La tolérance aux intrusions profite de la virtualisation

Par 18 juin 2008

Mieux vaut s'équiper d'un parapluie que d'espérer changer un climat pluvieux. C'est un peu la philosophie derrière le concept de tolérance aux intrusions. Ce type de technologie sera bientôt commercialisé.

Jusqu’à présent, la principale parade contre les tentatives d’infiltration des systèmes informatiques a été la lutte frontale : les systèmes de prévention d’intrusion, tels les pare-feu, visent à bloquer le trafic non autorisé, tandis que les systèmes de détection d’intrusion (IDS) identifient les activités suspectes. Face à des attaques en constante évolution et de plus en plus élaborées, le concept de tolérance aux intrusions prend toute son importance. Il s’agit d’une approche proactive qui ne nécessite pas d’identifier les attaques. On considère au contraire que tout serveur connecté à Internet est susceptible d’être compromis. Arun Sood, professeur d’informatique et directeur du laboratoire d’informatique interdisciplinaire à l’Université George Mason en Virginie, a conçu avec son équipe la technologie SCIT (Self Cleansing Intrusion Tolerance, ou tolérance aux intrusions avec auto-nettoyage).
Ramener le serveur à un état "propre" à intervalles rapprochés
SCIT limite l’exposition au risque, c'est-à-dire le temps de connexion en continu d’un serveur à Internet. En tirant parti de techniques de virtualisation, la technologie duplique le serveur afin de restaurer une image "propre" à des intervalles de moins d’une minute. L’usage de SCIT est focalisé sur les serveurs typiquement placés en zone démilitarisée, tels que serveurs web, DNS (noms de domaines), ou SSO (Single Sign On, ou authentification unique). Peu importe que les autres serveurs du réseau de l’entreprise n’en soient pas équipés, puisque la tolérance aux intrusions vise à entraver les attaques en environnement hostile. Apportant une couche de protection supplémentaire, SCIT est très complémentaire des technologies de prévention et de détection d’intrusion. Par exemple, pour éviter de générer une hausse d’activité suspecte qui ne manquerait pas d’être détectée par les systèmes IDS, les attaquants ont tendance à récupérer les données à très bas débit. En limitant à l’extrême leur fenêtre d’action, la technologie SCIT minimise grandement la quantité de données pouvant être subtilisée.
Une technologie en passe d'être commercialisée
Il ne s’agit pas seulement de travaux de recherche. Arun Sood vient de créer la société SCIT Labs pour commercialiser cette technologie. Pourquoi le faire aujourd’hui, quand des équipes de chercheurs se penchent sur le sujet de la tolérance aux intrusions depuis une demi-douzaine d’années? "La réponse tient en un mot : virtualisation" répond Arun Sood. "Quand nous avons conçu le système, nombreux étaient ceux qui étaient préoccupés par les coûts impliqués, les serveurs redondants, et les temps d’exposition que nous serions capables d’atteindre. La virtualisation élimine tout simplement le besoin de serveurs supplémentaires, et les temps d’exposition sont plus faibles", explique Arun Sood. Un site beta est opérationnel depuis neuf mois. "Nous travaillons par ailleurs à un projet pilote avec Northrop Grumman (NDLR : géant américain de l’aéronautique et de la défense)", indique Arun Sood. Le premier produit commercialisé par SCIT Labs sera un logiciel.La société pourrait aussi licencier la technologie ou la vendre sous la forme d’un matériel dédié (appliance).

Mentions légales © L’Atelier BNP Paribas