Innovation cybersécurité et R&D

R&D

recherche-et-developpement

Chez AlgoSecure, nous accordons une importance significative à la recherche et à l’innovation.

Cela est notamment possible grâce à nos Thinking Days. Ce sont 10 jours par an et par salarié qui sont librement consacrés à la formation et au développement de projets parallèles aux missions principales de chacun.

Nous finançons également deux thèses Cifre, avec pour objectif de faire avancer la connaissance générale sur les nouvelles technologies, telles que l’IoT (Internet of Things).

Une thèse Cifre sur la sécurité de l’IoT

À travers ce projet confié à Jonathan, nous cherchons à évaluer la sécurité des réseaux d’objets connectés, au moyen de tests d’intrusion. Après une recherche bibliographique, nous en avons conclu que les outils et méthodologies actuels ne permettent pas de réaliser efficacement des tests d'intrusion sur des réseaux d'objets connectés.

Plutôt que de redéfinir entièrement une méthodologie propre à l'IoT, nous nous focalisons sur les étapes qui semblent différentes selon le contexte (IT ou IoT). Il s’agit des étapes de reconnaissance et d'analyse des vulnérabilités.

L'objectif du projet est de proposer un outil d'assistance aux différentes étapes d'un test d'intrusion adapté au réseau IoT. Pour cela, nous travaillons sur une modélisation et une méthodologie implantées au sein d'une plateforme pour réaliser l’évaluation assistée de la sécurité d’un éco-système IoT. Plusieurs articles de notre blog présenteront ce projet et ses premiers avancements de façon plus détaillée.

Le statut juridique des tests d'intrusion

La recherche et l'avancée vers plus de sécurisation revêtent une importance significative pour AlgoSecure, c'est pourquoi nous finançons les travaux de notre spécialiste en droit de la cybersécurité. Elle prépare depuis mars 2019 une thèse de doctorat, en partenariat avec le Centre de Recherche Juridique de Grenoble et grâce au dispositif CIFRE de l'ANRT.

Le domaine de la sécurité informatique est, nous nous en sommes tous aperçu, de plus en plus normé. Il ne s'agit plus seulement de compétences techniques et managériales en jeu, mais également et de façon croissante, de compétences juridiques variées : normes techniques (comme la norme ISO 27001), RGPD, droit pénal, droit public, assurances cyber, sécurité du cloud... Tout cela nécessite d'incorporer le droit de façon dynamique et harmonieuse dans le centre de compétences cybersécurité. Nous avons dans un premier temps fait le choix d'internaliser ces compétences juridiques au sein de notre équipe, avec notre juriste salariée à plein temps. Nous avons également décidé de soutenir ses travaux de doctorat en droit de la cybersécurité pour faire progresser ce domaine d'expertise à la croisée des chemins techniques et juridiques. Préparer une thèse de doctorat au sein d'une entreprise spécialisée en cybersécurité permet de cumuler les avantages de la démarche académique et des ressources de terrain, pour une avancée plus significative de l'état de l'art en la matière.

Cette thèse a pour sujet "La prestation de service de hacking, entre licéité et illicéité". Son objectif est de déterminer les conditions de droit dans lesquelles les activités de tests d'intrusion et opérations red team peuvent perdurer de façon licite. Les travaux en cours étudient pour l'instant en détail tous les aspects de droit pénal entourant les infractions d'atteinte à un système d'information (intrusion informatique, maintien frauduleux, atteinte à l'intégrité des données ou bien du fonctionnement du système, vol de données...). Ce n'est qu'en maîtrisant parfaitement les éléments constituant ces infractions qu'il sera possible d'y comparer les prestations de tests d'intrusion externes ou internes, ou même les opérations red team. Cela permettra alors de détecter les zones grises : celles qui ne sont pas juridiquement délimitées, ou qui le sont de façon contradictoire.

L'étape suivante consistera en la recherche de remédiations qui permettraient d'accorder le droit pénal et le droit des contrats dans ce contexte. Ces deux branches du droit ne poursuivant pas initialement les mêmes objectifs, elles répondent à des logiques différentes. La maîtrise du risque juridique dans un un domaine économique où les deux se côtoient si étroitement pourra donc se révéler plus délicate.

Ces recherches sont également, à titre subsidiaire et accessoire, l'occasion d'étudier plus largement le risque pénal du numérique. En effet, au-delà de la problématique académique mise en exergue par la préparation de cette thèse de doctorat, de nombreux aspects des prestations de tests d'intrusion et de red team soulèvent des questions de droit. La collaboration active entre notre spécialiste en droit de la cybersécurité et notre équipe de pentesteurs permet d'apporter des éléments de réponses à ces questions.

L'expertise interdisciplinaire en résultant est exploitée pour enrichir notre approche des tests d'intrusion et les rapports associés.

Le Bonware

Le Bonware est une plate-forme botnet C&C, développée par AlgoSecure à des fins pédagogiques. Cet outil simule de la façon la plus réaliste possible, sans porter atteinte au SI visé, une attaque informatique venant d’un attaquant disposant d’un botnet.

Pollenisator

Pollenisator est un outil d'agrégation de données permettant d’analyser les sorties d’outils utilisés dans le cadre de tests d’intrusion. Il permet d'automatiser les différentes tâches de reconnaissance, en utilisant les outils classiques déjà existants ou des outils et scripts développés en interne.

Pollenisator a été développé de manière à répondre aux différents cas d'utilisations dont l'équipe d'AlgoSecure avait besoin lors de tests d'intrusions : regroupement des informations récoltées, définition d'un périmètre et d'une plage horaire pour un test d'intrusion, et partage de la prise de notes.

Le paramétrage des outils externes est personnalisable par l'équipe de pentesteurs. Les auditeurs pré-remplissent les lignes de commande des outils, leur niveau d'importance, ainsi que la plage horaire de lancement. Puis Pollenisator complètera la ligne de commande avec les paramètres spécifiques de la cible (port, service, version...) et démarrera le scan lorsque possible.

À la fin du lancement de l'outil, les résultats sont ensuite agrégés au sein de la base de données afin de fournir davantage d'informations pour le test d'intrusion. Les auditeurs peuvent ensuite trier, rechercher et annoter les informations pertinentes de la base de données, par exemple :

  • Quelles IP ont un port 22 ouvert ? Quel est le nom et la version du service sur ce port ?
  • Quelles sont les services qui ont été annotés "à investiguer" par les auditeurs ?

Enfin, l'outil permet à notre équipe de remplir une liste de défauts et de vulnérabilités trouvés lors du test d'intrusions et de les prioriser. Avec Pollenisator, nous pouvons ensuite générer un rapport d'audit se basant sur un modèle Word totalement personnalisable par les auditeurs.

Il s’agit d’un vrai travail d’équipe, créé par nos AlgoSécurieux et prochainement rendu public, sous licence open source.

Vous avez activé l'option "Do Not Track" dans votre navigateur, nous respectons ce choix et ne suivons pas votre visite.