécessitant aucune installation ni aucun paramétrage autre que la cible à tester. Ainsi, la prise en main rapide permet à l'utilisateur de s'approprier la solution aisément.

Ses atouts :

un logiciel sans installation (la clé USB embarquant tout l'environnement de test),
une interface sans autre paramétrage que la cible à tester, et
un rapport intégrant une première partie managériale vulgarisée et une seconde partie technique permettant d'adresser les vulnérabilités détectées.

Revoir cet article sur Global Security Mag.

Vincent Maury, VulnIT : Pour la démocratisation des tests de sécurité

VMaury — Thu, 10 Jun 2010 11:45:00 +0200

VulnIT est née du constat que les SI des entreprises sont insuffisamment testés surtout par manque de temps et de moyen. Ainsi, cette société a élaboré un logiciel « Plug & Audit » fournissant aux entreprises un outil d'investigation automatisé leur permettant de contrôler la sécurité logique des serveurs de l'entreprise. Vincent Maury, fondateur de VulnIT, présente sa stratégie.

GlobalSecurityMag : Pouvez-vous nous présenter votre entreprise ?

Vincent Maury : La société VulnIT, créée en novembre 2009, est née de ce constat : la sécurité des systèmes d'information internes aux entreprises est insuffisamment testée dans la grande majorité des entreprises par manque de moyens, de temps et de compétences. Dans un souci constant d'efficacité et de transparence, nous nous sommes attachés à développer un service accessible tant en termes de simplicité d'utilisation que de prix. Ainsi, le produit, l'interface utilisateur et le rapport produit par notre solution ont été conçus pour permettre à l'utilisateur de tirer le meilleur parti de la solution et d'améliorer la sécurité informatique de son entreprise.

GSM : quelle est votre produit ou service phare pour 2010 ?

Vincent Maury : VulnIT est la première solution « Plug & Audit » fournissant aux entreprises un outil d'investigation automatisé leur permettant de contrôler la sécurité logique des serveurs de l'entreprise. Une fois la clé USB insérée dans le poste d'audit, il suffit de préciser quel(s) serveur(s) auditer pour obtenir en quelques instants un rapport précis et didactique recensant les vulnérabilités détectées et le moyen de les résoudre. La solution VulnIT intègre un panel de tests critiques sur les bases de données, messagerie, partages de fichiers, connexions à distance, supervision réseau, etc.

GSM : A quels segments de clientèle vous adressez-vous ?

Vincent Maury : Notre cœur de clientèle est composé d'entreprises de taille intermédiaire (250 à 5000 personnes) de tous secteurs, dont la maturité informatique a dépassé la mise en œuvre des architectures de sécurité élémentaires (pare-feu, antivirus, antispam, etc) mais qui ne disposent pas encore d'un contrôle permanent en sécurité informatique, ni même pour la plupart d'un RSSI nommé. Par ailleurs, les auditeurs et consultants en sécurité informatique apprécient notre outil pour le gain de temps qu'il offre en automatisant bon nombre de tests de sécurité fondamentaux et récurrents à chaque audit.

GSM : Quels sont les points forts de votre offre ?

Vincent Maury : L'accessibilité constitue le premier facteur différenciant de la solution VulnIT. En effet, l'environnement complet embarqué dans la clé USB VulnIT assure sa portabilité et sa souplesse d'utilisation ; l'accessibilité financière également, permettant enfin aux entreprises de taille plus modeste de s'outiller dans un domaine encore réservé à une expertise d'élites. L'innovation réside également dans le contenu de la solution : son architecture offre une capacité d'évolution très rapide et l'ajout fréquent de nouveaux tests de sécurité par simple mise à jour sur Internet. Enfin, l'approche par les risques avec une réelle qualification des vulnérabilités tenant compte de leur exploitabilité facilite la priorisation des corrections à effectuer.

GSM : Comment accompagnez-vous vos clients ?

Vincent Maury : nos clients bénéficient d'un support commercial particulièrement disponible, et – au besoin – de prestations de formation à l'utilisation de l'outil. La simplicité d'utilisation de la solution offre néanmoins une prise en main naturelle et très rapide. En cas de difficulté à implémenter les mesures correctives suggérées par le rapport d'audit de la solution VulnIT, notre réseau de partenaires intervient pour accompagner les entreprises dans l'amélioration de leur sécurité informatique.

GSM : Comment est organisé votre réseau commercial ?

Vincent Maury : Notre démarche commerciale est essentiellement directe, afin de privilégier une relation efficace et étroite avec nos clients. Occasionnellement, nos cabinets de conseil et d'audit partenaires recommandent à leurs clients de renforcer leur contrôle permanent en acquérant notre solution.

GSM : Comment est organisé votre support technique en France ?

Vincent Maury : VulnIT est l'un des très rares éditeurs de logiciel d'audit de sécurité informatique français, dont la taille humaine permet d'accéder très aisément au support technique pour de l'assistance relative à l'utilisation de la solution ou pour exprimer ses besoins et ses spécificités d'architecture orientant les développements et orientations technologiques à venir.

GSM : Pour conclure quel serait votre message à nos lecteurs ?

Vincent Maury : la sécurité informatique ne doit pas rester l'apanage de quelques experts et grands groupes, et c'est pour la démocratiser que nous proposons une approche innovante et abordable apportant une plus-value opérationnelle immédiate.

Revoir l'interview sur Global Security Mag.

Mise en ligne du blog VulnIT

VMaury — Tue, 01 Jun 2010 10:06:00 +0200

Le nouveau blog de VulnIT est en ligne.