Jouer aux apprentis pirates avec Stonesoft Evader

Quoi de plus naturel - quoiqu’illusoire - que de se sentir en sécurité après avoir déployé scrupuleusement toute une panoplie de solutions de sécurité visant à protéger son système d’information ? Un outil comme Evader, de Stonesoft, a de quoi remettre en cause toute impression de confort. Proposé gratuitement depuis le mois d’octobre, cet outil vise les entreprises pour leur permettre de tester la perméabilité de leurs parefeux, de leurs IPS et de leurs UTM face aux techniques d’évasion avancées. Sommairement, celles-ci consistent, pour un attaquant, à jouer avec les capacités de la pile TCP/IP et avec les limites des capacités de traitement des systèmes de protection du réseau pour passer au travers de leurs mailles. Joona Airamo, CISO de Stonesoft, donne un exemple : «jouer sur les délais de rétention des paquets TCP par les IPS», pour déjouer leurs capacités d’analyse. Et d’illustrer son propos avec un équipement HP TippingPoint «qui a reçu une mise à jour constructeur ce matin, à 9h», contourné en provoquant une fragmentation IP, en ajoutant à cela un segmentation TCP anormalement petite, et en transmettant les paquets... à l’envers. Selon Joona Airamo, «la plupart des IPS sont vulnérables» à l’outil Evader de Stonesoft, et même «à certains vieux outils d’évasion inclus dans la distribution Linux spécialisée Backtrack». En fait, «même nos produits ne sont pas totalement résistants. Mais, à la différence de nos concurrents, nous en sommes conscients et nous corrigeons nos produits ». Selon lui, le principal problème tient au fait que si «TCP et IP sont deux langages, chaque système d’exploitation en a son propre dialecte ». Dès lors, «les scénarios d’évasion sont illimités ». Et de revendiquer une certaine avance : «nous avons commencé à nous intéresser à ce sujet en 2007, alors que nos concurrents estimaient que la menace était purement théorique.» Le CISO de StoneSoft s’inquiète en particulier des équipements aux capacités de mise à jour limitées. Olli-Pekka Niemi, directeur du groupe d’analyse des vulnérabilités de StoneSoft, souligne l’ingéniosité des développeurs, évoquant notamment l’exemple de ceux de Skype, «pratiquement impossible à couper» : «si un noeud du réseau n’est pas capable d’accéder à Internet mais qu’il trouve un autre noeud qui en est capable, il passera par lui pour se connecter; une adaptabilité qui le rend même plus avancé que la plupart des logiciels malveillants. Mais il nous montre ce vers quoi ils tendent... Je parie que certains logiciels malveillants embarquent déjà de telles capacités. On ne les a pas encore vus, c’est tout.» Et de faire un parallèle avec Flame : «les serveurs de contrôle que la communauté a pu examiner montrent l’existence de deux variantes dont aucun échantillon n’a encore été trouvé.» Bref, dans un environnement où la créativité semble de mise, où "les gouvernements investissent largement dans les capacités informatiques offensives", selon Illka Hiidenheimo, Pdg de Stonesoft, il semble urgent de chercher à examiner les scénarios qui peuvent sembler improbables...