Vaincre les hackers dans la recherche de bugs
Le 9 décembre 2021, le secteur de la sécurité informatique est entré en état de choc. Avant même que ses développeuses et développeurs ne s’en rendent compte, l’application log4j – faisant partie de la suite Apache utilisée sur la plupart des serveurs web – est exploitée par les hackers, permettant à ces derniers de prendre le contrôle des serveurs et des centres de données partout dans le monde.
Le Wall Street Journal a rapporté des faits que personne ne voulait entendre: «Les autorités américaines déclarent que des centaines de millions d’appareils sont menacés. Les hackers pourraient se servir du bug pour dérober des données, installer des logiciels malveillants ou prendre le contrôle des systèmes.»
93 % des services cloud de la planète sont concernés
Selon des estimations, 93 % des environnements cloud professionnels sont concernés par cette faille. À l’EPFL, l’ensemble des administratrices et administrateurs informatiques a reçu des instructions pour corriger immédiatement leur logiciel de serveur. Même l’entreprise Oracle, leader mondial en sécurité de l’information, a dû envoyer un appel de détresse: «En raison de la gravité de cette faille et de la publication du code d’exploitation sur divers sites, Oracle recommande fortement à ses clientes et clients de procéder dès que possible aux mises à jour fournies par notre Security Alert.»
Parmi les victimes du bug log4j, le ministère de la Défense belge, le National Health Service du Royaume-Uni et un ensemble de plateformes de trading financier. Qu’ont donc fait les entreprises comme Oracle pour éviter qu’un tel incident ne se reproduise?
En fait, Oracle travaillait déjà sur ce type de faille avant cette attaque informatique, notamment en collaborant avec le professeur Mathias Payer du Laboratoire HexHive de l’EPFL.
«Nous avions déjà traité des types similaires d’analyses de programme, et travaillé sur la sécurité cloud au centre EcoCloud de l’EPFL», explique Mathias Payer, «mais nous n’avions jamais eu affaire à de tels bugs. Nous avons alors été amenés à collaborer avec Oracle Labs qui a apporté un financement via un don. François Gauthier et Kostyantyn Vorobyov, deux chercheurs chez Oracle, nous ont expliqué les problèmes techniques complexes qu’ils rencontraient, et nous avons travaillé ensemble pour mettre au point une plateforme de recherche sur ces types de failles.»
«Depuis des années, des personnes tentent de rechercher et d’exploiter les failles dans le code de serveur, y compris celui d’Oracle, soit pour obtenir une sorte d’avantage direct, soit pour gagner de l’argent en envoyant des rapports de bug. Dans tous les cas, ce sont des attaques manuelles ciblées. Dans ces attaques manuelles, l’analyste étudie en détail le code source de la cible, puis anticipe minutieusement l’attaque des hackers. Nous avons développé un mécanisme qui automatise ce processus et permet à Oracle d’avoir une longueur d’avance sur les hackers», poursuit-il.
Huit coups d’avance comme un grand maître des échecs
«De plus, les bugs que nous trouvons peuvent être beaucoup plus complexes que ceux détectés manuellement par les spécialistes. La plupart des analystes sont formés pour rechercher à une profondeur de deux manipulations. Notre plateforme peut faire une recherche à une profondeur de huit manipulations», précise Mathias Payer.
La bataille entre les responsables de la sécurité informatique et les pirates informatiques est celle où les défenseurs espèrent trouver les bugs avant les hackers. Aujourd’hui, les responsables de la sécurité ont un avantage majeur avec la plateforme du Laboratoire HexHive. «Bien que notre outil soit neutre, c’est-à-dire qu’il peut être utilisé par les pirates informatiques et par les défenseurs, les développeuses et développeurs ont un accès total à leur propre code, et le maîtrisent entièrement, ce qui leur donne un immense avantage par rapport à un hacker quand il s’agit d’interpréter les résultats. Ils ont donc de très bonnes chances de trouver les points faibles avant le pirate informatique.»
Des projets de stages sont en cours pour les chercheuses et chercheurs du Laboratoire HexHive chez Oracle, une situation gagnant-gagnant pour l’entreprise et pour l’EPFL. Oracle disposera de personnes qui ont développé une partie du code sur site, ce qui facilitera l’intégration de la plateforme dans leur pipeline. Parallèlement, les stages apporteront une formidable expérience aux chercheuses et chercheurs de l’EPFL, et le prototype du HexHive restera open source avec des rapports de bug tous publiés.
Tant que les technologies de l’information existeront, la bataille entre les responsables de la sécurité et les hackers continuera à faire rage. Grâce à sa collaboration avec HexHive, Oracle pourra conserver une longueur d’avance sur l’agresseur.