F5 Networks s’offre Shape Security pour un milliard de dollars

F5 Networks vient d’annoncer sa plus importante acquisition à ce jour : celle de Shape Security, pour un montant de d’environ 1 Md$. Cette opération doit lui permettre de se renforcer son offre dans le domaine de la sécurité applicative.

Fondée en 2011, Shape Security s’est en effet fait une spécialité de la protection des applications Web et mobiles contre la fraude et autres détournements. A l’instar d’un JumpSoft, MorphiSec, ou CyActive, notamment, elle a misé sur le polymorphisme. Ce concept est bien connu dans le domaine des logiciels malveillants : c’est l’aptitude à s’adapter aux conditions présentes et à échapper aux logiciels de sécurité pour accomplir sa fonction sur une cible. Le polymorphisme permet aux maliciels de tromper les systèmes de protection basés sur des signatures et autres moyens de détection conventionnels : il change en continu la nature de ses vecteurs d’attaque.

Appliqué à la sécurité applicative, le polymorphisme consiste à imaginer un système cible qui apparaîtrait changer, empêchant ainsi les assaillants de l’affecter aisément. Ce n’est qu’une nouvelle manière de décrire ce que de nombreux chercheurs en sécurité ont longtemps évoqué sous le terme de défense mobile. Un sujet qui a fait l’objet de nombreuses études. Fin 2014, une conférence l’association américaine pour la machinerie informatique (ACM) a été consacrée aux manières de mettre en œuvre une telle défense, en s’appuyant sur la théorie des jeux, entre autres algorithmes avancés.

En 2016, Shape Security parlait de son produit ShapeShifter comme du « premier botwall ». Il est conçu comme une appliance pour protéger l’interface utilisateur des serveurs Web. Sur son site Web, la start-up expliquait alors vouloir « utiliser le polymorphisme pour préserver la fonctionnalité du code tant en transformant la façon dont il est exprimé ». De quoi par exemple casser les attaques automatisées pour soumettre un formulaire, mais sans en affecter la présentation.

En utilisant des défenses polymorphes, les entreprises peuvent bloquer certaines attaques en déni de service (DDoS), par man-in-the-browser, et celle visant à compromettre des comptes d’utilisateurs. L’appliance ShapeShifter s’installe derrière l’équilibreur de charge ; des règles de redirection permettent de l’activer. Aujourd’hui, Shape Security a rebaptisé son produit Shape Defense. Une version dite entreprise a également été développée, avec des possibilités de déploiement en local, en mode hébergé, ou en cloud. Et la solution a été étendue à la protection des API http. Shape Security a en outre étendu son offre à la protection contre le détournement de comptes utilisateurs lié à la réutilisation de mots de passe, avec son produit Blackfish.

En septembre dernier, Shape a obtenu levé 51 M$, portant son financement total à 183 M$. Dans le cadre de l’acquisition, F5 va intégrer les 370 employés de la jeune pousse, jusqu’à son équipe de direction, dont le co-fondateur Derek Smith.

Pour le Pdg de F5, François Locoh-Donou, cette opération est « motivée par une vision du rôle que F5 va jouer pour permettre à ses clients de maximiser la valeur qu'ils retirent de leurs applications dans un monde multi-cloud ». Cette acquisition doit également contribuer à la réorientation de F5 vers « un modèle commercial centré sur le logiciel » qui doit lui permettre de doubler son marché potentiel.

Et puis, pour le patron de F5, « le risque pesant sur les applications ne fait que s’aggraver. Grâce à l'automatisation, [les assaillants] sont capables de lancer des attaques à une échelle bien plus grande. Aujourd'hui, plus de la moitié de tout le trafic Internet que connaissent les entreprises du classement Global 2000 provient d'acteurs non humains. En d'autres termes, les bots dominent l'activité de la couche applicative web, et c'est un phénomène récent ».

Pour le Chase Cunningham, analyste chez Forrester Research, cette opération ne manque clairement pas de pertinence : « je pense que cette acquisition est très logique car le marché de la fraude va continuer à se développer et à se perfectionner à mesure que les applications feront plus de choses plus rapidement pour les consommateurs. Alors pour lui, la protection contre la fraude et autres activités malveillantes visant les applications Web constitue « l'un des domaines les plus importants pour l'investissement dans un avenir proche ». La transaction doit être finalisée dans le courant du trimestre.

Cette opération marque la deuxième acquisition majeure pour F5 Networks cette année, après celle de Nginx au mois de mars dernier, pour environ 670 M$.