Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Eric Leblond, OISF : la détection d’intrusion passe inexorablement par la maîtrise de votre réseau

février 2013 par Emmanuelle Lamandé

Suricata est le fruit d’une rencontre entre Victor Julien, Matthew Jonkmann et les responsables du projet HOST (Homeland Open Security Technology). La particularité de cet IDS/IPS open source, porté par l’OISF (Open Information Security Foundation), repose sur son architecture multithread et sa compréhension des protocoles. Pour Eric Leblond, Core Developer - OISF, c’est en comprenant son réseau et en le maîtrisant qu’une entreprise pourra augmenter ses chances de détecter les attaques, qu’elles soient ou non évoluées.

Global Security Mag : Pouvez-vous nous présenter Suricata ?

Eric Leblond : Suricata est né de la volonté de Victor Julien et Matthew Jonkmann. Déçus par l’offre existante, ils ont décidé en 2008 de se lancer dans le projet de créer depuis zéro un IDS/IPS open source. Le concurrent principal, Snort, comportait à l’époque plus de 300 000 lignes de code et c’était donc un projet d’une envergure telle qu’il était suicidaire de s’y engager sans source de financement. Victor Julien étant le seul développeur, il fallait en effet qu’il puisse s’appuyer sur d’autres ressources pour mener à bien le projet. La chance a voulu qu’ils croisent quelqu’un connaissant le projet HOST (Homeland Open Security Technology - http://www.cyber.st.dhs.gov/host/), et ont ainsi eu l’occasion de présenter leur dossier aux employés du Homeland responsables du projet. Ce dernier a été retenu, et a de ce fait bénéficié d’un financement à hauteur de 100% des développements, afin de permettre le démarrage du projet. Une fondation, appelée Open Information Security Foundation (OISF) a été crée pour recevoir ce financement. Dès le début, il était convenu que HOST se désengagerait petit à petit du financement et qu’il faudrait que l’OISF fasse entrer progressivement des industriels dans le consortium pour conserver son niveau de financement. Le projet HOST a donc financé un projet, avec pour but de créer autour de lui un écosystème industriel.
Chose intéressante, le Homeland n’a exercé aucun contrôle sur le développement de Suricata. Les évolutions techniques sont décidées lors de réunions publiques, auxquelles tout le monde peut participer, et l’autonomie de décision sur les orientations est totale.
Après deux ans de développement, Suricata 1.0 a été publié en août 2010. L’objectif de créer un IDS/IPS open-source basé sur des signatures était atteint.

GS Mag : Quelles sont les particularités de cet IDS/IPS open source ?

Eric Leblond : Le développement de Suricata s’est fait avec deux grands objectifs : une architecture multithread performante et la compréhension des protocoles.
Le premier point est tout simplement une réponse à l’évolution des architectures serveurs qui sont quasi exclusivement multi-cœurs. Une architecture multithread permet ainsi à Suricata de passer à l’échelle et d’exploiter les capacités des serveurs de manière efficace.
Le deuxième point est le plus important en termes de sécurité. En améliorant la compréhension des protocoles, il est possible d’écrire des signatures de manière plus fine et plus efficace. Le langage de signature de Suricata est hérité de celui de Snort. Il a été conçu en 2000 à une époque où les protocoles binaires, et non le protocole HTTP, dominaient le monde. Dans sa version native, il est ainsi particulièrement difficile d’écrire des signatures efficaces et propres pour une requête HTTP. Suricata améliore cet état de fait en ajoutant des mots clés qui font porter les correspondances sur les champs nommés du protocole HTTP (URL, body, cookie…). Ceci est combiné avec un mécanisme de découverte des protocoles qui détecte les protocoles utilisés indépendamment du port. Le canal de contrôle d’un virus utilisant le protocole HTTP sur un port non standard sera ainsi trouvé de manière bien plus efficace.

GS Mag : En quoi est-ce novateur ?

Eric Leblond : La compréhension des protocoles augmente considérablement le niveau de précision dans la détection des attaques. Il est même possible d’exprimer des choses qui ne l’étaient pas auparavant. Un exemple simple est le support du protocole SSL/TLS dans Suricata. Il s’agit d’une capacité de décodage et d’extraction des paramètres de négociations TLS. Pour faire clair, Suricata est notamment capable de savoir quels sont les certificats échangés lors d’une connexion sur un site Web en HTTPS. Il est ainsi possible de vérifier que les certificats sont bien signés par la bonne autorité. Par exemple, il est facile de s’assurer que le certificat de votre banque n’est pas signé par Comodo, une autorité de certificats piratée en 2011.
Par cette compréhension de plus haut niveau, Suricata présente à la fois des fonctions d’IDS classique, mais aussi des fonctions de Network Security Monitoring. Sur ce dernier point, l’extraction et le stockage sur disque des fichiers transitant sur des sessions HTTP en est un bon exemple.

GS Mag : Pourquoi, selon vous, la détection d’intrusion reste encore, malgré les solutions existantes, la bête noire des entreprises ?

Eric Leblond : La perception de l’IDS a longtemps été : « à quoi cela sert de savoir que j’ai été piraté plusieurs jours après l’attaque ». Dans un même temps, les solutions de type IPS trop « impactantes » sur la stabilité du réseau ne pouvaient être envisagées. Le délai de prise en compte des alertes venant de l’IDS semble donc trop long, d’autant que le coût humain des procédures de suivi des IDS est important.
La vague des APT change considérablement la donne. Si l’on considère des attaques persistantes, alors être conscient d’une attaque plusieurs jours après devient tout à fait pertinent. L’IDS retrouve ainsi un intérêt. Et c’est d’autant plus le cas, si Suricata, pardon, l’IDS analyse et détecte les tentatives d’exfiltrations d’informations, notamment grâce à ses fonctions de Network Security Monitoring.

GS Mag : Quelle est votre perception du marché de la sécurité dans votre domaine et de son évolution, tant en France qu’en Europe ?

Eric Leblond : Il y a, à mon avis, un début de cristallisation du marché. Pas au niveau de l’offre logicielle et matérielle, qui reste toujours autant disparate, mais plutôt au niveau de la partie service, où de plus en plus de grand acteurs se montrent offensifs. Je pense notamment ici aux acteurs du marché de la défense qui tentent de trouver de la croissance dans ce marché en expansion qu’est la sécurité informatique.

GS Mag : De quelle manière devrait évoluer Suricata dans les mois à venir ?

Eric Leblond : Suricata devrait encore s’améliorer avec de nouvelles fonctionnalités permettant d’augmenter la couverture des alertes. À ce titre, le support du langage de scripting Lua (apparu dans Suricata 1.4) dans l’écriture des signatures permettra de créer des alertes sur des attaques ou des événements qui étaient jusqu’ici hors du scope des IDS.

GS Mag : Pour conclure, quel serait votre message à nos lecteurs ?

Eric Leblond : Je dirais, « redécouvrez votre réseau ». C’est en le comprenant et en le maîtrisant que vous augmenterez les chances de détecter des attaques plus ou moins évoluées. Et un IDS/IPS comme Suricata peut vous y aider.




Voir les articles précédents

    

Voir les articles suivants