Snort est un monument. Logiciel libre à 100 %, il concurrence les outils de détection d'intrusion commerciaux. Mieux, le format ouvert de ses signatures est devenu un standard de fait, que les IDS commerciaux commencent à intégrer : " Nos clients souhaitaient écrire leurs propres signatures. Nous avons donc ajouté un module qui leur permet d'écrire ou de récupérer des signatures au format Snort et de les utiliser dans Real Secure " , avoue Axel Falck, directeur technique d'ISS France. Même son de cloche pour l'IDS Dragon d'Enterasys Networks, qui s'ouvre aux signatures de Snort, mais qui est également compatible avec des poids lourds du logiciel libre tels que la base de données MySQL ou le scanner de vulnérabilités Nessus.

Cette ouverture propre aux logiciels libres a fait le succès de Snort dès sa création en 1998. À cette époque, tous les IDS commerciaux continuaient à cacher le contenu de leurs signatures (la séquence précise que recherche le logiciel pour identifier une attaque) et obligeaient donc leurs clients à dépendre d'eux pour en avoir de nouvelles. À l'opposé, le format ouvert et documenté de Snort - et des autres, tels Shadow et Prelude - permet d'écrire les règles de son choix. Une forte communauté s'est ainsi développée sur Internet et, à chaque nouvelle attaque, les signatures libres sont disponibles très rapidement. " Snort fait généralement jeu égal avec la réactivité des éditeurs commerciaux " , constate Thierry Evangelista, consultant pour Enterasys Networks.

Autre avantage, lié cette fois au coût nul des licences : il est possible de déployer des sondes Snort partout sur les réseaux, sans se soucier du budget logiciel. Et côté matériel, un simple PC Intel fait l'affaire.Cette abondance, hélas, peut nuire. Car Snort est délicat à installer, à configurer et à exploiter au quotidien. " Sur le terrain, on ne rencontre Snort que dans le milieu universitaire. Pour le reste, les entreprises préfèrent se tourner vers des produits commerciaux " , observe Thierry Evangelista.

Ce manque d'attrait viendrait de ses faibles performances à haut débit. " Snort est parfait jusqu'à 20 Mbit/s. Mais il ne tient plus la route sur des réseaux 10/100, des dorsales ou dans des datacenters " , poursuit Thierry Evangelista, conforté dans son analyse par Serge Kerbrat, directeur général France d'ISS : " Les produits open source sont de bons produits, mais ils montrent leurs limites lorsqu'il s'agit de les déployer dans un réseau étendu (WAN). " Même hors du WAN, exploiter les alertes et autres journaux de Snort peut se révéler délicat. Des interfaces existent bien, tel Acid, qui permettent de générer des rapports à partir des alertes de Snort et de stocker les événements dans une base MySQL. Hélas, Acid lui-même est une horreur à installer... On tourne en rond.Ainsi, en dépit de ses formidables qualités, Snort est dans l'impasse face à l'entreprise. La récente certification officielle de Snort par ICSA Labs viendra peut-être lui ouvrir les portes de l'entreprise, enfin rassurée. Mais les performances resteront, quant à elles, identiques : Snort a été certifié pour les réseaux 10 Mbit/s.