Une approche mobile de la défense contre les menaces polymorphes

Nous savons tous en quoi consiste le polymorphisme appliqué aux logiciels malveillants : l’aptitude à s’adapter aux conditions présentes et à échapper aux logiciels de sécurité pour accomplir sa fonction sur une cible. Ce type de logiciel malveillant peut aisément tromper les systèmes de protection basés sur des signatures et autres moyens de détection conventionnels : il change en continu la nature de ses vecteurs d’attaque.

Mais qu’en serait-il si nous pouvions utiliser le même type de comportement dans une approche défensive ? L’idée consiste là à imaginer un système de cible qui apparaîtrait changer, empêchant ainsi les logiciels malveillants de l’affecter aisément. Cela peut sembler particulièrement sophistiqué, mais ce concept intéresse de plus en plus.

De fait, le polymorphisme n’est qu’une nouvelle manière de décrire ce que de nombreux chercheurs en sécurité ont longtemps évoqué sous le terme de défense mobile. Un sujet qui a fait l’objet de nombreuses études. Fin 2014, une conférence l’association américaine pour la machinerie informatique (ACM) a été consacrée aux manières de mettre en œuvre une telle défense, en s’appuyant sur la théorie des jeux, entre autres algorithmes avancés.

Ces travaux sont passés à l’étape suivante, avec toute une série de nouveaux produits signés JumpSoft, MorphiSec, Shape Security, et CyActive, notamment. Ceux-ci sont encore jeunes, mais ils peuvent donner une idée de ce qu’ils essaient d’accomplir et à quelle vitesse ce domaine se développe.

Il est évident que protéger des actifs basés sur Internet est devenu de plus en plus complexe. Début 2015, le chercheur Dudu Mimran faisait d’ailleurs état d’un fossé de plus en plus grand entre défenses et menaces. Et de l’expliquer ainsi : « les outils de sécurité n’ont pas évolué au même rythme que les infrastructures IT. La défense polymorphe vise à saper la connaissance initiale des environnements visés pour rendre plus difficile la conception des attaques ».

Et cela peut fonctionner parce que beaucoup d’attaquants s’appuient sur la connaissance de systèmes d’exploitation, terminaux et applications spécifiques pour en viser les vulnérabilités. Rendre les systèmes plus difficiles à identifier les rend plus difficiles à attaquer, et améliorer ainsi la sécurité. Mimran est en outre directeur stratégie de MorphiSec qui a présenté ses premiers produits à l’automne dernier.

Shape Security parle son produit ShapeShifter comme du « premier botwall ». Il est conçu comme une appliance pour protéger l’interface utilisateur des serveurs Web. Sur son site Web, la start-up explique vouloir « utiliser le polymorphisme pour préserver la fonctionnalité du code tant en transformant la façon dont il est exprimé. Dans cette exemple, un formulaire d’ouverture de session simplifié voit certains de ses attributs remplacés par des chaînes de caractères aléatoires. Le code résultant casse les attaques programmées pour soumettre ce formulaire, mais sans affecter sa présentation ».

En utilisant des défenses polymorphes, les entreprises peuvent bloquer les attaques en déni de service (DDoS), par man-in-the-browser, et celle visant à compromettre des comptes d’utilisateurs. L’appliance s’installe derrière l’équilibreur de charge ; des règles de redirection permettent de l’activer.

Traditionnellement, de nombreux sites Web sont protégés par les limitations sur le volume, le débit, ou les adresses IP afin de prévenir les tentatives automatisées d’ouverture de session à répétition. Les pirates peuvent contourner ces limites en utilisant des bases de données d’identifiants dérobés injectés via un botnet massivement distribué. Et de nombreuses méthodes ont également été développées pour contourner les CAPTCHA.

L’appliance de Shape modifie dynamiquement le code du site Web à chaque fois que la page est chargée afin d’empêcher les attaques automatisées.

Pour Mimran, « le ‘poly‘ est la partie élégante de cette approche, parce que les changements peuvent être appliqués à l’infrastructure en continu et à la volée, complexifiant considérablement le jeu de devinette. Avec le polymorphisme, les attaquants ne peuvent pas construire d’attaques réutilisables effectives contre la zone protégée ».

De son côté, CyActive utilise des algorithmes inspirés du vivant comme base d’entraînement pour un détecteur intelligent capable d’identifier et d’arrêter de nouvelles variantes de logiciels malveillants. PayPal s’est offert sa technologie au printemps dernier. De quoi souligner à quel point ce segment de marché est en train de gagner en importance.

Adapté de l’anglais.