Chronique Renaud Bidou : une nouvelle génération d’outils pour adresser une nouvelle génération de menaces ?

Mobilité

L’arrivée d’outils de sécurité estampillés « Next Generation » ont-il vraiment une raison d’être ? Une nouvelle tribune de Renaud Bidou, Directeur technique de Deny All (sécurité applicative).

Next Generation

Nouvelles marottes des analystes, les IPS, firewalls, architectures et métriques estampillées « NG », envahissent les « quadrants » et autres « waves » auxquels les éditeurs font écho à grands coups de « white papers » et d’annonces produits. De toute évidence, la nouvelle génération des outils de sécurité est arrivée, soutenue par un effort marketing tel que nous n’en avions pas vu depuis longtemps.

Une nouvelle génération d’outils pour adresser une nouvelle génération de menaces ou uniquement les budgets de l’année à venir ?

Ne nous mentons pas, les nouvelles menaces sont connues à partir du moment où l’on s’intéresse de près à la sécurité des systèmes d’information.

Le concept d’une nouvelle génération de solutions ne doit pas être le fruit d’un pari mais d’un constat, souvent mis en évidence au cours de l’été lors des conférences phare que sont BlackHat et Defcon.

Et le constat cette année est qu’il n’y a pas de nouveautés autres que celles liées aux protocoles et plates-formes émergents comme par exemple HTML5 et Windows8.

En revanche il reste un lot considérable de menaces plus anciennes, archi-connues et largement exploitées,  qui ne sont toujours pas traitées par la majeure partie des solutions de sécurité.

Sont-ce ces serpents de mer, dont l’utilisation se généralise maintenant dans des framework d’exploitation à « large spectre », que les outils de sécurité « NG » vont enfin traquer et éradiquer ? Non.

Les outils NG

La définition des composants « NG » d’une infrastructure de sécurité se résume en trois points :
1.    Faire la même chose que la génération précédente ;
2.    Etre positionné en ligne et sans impact avec l’environnement réseau ;
3.    Adresser les menaces avec une approche contextuelle, c’est-à-dire avec une vision plus complète de l’environnement qu’une simple analyse réseau.

Le détail du troisième point nous ramène peu ou prou à l’idée rénovée, dépoussiérée et soudainement pertinente de l’UTM. Débarrassé semble-t-il des problématiques de performance, le firewall-IPS-anti-virus-filtre d’URL s’est enrichi du DPI (DeepPacket Inspection) pour empêcher les utilisateurs de surfer sur Facebook.

Evacuant au passage l’orthogonalité conceptuelle des deux derniers points de la définition, les « trucs » NG débarquent et nous offre la solution. Reste à trouver à quel problème.

Car il n’est pas fait mention de nouvelles menaces à adresser mais de simplification et d’automatisation des mécanismes de configuration et de blocage.

Dans un tel  schéma 1+1 ne font même pas 2 en sécurité. Ce qui n’était pas identifié auparavant ne le sera pas plus avec le cumul des mandats confiés à un seul équipement. Pis, la cohabitation de mécanismes antinomiques, tels que l’analyse des données réseau dans un contexte applicatif, impose de nouveaux compromis au détriment des fonctions et des capacités d’analyse.

Dommage. Dommage car le concept est juste, mais mal présenté.

Une question de forme, probablement dictée par des impératifs de marché, mais qui masque et dévalorise un message on ne peut plus pertinent : une plate-forme de sécurité doit se doter de composants à même de prendre en considération le contexte applicatif des menaces et d’échanger avec des composants plus bas niveau afin d’optimiser la réaction aux tentatives d’intrusions de nouvelle génération.

Les menaces NG

Une nouvelle génération de menaces qui démocratise l’utilisation de techniques jusqu’à présent peu implémentées dans les logiciels de masse et les botnets. Les versions actuelles de tous ces logiciels, dont les plus représentatifs sont nmapetmetasploit, offrent une interface ouverte à des éléments tiers.

Grâce à cette interface ils sont enrichis de fonctions d’évasion, de profiling, d’action conditionnelle à la limite du framework, de gestion d’inventaire et de tickets…

Le secret d’un tel succès : la vision, la compréhension du besoin, la compétence et la collaboration.

En les distinguant, chaque composant garde son potentiel d’innovation et profite à plein d’une marge de progression confortable ; quand une prostration forcée dans un seul et unique matériel/logiciel impose des contraintes supplémentaires. Oui, il faut distinguer les éléments de l’infrastructure, et les faire communiquer afin de leur permettre de travailler de concert.

Les menaces « NG » correspondent à ce stade de l’évolution et sont quelques (next) générations en avance sur les outils de sécurité.

Lire aussi :