CrowdSec : une approche collective de la protection contre les menaces

Depuis ce vendredi 10 décembre, les conversations de la planète cybersécurité tournent autour d’un sujet : la vulnérabilité dite Log4Shell, référencée CVE-2021-44228. Elle tire son nom de ce qu’elle affecte : le projet log4j de la fondation Apache, une bibliothèque de journalisation d’événements. Les versions 2.0 beta 9 à 2.14.1 de log4j sont affectées, tandis que la version 2.16.0 corrige la vulnérabilité. Philippe Humeau, PDG et co-fondateur de CrowdSec répond à nos questions et explique comme cet outil collaboratif open source peut aider.

LeMagIT : Pourquoi cette vulnérabilité est-elle si sérieuse ?

Philippe Humeau : Log4j constitue un problème très complexe. Il est très courant d’utiliser Log4j lorsque l’on exploite un composant Java dans son système. Même si l’on n’exécute pas directement Java, une partie de son système le fait probablement, afin d’exécuter une application ou un logiciel critique dont on a besoin. En bref, l’omniprésence est un euphémisme.

LeMagIT : On pense IT, mais des systèmes OT peuvent-ils être concernés ? Voire même de l’embarqué ou de l’IoT ?
Philippe Humeau : Tout à fait, les systèmes opérationnels (OT) IoT sont très utilisateurs de Java et donc par extension de log4j, bien plus encore que la partie directement exposée sur Internet.

L’exploitation de la vulnérabilité Log4Shell peut affecter des environnements en profondeur, alors même que le système effectivement attaqué n’est pas directement accessible sur Internet.

LeMagIT : En quoi consiste CrowdSec ?

Philippe Humeau : CrowdSec est une plateforme d’automatisation de la sécurité, gratuite et open source, reposant sur l’analyse comportementale et la réputation des adresses IP. Elle peut être installée sur des serveurs, environnements cloud, conteneurs, IoT, VMs etc. Elle analyse le comportement des visiteurs, identifie les menaces et protège les services numériques contre tout type d’attaque. Y compris contre des tentatives d’exploitation de Log4j, via un scénario que nous avons développé spécifiquement. 

Il peut être installé par n’importe quel utilisateur en une seule ligne de commande. S’il ne couvre pas 100 % des cas d’exploitation, c’est une première ligne de défense très utile. CrowdSec le fournit gratuitement et il est également entièrement open source. Nous mettons aussi à disposition de tous, la liste d’IPs détectées tentant d’exploiter la faille à des fins malveillantes.       

LeMagIT : Est-ce à dire que l’on parle là d’une approche massivement mutualisée de la collecte de renseignement sur les menaces ?

Philippe Humeau : Absolument. La solution permet aux utilisateurs de se protéger mutuellement. À chaque fois qu’une IP est détectée et bloquée, elle est soumise à un algorithme de consensus qui valide sa dangerosité, puis stockée dans notre base de données pendant 72 heures, pour éviter les faux positifs et les tentatives d’empoisonnement. 

Le jeu de la cybersécurité est asymétrique et les budgets investis, toujours plus faramineux, n’ont jamais réussi à stopper les cybercriminels qui ont besoin d’infiniment moins d’argent et de temps pour causer des dommages considérables.

Nous sommes bien plus nombreux du côté des défenseurs, mais nous devons nous fédérer. C’est avec cette ambition que nous avons lancé ce projet. La solution est utilisée dans plus de 120 pays, et a été installée plus de 40 000 fois à ce jour.