Passer au contenu

Les outils de détection d’intrusions restent immatures

Les consultants préconisent de plus en plus les outils de détection pour les entreprises. Pourtant, la technologie reste immature, et la coopération entre outils, le parent pauvre. La complémentarité entre IDS hôtes et réseaux est nécessaire.

Aux États-Unis, près de 50 % des entreprises utilisent un outil de détection des intrusions. En France, on reste très loin de ce pourcentage. Et encore les sociétés équipées sont-elles majoritairement des grandes entreprises ! Pourtant, la détection d’intrusions n’est pas un phénomène nouveau. Elle est utilisée depuis longtemps dans les laboratoires de recherche, les instances gouvernementales ou dans le monde militaire. La détection a, comme son l’indique, pour vocation de déceler toute violation de la politique de sécurité d’un système informatique. Toutefois, les outils associés IDS (Intrusion detection system) ne convainquent pas encore tous les responsables. Pour Scott Blake, directeur de la stratégie du programme sécurité et de la Razor Team chez BindView, “en l’état de la technologie, les IDS ne servent pas à grand-chose “. Pourtant, même si, comme avec l’ensemble des outils de sécurité, on reste dans un monde imparfait, ils sont de plus en plus préconisés par les consultants en sécurité.Les IDS s’appuient sur des analyses en temps réel ou pseudo-réel ainsi que sur des analyses en différé. Aujourd’hui, on en distingue essentiellement deux types : les IDS orientés réseaux et les IDS orientés hôtes. Les premiers demeurent les plus courants, mais les seconds sont, au dire des cabinets d’analystes (GartnerGroup et IDC), ceux qui devraient être à terme les plus représentés sur le marché. En fait, ils sont complémentaires.Les IDS réseaux analysent un segment du réseau et capturent le trafic comme le ferait un sniffer. Outre les fausses alertes, leurs principales limites tiennent aux environnements commutés et à la montée en charge. Cisco a tenté d’apporter une réponse avec sa carte Secure IDS, qu’il place au c?”ur de ses commutateurs Catalyst.

Aucun IDS n’est capable de gérer pleinement un segment Gigabit Ethernet

Pour Olivier Caleff, directeur technique chez Apogée Communications, “cet outil est bien dimensionné par rapport au segment de réseau géré, puisque l’on connaît exactement le nombre de paquets qu’il peut traiter par seconde “. À l’heure actuelle, aucun IDS réseau n’est capable de gérer pleinement un segment Gigabit Ethernet. Toutefois, NetworkICE dispose d’un IDS réseau Gigabit Ethernet à son catalogue. Notons que certains s’essoufflent même sur des segments 100 Mbit/s !Quant aux IDS hôtes, ils requièrent un agent sur chaque système supervisé. Face à cette classification de base, une nouvelle catégorie vient d’être lancée : le Network Node IDS (NNIDS). Il s’agit d’une catégorie hybride, qui vise à surmonter les limitations des IDS orientés réseaux telles que la supervision des environnements commutés. C’est une tentative ” d’unification ” des IDS hôtes et réseaux. Le nouveau Real Secure Server Sensor, d’ISS, répond à cette catégorie. Ajoutons à ce panorama les IDS dédiés à des applications, comme les SGBD et les contrôleurs d’intégrité, tel Tripwire.

Deux modes fondamentaux distincts

Ce qui distingue fondamentalement les IDS, c’est leur mode de fonctionnement. Le premier mode s’appuie sur des bibliothèques de signatures (approche par scénario). Snort, l’IDS Open Source le plus connu, dispose aujourd’hui de près de mille filtres. La démarche d’analyse est similaire à celle des antivirus quand ceux-ci s’appuient sur des signatures d’attaques. Ainsi, l’IDS est efficace s’il connaît l’attaque, mais inefficace dans le cas contraire. Les outils commerciaux ou libres ont évolué pour proposer une personnalisation de la signature afin de faire face à des attaques dont on ne connaît qu’une partie des éléments. De même, on est parvenu à des signatures génériques. Les outils à base de signatures requièrent des mises à jour très régulières. Le second mode de fonctionnement des IDS s’appuie sur une analyse comportementale. Elle détecte toute déviation par rapport à une caractéristique définie. Cette définition du type passe, le plus souvent, par une phase d’apprentissage.“L’analyse porte sur l’usage du réseau (protocoles, volumétrie, horaires d’activité, congestion et erreurs) ; l’activité d’une machine (nombre et listes de processus et d’utilisateurs, et ressources consommées) ; et l’activité d’un utilisateur (horaires et durée des connexions, commandes utilisées, messages envoyés, programmes activés, etc.). Le grand problème avec ce type d’IDS reste la définition d’un profil de normalité, et les variations admissibles autour de ce profil”, note Jean-Denis Gorin, architecte en sécurité Internet chez EdelWeb. Pour Ludovic Mé, chercheur et enseignant à Supélec, “ces outils s’appuient essentiellement sur des calculs statistiques”. Toutefois, il est possible d’imaginer des systèmes experts. Si le mode de fonctionnement principalement utilisé par les IDS s’appuie sur les signatures, tous travaillent sur l’analyse comportementale. Cette distinction théorique est beaucoup plus floue dans la pratique.Chaque technologie a ses avantages et ses inconvénients. Les IDS à signatures ont toujours un temps de retard. Si la signature n’est pas présente dans la base, l’IDS est contourné. En outre, il suffit de changer légèrement une attaque pour court-circuiter un IDS. Cela a été le cas avec Jolt2, une attaque qui n’est en fait qu’une variante du Ping de la mort. Faire face aux nouvelles attaques est la principale promesse des IDS à analyse comportementale. Toutefois, il leur est beaucoup plus difficile de qualifier le niveau critique de l’attaque. En outre, ils sont l’objet d’un plus grand nombre de fausses alertes. Toute déviance d’un comportement donné est sujette à une alerte, alors que certains changements sont dus à une modification naturelle du système.Or, pour Jean-Denis Gorin, “un IDS est inutile si 20 % des alertes sont erronées “. En outre, comme l’indique Ludovic Mé dans un document collectif qui sera publié en juin 2001 dans la revue REE, ” l’attaquant (utilisateur interne malicieux) peut modifier lentement son comportement afin de parvenir à un comportement intrusif qui, ayant été progressivement appris, ne sera pas détecté. C’est un faux négatif”. Ajoutons que, si le comportement est trop riche ou complexe, sa modélisation devient très difficile, et l’approche comportementale trouve alors sa limite.

Où placer l’IDS ? Là où c’est nécessaire

Le premier outil qui regroupe l’analyse comportementale et par scénarios se nomme Ides (Intrusion detection expert system). Développé de 1984 à 1986, le prototype a ensuite évolué pour devenir, en 1993, Nides. Quel produit choisir ? Michael Sobirey recense quatre-vingt-douze outils mêlant offres commerciales et logiciels libres.Pourquoi opter pour un outil commercial (en général onéreux), alors que Snort est un très bon outil gratuit ? “Parce le public visé n’est pas le même, répond Olivier Caleff, Snort est une très bonne boîte à outils, mais qui s’adresse plutôt à des hommes de l’art. Les grands comptes, eux, préfèrent des logiciels, notamment pour des raisons de maintenance “. La question fondamentale est alors de savoir où le placer : devant ou derrière le coupe-feu ?

Une technologie hybride pour soulager les IDS ?

Pour Marcus Ranum, président de Network Flight Recorder et expert reconnu en sécurité, il vaut mieux placer l’IDS derrière le coupe-feu.Sa préconisation se fonde sur le principe qu’il n’est pas important de connaître les attaques extérieures si elles n’ont pas réussi. De plus, l’ensemble des attaques ne provient pas uniquement de l’extérieur. D’autres estiment qu’il convient de placer l’IDS des deux côtés du coupe-feu. En frontal, il fournit un rempart complémentaire contre les attaques externes, et soulage les autres équipements de sécurité. Derrière le coupe-feu, il permet de contrôler certains tunnels qui transitent par le coupe-feu. Ajoutons que cela renseigne sur la manière dont fonctionne un coupe-feu. Certains IDS du marché permettent d’ailleurs de le reconfigurer à la volée. D’une manière générale, on le place là où il y a des données sensibles à protéger.Finalement, les principales problématiques pour les entreprises tiennent en ces quelques points : fausses alertes, montée en charge, distributions des ” agents de surveillance ” dans les réseaux commutés, et consolidation des informations. Pour soulager les IDS, certains éditeurs, à l’instar d’ISS, font appel à une technologie hybride présente dans son produit, Real Secure Server Sensor 5.5. L’ensemble des cartes réseaux d’un serveur et le bind IP sont surveillés. Pour faire face aux hackers, c’est une panoplie d’outils qui va être mise en ?”uvre. Ainsi, dans une DMZ (zone démilitarisée), un outil d’évaluation des vulnérabilités dressera l’état des lieux.En sécurisant les services, en appliquant les patches et les fixes nécessaires, on peut réduire le champ d’analyse de l’IDS à base de signatures. Il se montrera donc plus performant. C’est l’une des réponses d’ISS à Mier Communications, qui l’avait malmené lors d’un test de montée en charge. Autrement dit, plutôt que de demander à un IDS d’analyser un segment avec sa base complète de signatures, on va lui supprimer les signatures qui ne correspondent pas au cas de figure du fait des correctifs logiciels qui ont été appliqués. Pour les éditeurs, l’intelligence mise dans leurs produits consiste à ne sélectionner que les paquets IP ayant des implications pour la sécurité. Alerter, c’est bien mais que va-t-on faire de l’alerte ? Un point qu’il faut prendre en considération dans le cadre d’une politique globale de sécurité.

Profiter des trous dans l’horodatage des logs

Il convient d’avoir une vue précise des connexions légitimes. Si on n’a pas la moindre idée du trafic légitime, il sera très difficile de détecter un trafic illégitime. Les pirates essaient de faire disparaître les traces de leurs passages et de modifier certains fichiers logs. Toutefois, malgré l’aide d’outils permettant d’automatiser diverses tâches, les pirates ne peuvent éviter certains ” trous ” dans l’horodatage des logs. Un examen attentif de multiples attaques permettra à un défenseur de faire face à une éventuelle intrusion. Savoir qu’on a été piraté est déjà un point positif. Si la perfection n’est pas de ce monde, une approche globale de la sécurité reste, néanmoins, le plus sûr moyen d’éviter bon nombre d’ennuis.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Olivier Ménager