Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Philippe Humeau : CrowdSec, un rempart gratuit et open source contre le piratage

octobre 2020 par Emmanuelle Lamandé

CrowdSec a vu le jour en décembre 2019 autour d’un concept novateur en matière de cybersécurité, fusionnant approches comportementale et réputationnelle. Moins d’un an après sa création, l’entreprise vient de lever 1,5M€. A cette occasion, Philippe Humeau, CEO de CrowdSec, nous présente plus en détails les dessous de ce nouveau rempart, gratuit et open source, contre le piratage.

Global Security Mag : Pouvez-vous nous présenter CrowdSec ?

Philippe Humeau : CrowdSec a été créée par trois fondateurs : Philippe Humeau, Thibault Koechlin et Laurent Soubrevilla. Déjà expérimentés en matière de création d’entreprises, nous avons décidé de nous réunir autour d’un nouveau concept en matière de sécurité informatique : la fusion entre des approches comportementale et réputationnelle.

16 ans auparavant, Fail2ban a montré la voie de la détection comportementale et nous avions aussi exploré cette approche avec N.A.X.S.I, le WAF sur Nginx. Au lieu d’utiliser des signatures, assez lourdes en traitement et faciles à contourner, il s’agit ici de parser des logs (syslog, kafka, cloudtrail, etc.) et d’y détecter des comportements. Par exemple, si quelqu’un a raté 10 fois son mot de passe, peut-être ne l’a-t-il pas et essaye-t-il de deviner celui-ci (password bruteforce). Si une IP génère beaucoup de 404, peut-être qu’elle scanne le site Web au lieu de surfer dessus. Si on a des milliers de microtransactions à 1c€ sur le PSP d’un site eCommerce, c’est du Credit Card Stuffing, etc.

Nous couplons cette approche à une autre, celle de Waze : le CrowdSourcing d’informations. A la myriade de cybercriminels scannant Internet en continu, nous opposons la force de la foule, qui elle-même se regroupe pour se défendre. Dès qu’une IP a été vue par un membre du réseau comme tentant de commettre des actes malveillants, nous la traitons et la repartageons entre tous les membres du réseau, pour qu’ils soient immunisés contre elle. A l’instar de Waze qui devient plus intelligent que le trafic grâce à ses participants, nous devenons tous les jours plus forts à mesure que notre réseau de détection temps réel grandit.

Le produit est open source et gratuit, car l’adoption par le plus grand nombre est la clef de son succès.

GS Mag : Quelles sont les particularités de ce pare-feu collaboratif ? Quels types de menaces permet-il d’endiguer ?

Philippe Humeau : C’est là que CrowdSec prend son sens. C’est un moteur de sécurité. Si une activité génère des logs, CrowdSec peut les parser et y apporter une réponse à tous les niveaux : IP, Session, User (logiciel). Certains l’utilisent pour bloquer des botnets HTTP, d’autres du Credit Card Stuffing et nous avons même une personne qui voudrait creuser des logs renvoyés par des communications entre les avions et le sol pour voir si tout est normal.

Mais au-delà du comportement, la réputation peut servir de manière universelle. Une IP arrive chez vous, elle est inconnue, vous pouvez immédiatement, dès le premier paquet, savoir si elle est propre ou non. Une fois ce premier paquet évalué en quelques millisecondes, vous pouvez prendre une décision et l’appliquer pour le reste de la conversation avec cette IP, pour plusieurs jours.

Cela est utilisable dans tous les contextes en fait, avant un paiement, sur un site Web, ou pour une authentification terminal server. Un des grands bénéficiaires de cette approche, c’est l’IoT. Avec peu de CPU, peu de RAM, il est complexe de défendre efficacement ces machines. Ici c’est très simple, un appel API et une nouvelle connexion peuvent être acceptés ou refusés en fonction de la réputation de cette IP.

Précisons au passage que seuls l’IP impliquée, le scénario déclenché et un timestamp sont remontés à l’API centrale pour traitement ; les logs ne sont jamais exportés pour être traités ailleurs. Cette approche (et de nombreux autres aspects techniques et légaux) nous permet d’être 100% en ligne avec le RGPD.

GS Mag : Concrètement, sur quelles technologies repose votre plateforme et comment fonctionne-t-elle techniquement ?

Philippe Humeau : Le daemon qui s’occupe du comportemental est écrit en GO-Lang. C’est un langage rapide, moderne et très lisible. Il est particulièrement bien adapté aux containers et au Cloud, qui sont nos deux cibles de prédilection au-delà des serveurs classiques. L’instrumentation et l’observabilité que fournit CrowdSec sont basées sur d’autres projets open source, comme prometheus ou metabase.

Quant au fonctionnement, il est en fait assez simple. CrowdSec ingère des données provenant de “Data Source”, qui peuvent être des logs, des messages, des SIEMS, Cloud trail ou autre. Ensuite, il normalise ces informations et les enrichit avec la base de données de réputation d’IP, des listes blanches et éventuellement d’autres sources tierces auxquelles vous pourriez avoir souscrit (comme des Threat Intel). Enfin, il applique des scenarii pour identifier des comportements agressifs ou dangereux. Une fois identifié, il informe un “Bouncer” pour appliquer une remédiation.

Ces remédiations ne sont pas uniquement de type “bloque”. Elles peuvent être plus subtiles, comme un Captcha, un ralentissement, l’envoi d’un mail ou d’un push, un blocage applicatif ou de l’accès à des directory d’administration, etc.

Ces “bouncers” sont propres à chaque technologie. Il en existe pour Nginx, Apache, PHP, etc. et leur nombre grossit régulièrement. Notre but est que chaque utilisateur puisse trouver une chaussure adaptée à son profil technologique. Nous allons aussi porter le produit sur MacOS & Windows pour élargir notre capacité de protection.

GS Mag : En quoi est-ce novateur sur le marché de la cybersécurité ?

Philippe Humeau : CrowdSec est un mélange d’ancien et de neuf.

Le fait de détecter des comportements plutôt que des signatures n’est pas nouveau et, quelque part, les sociétés qui disent utiliser de l’intelligence artificielle dans ce but (dont certaines le font réellement) utilisent une approche comportementale. De la même façon, l’approche réputationnelle existe ; Spamhaus ou AbuseIPDB en sont de bons exemples.

Ce qui est nouveau ici, c’est d’utiliser les deux, de nettoyer les signaux pour éviter les faux positifs et le poisoning et d’automatiser tout cela. Il convient également de signaler que toute la colonne vertébrale technologique est conforme aux dernières normes et que le traitement des IP est toujours très récent. C’était l’inconvénient de l’approche par honeypot networks ou juste par réputation, les signaux arrivaient de manière parfois trop lente, car les réseaux restent “petits”. Ici nous avons déjà des centaines d’utilisateurs, et bientôt des milliers. Nous pouvons rafraîchir les informations sur une IP toutes les 72H au maximum, il n’y a donc pas de “vieilles” IP dans notre base et plus nous grossissons, plus nous devenons temps réel.

Enfin, le traitement anti faux positif et anti empoisonnement de la base est très novateur en soit. Cet ensemble devrait d’ailleurs nous permettre de devenir JEI (Jeune Entreprise Innovante) et de prétendre à des aides comme le CIR (Crédit d’Impôt Recherche) entre autres. Les challenges à résoudre sont passionnants, mais ils restent tous faisables.

GS Mag : De quelle manière se construit votre communauté ?

Philippe Humeau : Pour le moment, nous utilisons beaucoup le bouche à oreille et un peu de publicité. Mais très honnêtement, le marché attendait un successeur à Fail2ban d’un côté et une nouvelle tentative sur le sujet de la réputation également. Du coup, nous bénéficions d’un très bon accueil. J’imagine que notre expérience, notre réputation et notre réseau jouent aussi un rôle.

Au final, ce sont les influenceurs dans le monde de la sécurité qui font le gros de notre adoption à ce stade. Ils parlent du produit, le teste et le recommande, ce qui nous permet de gagner en visibilité. Certains grands industriels du hosting sont aussi en contact direct avec nous pour préparer l’usage du logiciel dans leur Cloud.

GS Mag : CrowdSec vient de lever 1,5M€. Quels sont vos objectifs et ambitions via cette opération de financement ?

Philippe Humeau : En fait, nous étions partis sur un montant plus modeste à l’origine. Mais la crise du Covid-19 nous a fait revoir un peu nos plans. Notre intention initiale était de lever quasiment deux fois moins. Les business nous ont fait confiance et nous sommes tombés d’accord pour se passer d’un tour de Seed. Du coup cela explique l’ampleur de cette levée, inhabituelle en France pour du smart money.

Nous allons employer cet argent essentiellement à l’élargissement de notre communauté et à l’implémentation de nouvelles fonctionnalités dans le produit. Nous allons aussi mettre au point nos éléments front et back office en ligne, première étape pour lancer nos offres premium.

GS Mag : Pour conclure, quel message souhaitez-vous faire passer à nos lecteurs ?

Philippe Humeau : La période est très difficile pour beaucoup de personnes dans le monde, et les cybercriminels profitent de la désorganisation qui en découle pour attaquer. CrowdSec est gratuit, open source, stable et c’est un réel rempart contre le piratage, essayez-le !




Voir les articles précédents

    

Voir les articles suivants