{"id":313,"date":"2019-03-15T15:13:23","date_gmt":"2019-03-15T14:13:23","guid":{"rendered":"https:\/\/project.inria.fr\/emergences\/?p=313"},"modified":"2020-12-07T15:13:47","modified_gmt":"2020-12-07T14:13:47","slug":"visualiser-et-traquer-lintrusion","status":"publish","type":"post","link":"https:\/\/project.inria.fr\/emergences\/visualiser-et-traquer-lintrusion\/","title":{"rendered":"Visualiser et traquer l’intrusion"},"content":{"rendered":"

Pour comprendre les attaques dont sont victimes les syst\u00e8mes d\u2019information, l’analyste en s\u00e9curit\u00e9 continue de jouer un r\u00f4le irrempla\u00e7able. C\u2019est \u00e0 lui que s’adresse la solution de visualisation des historiques d’\u00e9v\u00e9nements d\u00e9velopp\u00e9e par Malizen, une start-up en cr\u00e9ation au centre Inria Rennes \u2013 Bretagne Atlantique.<\/strong><\/span><\/p>\n

\n

Juin 2010 : le virus Stuxnet d\u00e9traque 1 000 centrifugeuses dans une usine d’uranium. D\u00e9cembre 2013 : les supermarch\u00e9s Target laissent \u00e9chapper 100 millions de coordonn\u00e9es bancaires. D\u00e9cembre 2015 : le logiciel malveillant BlackEnergy prive 700 000 Ukrainiens d’\u00e9lectricit\u00e9. Juillet 2016 : 19 252 mails du Parti D\u00e9mocrate sont d\u00e9vers\u00e9s sur la place publique \u00e0 l’approche des \u00e9lections am\u00e9ricaines. D\u00e9cembre 2016 : Yahoo confesse la fuite d’un milliard de mots de passe. D\u00e9cembre 2018 : Le New York Times r\u00e9v\u00e8le que des hackers ont infiltr\u00e9 le r\u00e9seau de communication diplomatique de l’Union Europ\u00e9enne, volant des milliers de rapports confidentiels depuis des ann\u00e9es.<\/p>\n

 <\/p>\n

\"\"<\/a><\/p>\n

En quelques ann\u00e9es, criminalit\u00e9, espionnage et terrorisme num\u00e9riques sont pass\u00e9s \u00e0 la vitesse sup\u00e9rieure. La protection des serveurs, des r\u00e9seaux et des donn\u00e9es n’en devient que plus vitale. Gouvernements et entreprises s’y attellent. Les syst\u00e8mes se h\u00e9rissent de pare-feux, d’antivirus et d\u2019outils de chiffrement. Mais ces d\u00e9fenses ne sont pas \u00e0 l’abri de l’exploitation d’une faille encore inconnue, ce que l’on appelle une \u201cZero Day\u201d. Le jugement humain conserve donc toute sa pertinence.<\/p>\n

Des recherches financ\u00e9es par la DGA-MI<\/span><\/p>\n

Ce r\u00f4le d’ultime rempart revient \u00e0 l’analyste cybers\u00e9curit\u00e9. Et c’est pr\u00e9cis\u00e9ment \u00e0 lui que s’adresse la solution de visualisation d’intrusions d\u00e9velopp\u00e9e par Malizen, une start-up en cr\u00e9ation au centre Inria de Rennes. L’entreprise est port\u00e9e par Christopher Humphries qui poursuit ainsi le d\u00e9veloppement de ZeroKit, un outil innovant issu de ses travaux de th\u00e8se financ\u00e9s par DGA-MI et r\u00e9alis\u00e9s au sein de Cidre, une \u00e9quipe scientifique sp\u00e9cialis\u00e9e en cybers\u00e9curit\u00e9 (1).<\/p>\n

\"\"<\/a>

L’\u00e9quipe de Malizen (de gauche \u00e0 droite) : Simon Boche, Flavien Auffret, Romain Brisse, Damien Cr\u00e9milleux et Christopher Humphries.\u00a9 Inria \/ J-M Prima<\/p><\/div>\n

Au d\u00e9part, un constat : \u201cLes machines g\u00e9n\u00e8rent des fichiers de tous les \u00e9v\u00e9nements qui s’y d\u00e9roulent. On appelle cela des logs. Pour rep\u00e9rer une \u00e9ventuelle intrusion, il faut \u00e9plucher ces fichiers. En pratique, c’est difficile : ils comportent des centaines de milliers de lignes. De plus, les formats s’av\u00e8rent disparates selon que les logs concernent des serveurs web ou des machines industrielles par exemple. Bref, c’est chercher l’aiguille dans la botte de foin.<\/em>\u201d Certes, des logiciels savent fouiller ces donn\u00e9es massives pour d\u00e9tecter automatiquement et en temps r\u00e9el des intrusions. Mais avec une limite : \u201ccomme les antivirus, ils fonctionnent gr\u00e2ce \u00e0 des bases de donn\u00e9es qu’ils vont mettre \u00e0 jour r\u00e9guli\u00e8rement. Ils cherchent \u00e0 rep\u00e9rer une trace dont ils ont d\u00e9j\u00e0 la connaissance. Mais en cas d’attaque d’un nouveau genre, ils ne trouveront rien.<\/em>\u201d\u00a0 C’est alors la perspicacit\u00e9 de l’expert qui fera la diff\u00e9rence.<\/p>\n

R\u00e9ponse \u00e0 incident de s\u00e9curit\u00e9<\/span><\/p>\n

\u201cNotre solution se met au service de l’analyste. Elle lui donne plus de moyens pour faire son m\u00e9tier en l’aidant \u00e0 mieux comprendre ce qui se passe. En particulier dans la phase de r\u00e9ponse \u00e0 incident de s\u00e9curit\u00e9. Exemple : coup de t\u00e9l\u00e9phone d’un employ\u00e9 qui ne parvient plus \u00e0 se connecter. S’agit-il d’un dysfonctionnement anodin ou du sympt\u00f4me d’un probl\u00e8me plus grave ? Dans le doute, l’analyste d\u00e9cide d’investiguer.\u201d<\/em> Afin de faciliter ce travail, ZeroKit harmonise tout d’abord les logs disparates. \u201cIl faut que l’expert puisse \u00e9tudier tous ces registres de la m\u00eame mani\u00e8re. S’il avait un outil sp\u00e9cifique pour chaque format, ce serait intellectuellement difficile.\u201d<\/em><\/p>\n

Deuxi\u00e8me apport : la visualisation sous forme de cartes et de graphiques. \u201cC’est plus parlant. Nous commen\u00e7ons par pr\u00e9senter une vision r\u00e9sum\u00e9e des logs qui permet de lutter contre le syndrome de la page blanche. Autrement dit, quand j’ai des logs devant moi, que vais-je chercher ? A priori, je l’ignore. Mais en observant ce r\u00e9sum\u00e9, l’analyste va remarquer des choses. Prenons un serveur web. S’il fonctionne normalement, il ne produit g\u00e9n\u00e9ralement que deux types d’\u00e9v\u00e9nements : code 200 quand l’internaute a bien re\u00e7u la page demand\u00e9e, code d’erreur 404 pour une page non trouv\u00e9e. Si d’autres apparaissent, alors il se passe quelque chose. Par exemple les codes 500 indiquent une erreur interne du serveur.\u201d<\/em> Une attaque ?\u00a0 \u201cPas forc\u00e9ment. Mais peut-\u00eatre. Ces \u00e9v\u00e9nements un peu hors-norme, l’analyste les remarquera dans la vision r\u00e9sum\u00e9e.\u201d<\/em>\u00a0 \u00c0 partir de l\u00e0, c’est comme une enqu\u00eate polici\u00e8re qui commence…<\/p>\n

\u201cEn fonction de l’attaque, il peut \u00eatre pertinent d’analyser plut\u00f4t tel ou tel type de donn\u00e9es, <\/em>explique le chercheur Christophe Bidan, ancien responsable de l’\u00e9quipe Cidre et conseiller scientifique de Malizen. Ces r\u00e9sum\u00e9s pr\u00e9sentent les donn\u00e9es les unes \u00e0 c\u00f4t\u00e9 des autres. L’analyste a le choix de regarder une donn\u00e9e de fa\u00e7on isol\u00e9e ou alors corr\u00e9l\u00e9e avec d\u2019autres pour tirer le fil de la pelote et remonter vers le probl\u00e8me. Par exemple, il peut se demander quelle est l’adresse IP qui a g\u00e9n\u00e9r\u00e9 tel code d’erreur. Il s\u00e9lectionne deux types de donn\u00e9es puis l’outil construit automatiquement la visualisation la plus adapt\u00e9e. Une fois l’IP identifi\u00e9e, l’analyste peut s’int\u00e9resser \u00e0 cette adresse et trouver tous les autres \u00e9v\u00e9nements qui s’y rapportent. Il va ainsi r\u00e9cup\u00e9rer progressivement des indices pour avancer dans son investigation.\u201d<\/em><\/p>\n

Pour cela, encore faut-il pouvoir aller fouiller dans tous les recoins du syst\u00e8me d’information. \u201cSouvent, dans les grandes structures, il est difficile d’avoir une vision compl\u00e8te, indique Christopher. Il y a beaucoup de donn\u00e9es diff\u00e9rentes, de services diff\u00e9rents, de machines diff\u00e9rentes. Notre outil facilite l’acc\u00e8s \u00e0 cette diversit\u00e9 de sources, que ce soit le site web, le r\u00e9seau t\u00e9l\u00e9phonique ou encore les badges d’acc\u00e8s aux locaux. C’est important de prendre en compte l’ensemble de ces \u00e9v\u00e9nements car l’intrusion peut se loger n’importe o\u00f9.<\/em>\u201d<\/p>\n

 <\/p>\n

\"\"<\/a><\/p>\n

Lev\u00e9e de doute<\/span><\/p>\n

Mais la s\u00e9curit\u00e9 ne commence pas \u00e0 la gestion de crise. \u201cNotre solution permet aussi de faire de la lev\u00e9e de doute. Les analystes vont pouvoir utiliser ZeroKit pour ausculter ponctuellement leurs syst\u00e8mes et effectuer ainsi de la pr\u00e9vention. En cybers\u00e9curit\u00e9, la vitesse est un \u00e9l\u00e9ment essentiel. Actuellement, sur les grands syst\u00e8mes, une fuite de donn\u00e9es n’est rep\u00e9r\u00e9e qu’au bout de\u2026 191 jours, en moyenne !<\/em>\u201d<\/p>\n

Commercialis\u00e9 courant 2019, le logiciel sera disponible sous forme de licence annuelle. Il s’adresse au secteur de la d\u00e9fense et aux grands groupes industriels. \u201cNous avons des discussions avec DGA-MI, ainsi que le Centre d’analyse de lutte informatique d\u00e9fensive (CALID) du minist\u00e8re de la D\u00e9fense. Nous rencontrons des op\u00e9rateurs t\u00e9l\u00e9phoniques, des soci\u00e9t\u00e9s d’assurances, des grands producteurs d’\u00e9nergie, etc. Mais nous souhaitons aussi proposer une formule abordable pour les PME. Dans ces entreprises, de plus en plus d’administrateurs syst\u00e8me se pr\u00e9occupent de la s\u00e9curit\u00e9 de leurs donn\u00e9es. Notre solution leur permettra rapidement d\u2019en avoir le coeur net.<\/em>\u201d<\/p>\n\n\n\n
\n