Lauréate du prix Start West 2005 dans la catégorie TIC (Technologies
de d'Information et des Communications), prix européen récompensant
les sociétés innovantes, la société Skyrecon Systems était déjà
soutenue par le fond d'aide à l'innovation, l'ANVAR, et par
la Délégation Générale pour l'Armement (DGA).
Spécialisée dans
la sécurité informatique avec son produit Stormshield, elle
propose une approche comportementale du traitement des codes
malveillants.
"Notre objectif vise à apporter une nouvelle génération d'applications
de sécurité. Nous avons conscience de compléter des outils existants
comme les antivirus à base de signature ou les pare-feu personnels.
Aujourd'hui, l'un des problèmes auxquels doivent faire face
les entreprises est le day zero, soit le temps entre
la découverte d'une faille et la sortie d'un patch par exemple.
Face à ce type de menace, nous avons conçu notre solution de
manière à cibler le poste de travail. Il ne s'agit pas d'un
outil de scan du réseau", affirme Philippe Honigman,
directeur général de Skyrecon.
Touchant
à trois domaines d'attaques en particulier (applications,
systèmes et réseaux), SkyRecon a développé une technologie
baptisée Sharp (System Host Adaptive Response and Protection),
fondée non plus sur une approche traditionnelle par signature
mais par des évaluations comportementales des processus. Ce
framework logiciel se place à la frontière entre le cur du
système d'exploitation et les applications elles-mêmes.
L'intérêt de cette approche est double : d'une part, en se
rapprochant du noyau système, l'antivirus peut anticiper des
attaques en déni de service ou par rootkits (lire l'article
du 19/05/2005) et, d'autre part, cette approche permet de découvrir
de nouvelles menaces par une corrélation de comportements
à risques. "La technologie ne se limite pas à cela. Nous voulions
donner la possibilité aux clients d'avoir une sécurité explicite
et administrée en même temps qu'une sécurité autonome", déclare
le P-DG de Skyrecon Systems.
| Une
analyse préalable du comportement permet d'anticiper
toute activité future anormale |
Ainsi, si le moteur bloque automatiquement certaines attaques
comme l'enregistrement des frappes claviers (keylogging),
l'administrateur de sécurité peut également définir des règles
de sécurité complémentaires sur la gestion des périphériques
de stockage externes ou la gestion des points d'accès aux
réseaux sans fil. Ces nouvelles règles donnent également de
la souplesse au fonctionnement autonome du produit.
"En général, un programme qui s'attache au processus est
un comportement anormal. Mais dans le cas type du débuggeur,
il est normal que l'application s'attache au processus en
train d'être mis au point. L'administrateur peut alors accepter
ce comportement a priori anormal", explique Philippe Honigman.
A cela s'ajoute une fonction d'analyse des comportements
d'applications. Lorsqu'un programme démarre pour la première
fois, il est possible de l'auditer pour en déterminer ces
spécificités. Cette pré-analyse servira à déterminer les variations
possibles entre le comportement initial d'un programme et
celui constaté à un moment donné, ceci afin d'interrompre
l'exécution d'un logiciel corrompu.
Coté réseau, un pare-feu a été disposé à l'intérieur de Stormshield
au niveau de la couche réseau NDIS de Windows. Ce pare-feu
se charge de scanner les paquets entrants puis bloque ou non
le trafic en fonction des comportements détectés. Fonctionnant
uniquement sur l'environnement Windows de Microsoft, la solution
ne traite pas les problèmes d'arnaques en ligne (phishing).
A court terme, l'un des objectifs de développement du produit
sera d'introduire un niveau de défense préemptif des attaques
par congestion de mémoire (buffer overflow). Aujourd'hui,
ces attaques ne peuvent être bloquées qu'une fois lancées.
Autre avenir possible, un élargissement de l'infrastructure
cible, aujourd'hui limitée à un usage du poste de travail.
"Nous étudions la possibilité du portage de notre produit
sur des applications mobiles", ajoute Philippe Honigman.
Enfin, une levée de fond en cours devrait permettre à Skyrecon
de renforcer son activité commerciale à l'étranger. Le groupe
travaille également à renforcer ses partenariats industriels
conformément à sa stratégie de vente indirecte.
|
Dossier 
