Sécurité du poste de travail : HP rachète Bromium

HP vient d’annoncer le rachat de Bromium, suivant des conditions non communiquées. Le constructeur connaît bien cette jeune pousse fondée en 2012 par Simon Crosby, ancien directeur technique de Citrix. A l’occasion de l’édition 2017 de la conférence RSA, HP avait ainsi annoncé Sure Click, une technologie de protection contre les logiciels malveillants accidentellement téléchargés sur le poste de travail. Celle-ci avait été développée en partenariat avec Bromium : chaque session Web ouverte s’exécute en fait dans une micro-machine virtuelle. Sure Click devait initialement être proposé en standard sur l’EliteBook x360 1030 G2 attendu pour le printemps de la même année, pour une disponibilité élargie à toute la gamme Elite quelques mois plus tard.

Ambitionnant de révolutionner la protection du poste de travail, la solution développée par Bromium isole chaque processus applicatif dans une micro-machine virtuelle, de manière transparente pour l’utilisateur. Son hyperviseur allégé et basé sur Xen a dès lors des allures de bac à sable cachant aux processus la réalité de l’environnement dans lesquels ils s’exécutent : ils n’ont aucun accès direct au système d’exploitation, ni à ses API, et ne voient finalement que ce que l’on veut bien leur donner à voir, y compris au niveau du système de fichiers.

Microsoft a lui-même validé cette approche, en 2015. Le dispositif Virtual Secure Mode (VSM) de Windows 10 s’appuie sur Hyper-V pour isoler le processus lsass.exe et réduire le risque de vol d’identifiants. La micro-machine virtuelle mise en place est notamment sécurisée en s’appuyant sur la puce TPM de l’ordinateur et les fonctions de virtualisation du processeur. L’éditeur a depuis étendu l’application du concept bien au-delà.

Entre temps, Bromium lui-même a étendu le périmètre d'application de sa technologie. Avec Protected App, lancé l'an dernier, Bromium cible ainsi les cas d'utilisation où l’on présuppose que l'hôte est déjà compromis (ou pourrait l'être à l'avenir). Dans la pratique, l'utilisateur final reçoit l'application de la société propriétaire des données et du réseau auxquels il aura accès, sous la forme d’un paquet MSI. Son installation se traduit par l'insertion d'une extension dans l’UEFI. Celle-ci entre en activité après le redémarrage de la machine et l’application protégée apparaît alors dans le menu démarrer de Windows. Elle s’exécute localement, mais la couche d’abstraction ajoutée par micro-virtualisation rend inaccessible à un pirate les saisies au clavier ou encore les éléments graphiques affichés.

Dans un communiqué de presse, HP explique le rachat de Bromium en indiquant que « la sécurité est un élément différenciateur clé » pour lui. De quoi s’interroger sur le partenariat noué plus tôt cette année – mais reconnu publiquement de manière tardive – avec Deep Instinct, une jeune pousse qui applique des modèles entraînés par apprentissage profond à la détection de maliciels. HP l’utilise pour sa solution Sure Sense. De quoi faire de la start-up un autre candidat à acquisition ? A moins qu’une tentative dans ce sens n’ait déjà eu lieu, et échoué.