Menlo Security veut rendre inoffensifs les contenus entrants

Protéger les postes utilisateurs des menaces propagées par des sites Web animés par des logiciels vulnérables et parfois obsolètes, c’est l’ambition de Menlo Security. Expliquant cette approche, Kowsik Guruswamy, son directeur technique, explique que les équipes de la start-up ont, l’an passé, examiné le million de sites Web les plus fréquentés au monde, tels qu’identifiés par Alexa : « nous avons découvert que 20 % de ces sites exécutent encore des logiciels vulnérables. Parfois, on observe des versions de PHP qui remontent à 2007 ». Le souci, pour cet ancien conseiller de Netskope et de Morta, passé par NetScreen et Juniper, est que « les entreprises n’ont pas vraiment de contrôle là-dessus, et que cela reste un important vecteur de diffusion de logiciels malveillants ».

Mais pour présenter l’approche de Menlo, Kowsik Guruswamy part d’un constat d’échec, celui de l’industrie de la sécurité informatique toute entière : « nous ne résolvons pas le problème de sécurité pour lequel les entreprises ont vraiment besoin d’une solution ». Et cet échec vient, à l’écouter, d’une démarche erronée : celle qui consiste à chercher à « classer des choses entre bon et mauvais » et que l’on trouve dans « les bacs à sable, les signatures et anomalies, l’apprentissage machine avec le big data ». Las, « on ne peut pas dire avec une certitude absolue si quelque chose est bon ou mauvais. Nous n’avons tout simplement pas la technologie pour cela ».

Isoler le rendu du contenu

Dès lors, pour les créateurs de Menlo, l’idée consiste à interposer une couche d’isolation entre le contenu Web et le poste de l’utilisateur final afin d’empêcher tout contenu actif potentiellement malveillant de l’atteindre : « si l’on ne laisse jamais de contenu actif, bon ou mauvais, logiciel malveillant ou pas, atteindre le terminal, l’utilisateur, [son identification et sa classification] n’ont plus d’importance ». C’est de là qu’émerge ce que Menlo appelle sa plateforme d’isolation et qui rappelle, au moins dans le concept, le Secure Web Browser de Citrix.

La plateforme d’isolation de Menlo s’appuie sur des conteneurs virtuels éphémères : « nous fournissons à l’utilisateur un conteneur pour sa session Web, qui exécute un système d’exploitation et un navigateur propres. L’accès au site Web se fait dans ce conteneur : « Java, Flash, Javascript, etc. Tout cela est exécuté dans le conteneur. De là, nous pouvons reprendre les éléments visuels affichés dans le navigateur isolé dans le conteneur pour les transférer au navigateur du poste de travail. Du point de vue de l’utilisateur, il n’y aura rien de différent à remarquer, mais pas non plus de code actif ».

Et côté poste client, le contenu affiché ne pèse que quelques dizaines de lignes de code HTML, assorti d’un peu de code Javascript. « On ne parle pas ici de VDI ; je peux imprimer, copier/coller, cliquer. Il n’y a aucune différence pour l’utilisateur ».

La plateforme d’isolation de Menlo est proposée en mode Cloud : « dans de nombreux cas, je peux enrôler nos nouveaux clients en l’espace de deux minutes, lors d’une conférence WebEx. C’est simple, parce qu’il n’y a rien à installer ». Toutefois, Menlo propose également sa solution sous la forme d’appliance virtuelle à déployer en local. Kowsik Guruswamy explique en outre que certains clients ont configuré la plateforme pour l’utiliser conjointement avec des solutions de sécurité tierces, comme celles de BlueCoat, afin de rediriger vers la plateforme d’isolation, utilisée comme un proxy, les sessions Web non catégorisées. Car il ne s’agit pas non plus de tout filtrer au travers de la plateforme. Et si les règles sont là personnalisables, un partenariat avec Webroot apporte un premier niveau de recommandation, à travers des éléments de réputation des URL.

Mais la plateforme de Menlo ne s’arrête pas aux contenus des pages Web. Elle traite aussi les documents PDF et bureautiques – notamment – pour les convertir au format HTML5. Les images ne sont pas encore traitées, mais Kowsik Guruswamy indique envisager des options de conversion à la volée. Au troisième trimestre, Menlo étendra sa plateforme à la protection des courriers électroniques. Mais déjà, une intégration avec les Google Apps et Office 365 permet de forcer le filtrage sélectif des liens inclus dans les courriels.  

Fondée en 2013, la jeune pousse a levé 10 M$ en 2014, puis 25 M$ fin 2015, principalement auprès d’un « client très stratégique du classement Fortune 10 ». Figurant parmi les finalistes de l’Innovation Sandbox de l’édition 2016 de RSA Conference, Menlo vient d’annoncer un partenariat avec Check Point : ses pare-feu de nouvelle génération et ses appliances virtuelles vSec peuvent forcer sélectivement la consultation de pages Web via la plateforme d’isolation.