Analyse SSL et suites de chiffrement avec Nmap sous Debian 11
Dans cet exemple, nous utilisons Debian 11 (Bullseye). Commençons par vérifier la version du système :
|
1 2 |
# cat /etc/issue Debian GNU/Linux 11 \n \l |
Nmap est l’un des outils les plus puissants pour l’analyse réseau et les audits de sécurité. Il permet de scanner les ports ouverts, détecter les services actifs, identifier les versions logicielles et analyser les protocoles SSL/TLS ainsi que les suites de chiffrement supportées par un serveur.
L’installation sous Debian 11 est simple :
|
1 |
# apt install nmap |
Une fois installé, nous pouvons analyser un serveur HTTPS distant. Par exemple :
|
1 |
# nmap -sV --script ssl-enum-ciphers -p 443 google.com |
L’option -sV active la détection de version des services, tandis que --script ssl-enum-ciphers analyse les versions TLS et les suites de chiffrement disponibles. Cela permet de vérifier :
- les versions TLS activées (TLS 1.0, 1.1, 1.2, 1.3),
- la présence de chiffrements faibles comme 3DES,
- les vulnérabilités cryptographiques potentielles.
Nmap est plus lent que des outils comme sslscan, mais il fournit des informations très détaillées, particulièrement utiles pour tester une infrastructure interne.
TLS 1.0 :
TLS 1.1 :
TLS 1.2 :
L’élément essentiel lors d’une analyse SSL/TLS est de vérifier l’absence de chiffrements faibles ou obsolètes.
Si vous voyez le message suivant :
« 64-bit block cipher 3DES vulnerable to SWEET32 attack »
cela signifie que le serveur prend encore en charge 3DES, vulnérable à l’attaque SWEET32. En environnement de production, ces chiffrements doivent être désactivés.
Pour analyser un site public, vous pouvez également utiliser :
https://www.ssllabs.com/ssltest/
Cependant, pour des serveurs internes, des environnements de test ou une infrastructure privée, utiliser Nmap directement depuis Debian reste une solution efficace.
Une analyse régulière SSL/TLS permet de maintenir un niveau de sécurité élevé et d’éliminer les protocoles obsolètes ainsi que les chiffrements faibles.