Hyper-vitesse, sécurité adaptative et kernel dynamique: les nouvelles pistes technologiques en matière de cyberdéfense

Relayé en mai 2012 par Daniel Ventre sur 01Net.com, un article de Thomas Rid paru dans la revue américaine Foreign Policy examine quelques idées reçues mais aussi certaines contre-vérités ayant trait à une hypothétique cyberguerre. Parmi celles-ci, l’auteur remet en cause le principe qui voudrait que, tout comme dans les autres domaines, dans le cyberespace l’attaque a l’avantage sur la défense.

(Source)

Depuis des lustres, cette hypothèse est soumise à d’innombrables discussions, études et analyses, la plupart fort savantes avec des implications d’ordre stratégique. Cependant, même la vérité du terrain ne permet pas de trancher de manière certaine. Afin d’apporter un éclairage supplémentaire mais sans être exhaustif, cet article présente certains travaux actuels de recherche, des technologies émergentes à celles en cours de déploiement. Ces travaux visent à assurer une cyberdéfense efficace et à même de déjouer les formes de cyberattaques les plus communes, les actuelles, mais aussi celles qui restent à venir.

De la persistance des attaques…

Ces dernières années, l’émergence de ce qui est improprement qualifié de menaces persistantes avancées (Advanced Persistent Threat - APT) s’est transformé en attaques réelles persistantes sans être systématiquement avancées. Dans la plupart des cas, le vecteur d’attaque demeure le bon vieux courriel embarquant une charge active (pièce jointe forgée et piégée) ou pointant vers une url également piégée. Rares étant l’exploitation de failles 0day¹, seuls le ciblage d’un nombre restreint de personnes et la vraisemblance (d’origine, de sens et de contenu) des courriels augurent du travail amont.

Ingénierie sociale, récupération et agrégation d’informations OSINT (Open Source INTelligence – Renseignement par les sources ouvertes), utilisation de vulnérabilités - préalablement obtenues - humaines mais aussi logicielles sont la partie la plus « avancée » de ces attaques. Qui réclament simplement de la patience et un savoir-faire technique et méthodologique relativement accessible, donc à la portée d’une partie non-négligeable de la population digital natives et geek d’aujourd’hui !

…à l’évolution des tactiques, furtivité et très haut-débit pour l’attaquant

Pour autant, on observe une évolution des tactiques utilisées par certains attaquants ces derniers mois. En toute logique, celles-ci évoluent à mesure que de nouvelles dispositions organisationnelles et techniques se mettent en place et réduisent concrètement les tentatives d’attaques ciblées mais somme toute initialement triviales. Deux évolutions majeures prennent leur place dans ce cadre. La première concerne l’utilisation de noms de domaines éphémères. Créés spontanément c’est à dire en quelques clics, ils sont aussitôt supprimés le forfait commis (ou l’attaque détectée). Une mesure d’autant plus gênante qu’elle vient compliquer une éventuelle enquête judiciaire ou, au moins, une analyse forensique.

La seconde évolution concerne les attaques DDoS à plusieurs dizaines de Gigabits par seconde (de 20 Gbit/s à 60 Gbit/s et même plus !). Encore rares l’année dernière, elles auraient tendance à se banaliser et, de par le fait de la simple inadaptation du dimensionnement des moyens de détection, sont d’une redoutables efficacité. Et pourtant, l‘incessante et perpétuelle lutte du bouclier face au glaive pourrait cependant être plus équilibrée dans un avenir proche.


Hyper-vitesse, ralentissement d’attaques, réseaux à cibles mouvantes…

Prenons maintenant ce qui ne relèvera bientôt plus de la science-fiction : une attaque par saturation de type DoS ou DDoS vient d’être détectée. Un algorithme envoie des signaux hyper-véloces, prenant de vitesse  – quelques millisecondes – le trafic malveillant, afin d’activer les moyens de défense. Parmi ceux-là, un dispositif de ralentissement du trafic entrant, en vue de limiter les effets recherchés de la saturation. Tout en permettant, éventuellement, une contre-attaque dans le cas d’unités étatiques disposant de moyens offensifs (USA, Israël et Japon pour les pays qui ne s’en cachent plus). Relevons qu’un ensemble de mesures techniques particulières venant en complément du dispositif évoqué favorise d’ores et déjà avec succès la déception de ce type – courant – d’attaques.

http://www.newscientist.com/data/images/ns/cms/dn21756/dn21756-1_300.jpg

(source)

Autre exemple, à l’état de projet de recherche pour l’instant : l’utilisation de « Réseaux à cibles mouvantes« . L’idée est de disposer d’un réseau suffisamment intelligent et autonome pour changer automatiquement et de manière aléatoire sa configuration selon différentes méthodes : changement des adresses de connexion aux applications réseau, passage d’une instance applicative à l’autre, modification de l’emplacement de stockage des informations des systèmes critiques. Au final, on pourrait adjoindre à cette nouvelle génération de réseaux des fonctions de type « auto-immune ». C’est à dire capables de se reconfigurer entièrement après avoir subi une première attaque pour éviter une de même type la fois suivante ! Un projet qui intéresse au plus haut point le Pentagone puisque l’U.S. Air Force a lancé un appel d’offres sur le sujet, ouvert jusqu’au 28 septembre…2015 !

…et défense réactive en profondeur pour le défenseur !

Enfin, on notera des travaux de recherche plutôt avancés et qui intéressent, par extension, l’industrie des systèmes embarqués. Autant dire des centaines de milliards de dollars et des centaines de milliers d’emplois dans les 15 ou 20 prochaines années ! Ces travaux² portent entre autres sur la surveillance de processus purement logiciels surveillés durant leur exécution par un système de contrôle reposant sur une architecture basée sur un FPGA intégré à une carte PCI Express (PCIe) dotée de son propre port Ethernet³. Chaque opération est continuellement comparée à un modèle standard d’exécution. Si un processus dévie du modèle d’exécution normal ou standard, le système agit en obligeant le code exécuté à revenir en mode normal d’exécution. Son action est de type défense réactive en profondeur puisque ses capacités vont jusqu’à pouvoir agir en temps-réel sur le kernel du système d’exploitation !

Pour conclure, soulignons qu’il faut porter attention sur l’ensemble du spectre cyberdéfense. Si en amont les mécanismes et les technologies précédemment évoqués sont sans doute ce qui nous attend dès demain, en aval, les dispositifs de détection et d’alerte devront être efficaces sous peine de disposer de super systèmes totalement…inefficaces ! On notera également que la plupart des technologies évoquées viennent (ou viendront) d’universités, de laboratoires et de centres de recherche militaires localisés…aux États-Unis. Un fait qu’il serait sans doute pertinent d’interroger à l’heure d’une compétitivité européenne mal en point et au moment où le monde n’a jamais été aussi incertain et imprévisible.

Si vis pacem

¹ une tendance récente se dessine amenant l’hypothèse que des attaques exploitant des vulnérabilités 0day seront de plus en plus courantes à l’avenir

² Anti-Tamper – Software Protection Initiative (AT-SPI)

³ CML’s Attack Recognition Management Architecture (CARMA)

Be Sociable, Share!

You may also like...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

UA-7688295-1