Pour comprendre les attaques dont sont victimes les systèmes d’information, l’analyste en sécurité continue de jouer un rôle irremplaçable. C’est à lui que s’adresse la solution de visualisation des historiques d’événements développée par Malizen, une start-up en création au centre Inria Rennes – Bretagne Atlantique.
Juin 2010 : le virus Stuxnet détraque 1 000 centrifugeuses dans une usine d’uranium. Décembre 2013 : les supermarchés Target laissent échapper 100 millions de coordonnées bancaires. Décembre 2015 : le logiciel malveillant BlackEnergy prive 700 000 Ukrainiens d’électricité. Juillet 2016 : 19 252 mails du Parti Démocrate sont déversés sur la place publique à l’approche des élections américaines. Décembre 2016 : Yahoo confesse la fuite d’un milliard de mots de passe. Décembre 2018 : Le New York Times révèle que des hackers ont infiltré le réseau de communication diplomatique de l’Union Européenne, volant des milliers de rapports confidentiels depuis des années.
En quelques années, criminalité, espionnage et terrorisme numériques sont passés à la vitesse supérieure. La protection des serveurs, des réseaux et des données n’en devient que plus vitale. Gouvernements et entreprises s’y attellent. Les systèmes se hérissent de pare-feux, d’antivirus et d’outils de chiffrement. Mais ces défenses ne sont pas à l’abri de l’exploitation d’une faille encore inconnue, ce que l’on appelle une “Zero Day”. Le jugement humain conserve donc toute sa pertinence.
Des recherches financées par la DGA-MI
Ce rôle d’ultime rempart revient à l’analyste cybersécurité. Et c’est précisément à lui que s’adresse la solution de visualisation d’intrusions développée par Malizen, une start-up en création au centre Inria de Rennes. L’entreprise est portée par Christopher Humphries qui poursuit ainsi le développement de ZeroKit, un outil innovant issu de ses travaux de thèse financés par DGA-MI et réalisés au sein de Cidre, une équipe scientifique spécialisée en cybersécurité (1).
Au départ, un constat : “Les machines génèrent des fichiers de tous les événements qui s’y déroulent. On appelle cela des logs. Pour repérer une éventuelle intrusion, il faut éplucher ces fichiers. En pratique, c’est difficile : ils comportent des centaines de milliers de lignes. De plus, les formats s’avèrent disparates selon que les logs concernent des serveurs web ou des machines industrielles par exemple. Bref, c’est chercher l’aiguille dans la botte de foin.” Certes, des logiciels savent fouiller ces données massives pour détecter automatiquement et en temps réel des intrusions. Mais avec une limite : “comme les antivirus, ils fonctionnent grâce à des bases de données qu’ils vont mettre à jour régulièrement. Ils cherchent à repérer une trace dont ils ont déjà la connaissance. Mais en cas d’attaque d’un nouveau genre, ils ne trouveront rien.” C’est alors la perspicacité de l’expert qui fera la différence.
Réponse à incident de sécurité
“Notre solution se met au service de l’analyste. Elle lui donne plus de moyens pour faire son métier en l’aidant à mieux comprendre ce qui se passe. En particulier dans la phase de réponse à incident de sécurité. Exemple : coup de téléphone d’un employé qui ne parvient plus à se connecter. S’agit-il d’un dysfonctionnement anodin ou du symptôme d’un problème plus grave ? Dans le doute, l’analyste décide d’investiguer.” Afin de faciliter ce travail, ZeroKit harmonise tout d’abord les logs disparates. “Il faut que l’expert puisse étudier tous ces registres de la même manière. S’il avait un outil spécifique pour chaque format, ce serait intellectuellement difficile.”
Deuxième apport : la visualisation sous forme de cartes et de graphiques. “C’est plus parlant. Nous commençons par présenter une vision résumée des logs qui permet de lutter contre le syndrome de la page blanche. Autrement dit, quand j’ai des logs devant moi, que vais-je chercher ? A priori, je l’ignore. Mais en observant ce résumé, l’analyste va remarquer des choses. Prenons un serveur web. S’il fonctionne normalement, il ne produit généralement que deux types d’événements : code 200 quand l’internaute a bien reçu la page demandée, code d’erreur 404 pour une page non trouvée. Si d’autres apparaissent, alors il se passe quelque chose. Par exemple les codes 500 indiquent une erreur interne du serveur.” Une attaque ? “Pas forcément. Mais peut-être. Ces événements un peu hors-norme, l’analyste les remarquera dans la vision résumée.” À partir de là, c’est comme une enquête policière qui commence…
“En fonction de l’attaque, il peut être pertinent d’analyser plutôt tel ou tel type de données, explique le chercheur Christophe Bidan, ancien responsable de l’équipe Cidre et conseiller scientifique de Malizen. Ces résumés présentent les données les unes à côté des autres. L’analyste a le choix de regarder une donnée de façon isolée ou alors corrélée avec d’autres pour tirer le fil de la pelote et remonter vers le problème. Par exemple, il peut se demander quelle est l’adresse IP qui a généré tel code d’erreur. Il sélectionne deux types de données puis l’outil construit automatiquement la visualisation la plus adaptée. Une fois l’IP identifiée, l’analyste peut s’intéresser à cette adresse et trouver tous les autres événements qui s’y rapportent. Il va ainsi récupérer progressivement des indices pour avancer dans son investigation.”
Pour cela, encore faut-il pouvoir aller fouiller dans tous les recoins du système d’information. “Souvent, dans les grandes structures, il est difficile d’avoir une vision complète, indique Christopher. Il y a beaucoup de données différentes, de services différents, de machines différentes. Notre outil facilite l’accès à cette diversité de sources, que ce soit le site web, le réseau téléphonique ou encore les badges d’accès aux locaux. C’est important de prendre en compte l’ensemble de ces événements car l’intrusion peut se loger n’importe où.”
Levée de doute
Mais la sécurité ne commence pas à la gestion de crise. “Notre solution permet aussi de faire de la levée de doute. Les analystes vont pouvoir utiliser ZeroKit pour ausculter ponctuellement leurs systèmes et effectuer ainsi de la prévention. En cybersécurité, la vitesse est un élément essentiel. Actuellement, sur les grands systèmes, une fuite de données n’est repérée qu’au bout de… 191 jours, en moyenne !”
Commercialisé courant 2019, le logiciel sera disponible sous forme de licence annuelle. Il s’adresse au secteur de la défense et aux grands groupes industriels. “Nous avons des discussions avec DGA-MI, ainsi que le Centre d’analyse de lutte informatique défensive (CALID) du ministère de la Défense. Nous rencontrons des opérateurs téléphoniques, des sociétés d’assurances, des grands producteurs d’énergie, etc. Mais nous souhaitons aussi proposer une formule abordable pour les PME. Dans ces entreprises, de plus en plus d’administrateurs système se préoccupent de la sécurité de leurs données. Notre solution leur permettra rapidement d’en avoir le coeur net.”
|