Le moyen le plus simple pour comprendre le scan de configuration, est de comprendre la vulnérabilité de configuration. Prenons les téléphones portables, nous pouvons mettre dessus un mot de passe, mais combien ont comme mot de passe 0000 ? Pour faire simple, une vulnérabilité de configuration va advenir lorsque un utilisateur par une mauvaise utilisation du système va en créer une. Nous pouvons, en élargissant le champ de vue, arriver à la double authentification. En effet, s’il suffit d’un badge pour accéder un lieu, la vulnérabilité de configuration serait qu’une personne vous prenne ce badge. C’est pourquoi nous doublons de plus en plus la sécurité pour ajouter des éléments que seul l’utilisateur connaît (nous avons bien dit ‘que seul l’utilisateur’, effectivement si la question de sécurité consiste à connaître le nom de jeunes filles de vos parents, cela est à nouveau une vulnérabilité de configuration). Sur un ordinateur, cela peut être une clé de chiffrement trop courte, un mot de passe pas assez complexe…, tout ce qui dépend de l’utilisateur.
“Ceci concerne, par exemple, les options de sécurité activées sur les cookies, les cipher suite dans la configuration SSL, les transferts de zone pour un serveur DNS, les mots de passe par défaut inchangés, les services par défaut laissés activés, la désactivation de mécanismes de sécurité pour un gain en ergonomie (antivirus, VPN, …), etc.”