Sites Inria

English version

Start-up

Jean-Michel Prima - 6/06/2017

Une mallette pour traquer l'intrusion

Nicolas Prigent & Christopher Humphries Nicolas Prigent & Christopher Humphries

Pour comprendre les attaques dont sont victimes les systèmes d’information, l'analyste en sécurité continue de jouer un rôle irremplaçable. C’est à lui que s'adresse la solution de visualisation des historiques d'événements développée par SplitSec, une start-up en création au centre Inria Rennes – Bretagne Atlantique.

Juin 2010 : le virus Stuxnet détraque 1 000 centrifugeuses dans une usine d'uranium.
Décembre 2013 : les supermarchés Target laissent échapper 100 millions de coordonnées bancaires.
Décembre 2015 : le logiciel malveillant BlackEnergy prive 700 000 Ukrainiens d'électricité.
Juillet 2016 : 19 252 mails du Parti Démocrate sont déversés sur la place publique à l'approche des élections américaines.
Décembre 2016 : Yahoo révèle la fuite d'un milliard de mots de passe.
En quelques années, criminalité, espionnage et terrorisme numériques sont passés à la vitesse supérieure. La protection des serveurs, des réseaux et des données n'en devient que plus vitale. Gouvernements et entreprises s'y attellent. Les systèmes se hérissent de pare-feux, d'antivirus et d’outils de chiffrement. Mais ces défenses ne sont pas à l'abri de l'exploitation d'une faille encore inconnue, ce que l'on appelle une “zero day ”. Le jugement humain conserve donc toute sa pertinence.

Une thèse financée par DGA-MI

Ce rôle d'ultime rempart revient à l'analyste sécurité. Et c'est précisément à lui que s'adresse la solution de visualisation d'intrusion développée par SplitSec , une start-up en création au centre Inria de Rennes. Nommé Elvis, cet outil innovant résulte des travaux de thèse réalisés par Christopher Humphries , financés par DGA-MI et encadrés par l'ancien chercheur Nicolas Prigent quand tous deux faisaient partie de Cidre , une équipe scientifique spécialisée en sécurité.
Au départ, un constat : “Les machines génèrent des fichiers de tous les événements qui s'y déroulent. On appelle cela des logs. Pour repérer une éventuelle intrusion, il faut éplucher ces fichiers. En pratique, c'est difficile : ils comportent des centaines de milliers de lignes. De plus, les formats s'avèrent disparates selon que les logs concernent des serveurs web ou des machines industrielles par exemple. Bref, c'est chercher l'aiguille dans la botte de foin, ” résume Nicolas Prigent.
Certes, des logiciels savent fouiller ces données massives pour détecter automatiquement et en temps réel des intrusions. Mais avec une limite : “comme les antivirus, ils fonctionnent grâce à des indicateurs de compromissions qu'ils vont télécharger régulièrement. Ils cherchent à repérer une trace dont ils ont la connaissance a priori. Mais en cas d'attaque d'un nouveau genre, ils ne trouveront rien. ”  C'est alors la perspicacité de l'expert qui fera la différence.

Réponse à incident de sécurité

Notre solution se met au service de l'analyste. Elle lui donne plus de moyens pour faire son métier en l'aidant à mieux comprendre ce qui se passe. En particulier dans la phase de réponse à incident de sécurité. Exemple : coup de téléphone d'un employé qui ne parvient plus à se connecter. S'agit-il d'un dysfonctionnement anodin ou du symptôme d'un problème plus grave ? Dans le doute, l'analyste décide d'investiguer.
Afin de faciliter ce travail, Elvis harmonise tout d'abord les logs disparates. “Il faut que l'expert puisse étudier tous ces registres de la même manière. S'il avait un outil spécifique pour chaque format, ce serait intellectuellement difficile.

Visualisation

Deuxième apport : la visualisation sous forme de cartes et de graphiques. “C'est plus parlant. Nous commençons par présenter une vision résumée des logs. Elle permet de lutter contre le syndrome de la page blanche. Autrement dit, quand j'ai des logs devant moi, que vais-je chercher ? A priori, je l'ignore. Mais en observant la vision résumée, l'analyste va remarquer des choses. Prenons un serveur web. S'il fonctionne normalement, il ne produit généralement que deux types d'événements : code 200 quand l'internaute a bien reçu la page demandée, code d'erreur 404 pour une page non trouvée. Si d'autres apparaissent, alors il se passe quelque chose. Par exemple les codes 500 indiquent une erreur interne du serveur.” Une attaque ?  “Pas forcément. Mais peut-être. Ces événements un peu hors-norme, l'analyste les remarquera dans la vision résumée. ”  À partir de là, c'est comme une enquête policière qui commence...
En fonction de l'attaque, il peut être pertinent d'analyser plutôt tel ou tel type de données sur la ligne de logs, explique Christophe Bidan, responsable de l'équipe Cidre . Nos résumés présentent les données les unes à côté des autres. L'analyste a le choix de regarder telle donnée indépendamment ou par rapport à toutes les autres. Il peut corréler des éléments pour tirer le fil de la pelote et remonter vers le problème. Par exemple, il peut se demander quelle est l'adresse IP qui a généré tel code d'erreur. Il sélectionne deux types de données puis l'outil construit automatiquement la visualisation la plus adaptée. Une fois l'IP identifiée, l'analyste peut s'intéresser à cette adresse et trouver tous les autres événements qui s'y rapportent. Il va ainsi récupérer progressivement des indices pour avancer dans son investigation.

Mallette d'intervention

L'année 2017 sera consacrée à l'industrialisation de l'outil. “Le prototype permettait des expérimentations à petite échelle. Il faut désormais qu'il puisse absorber des logs de plusieurs centaines de Go ”, indique Christopher Humphries. La solution commercialisée prendra tout d'abord la forme d'une mallette d'intervention. “Les analystes sont souvent dépêchés sur les sites industriels ou dans des succursales à l'autre bout du monde. Cette mallette sécurisée constitue un outil adapté à leur besoin. Ils ouvrent. Ils branchent. Ils commencent à enquêter.
Outre les grands industriels, les administrations et le secteur de la défense, cette solution s'adressera aussi aux prestataires spécialisés. “Cela dit, dans les entreprises de taille moyenne, on constate également une augmentation du niveau de compétence en interne. De plus en plus d'administrateurs système possèdent des connaissances en sécurité. Et nous sommes persuadés que notre solution leur permettra d'être plus curieux quant à ce qui se passe sur leur réseau.

Mots-clés : Christopher Humphries Sylvain Prigent Splitsec INRIA Rennes - Bretagne Atlantique Cidre Sécurité

Haut de page

Suivez Inria tout au long de son 50e anniversaire et au-delà !