La supercherie : une approche intéressante en sécurité informatique

Les DSI disposent à l’heure actuelle de plusieurs moyens pour assurer la sécurité d’un système d’information. Le premier type d’outil est incarné par le pare‐feu ou l’antivirus. Le pare‐feu est un dispositif qui permet de contrôler les échanges entre les entités au sein d’un réseau et l’extérieur. Un pare‐feu est comme un poste de douane qui contrôle les papiers à la frontière, si vous ne passez pas par le poste ou si vous n’êtes pas interdit de territoire, vous rentrerez.

Le soucis qui commence à se poser, c’est que ces dispositifs doivent être souvent mis à jour avec de nouvelles règles. Car ne pas mettre à jour la liste des personnes interdites de territoire revient à rendre le filtrage inefficace, puisque les nouvelles menaces ne sont pas prises en compte. Et puis il a des menaces que l’on ne connait pas à priori, les attaques qui se font de l’intérieur, et les méchants planqués dans des camions.

Pour parer à ces problèmes, les informaticiens ont inventé des IDSIntrusion Detection Systems. Plutôt que de se baser sur les papiers d’une personne (en continuant ma métaphore), ces systèmes contrôlent les comportements de ceux‐ci. Dans le cas où des comportements suspects sont détectés, une alerte est levée. Viennent ensuite les IPSIntrusion Prevention Systems — qui détectent mais empêchent aussi les comportements dangereux.

Au lieu de bloquer les tentatives d’intrusion, l’approche par supercherie consiste à fournir à l’attaquant un environnement sensé lui fournir des données erronées. C’est une approche située entre le IPS et le honeynet. Le premier vise à détecter et bloquer les attaques selon des scénarios prédéfinis. Le deuxième est un réseau (souvent virtuel, mais en tout cas séparé de l’infrastructure réelle) spécialement conçu pour présenter des failles aux éventuels hackers afin d’observer leurs attaques et leurs outils, et ainsi mettre à jour les règles des IPS.

L’avantage de cette démarche, c’est que les attaquants ne sont pas au courant que leurs attaques ont été stoppées. On peut alors observer leurs actions une fois qu’ils sont «entrés» pour prévenir de futures attaques.

Reste à savoir si cette approche peut être mise en place dans un environnement de production de manière efficace et à un coût modéré.

Sources :

Commentaires

Un commentaire sur « La supercherie : une approche intéressante en sécurité informatique »

  1. Eleken dit :

    Un cheval de troie pour un cheval de troie en résumé… Rire, et bientôt les hackers lancerons un cheval de troie pour le cheval de troie de cheval de troie 😉

    Eleken

Laisser un commentaire