Battre les pirates à la chasse aux bogues

les pirates

Crédit : Pixabay/CC0 Domaine public

Une nouvelle collaboration innovante entre le laboratoire HexHive de l’EPFL et Oracle a développé une technologie automatisée de grande envergure dans la bataille en cours entre les responsables de la sécurité informatique et les attaquants, dans l’espoir de trouver des bogues avant les pirates.

Le 9 décembre 2021, le monde de la sécurité informatique est entré en état de choc. Avant même que ses développeurs ne le sachent, l’application log4j, qui fait partie de la suite Apache utilisée sur la plupart des serveurs Web, était exploitée par des pirates, leur permettant de prendre le contrôle de serveurs et de centres de données partout dans le monde.

Le Wall Street Journal a rapporté une nouvelle que personne ne voulait entendre : “Des responsables américains disent que des centaines de millions d’appareils sont menacés. Les pirates pourraient utiliser le bogue pour voler des données, installer des logiciels malveillants ou prendre le contrôle.”

93 % des services cloud mondiaux concernés

Une estimation a indiqué que la vulnérabilité affectait 93 % des environnements cloud d’entreprise. A l’EPFL, tous les administrateurs informatiques ont reçu des instructions pour patcher immédiatement leur logiciel serveur. Même Oracle Corporation, leader mondial de la sécurité de l’information, a dû lancer un appel de détresse : “En raison de la gravité de cette vulnérabilité et de la publication de code d’exploitation sur différents sites, Oracle recommande fortement aux clients d’appliquer les mises à jour fournies par notre Security Alert dès dès que possible.”

Parmi les victimes du bogue log4j figuraient le ministère belge de la Défense, le National Health Service du Royaume-Uni et une gamme de plateformes de trading financier. Alors, qu’ont fait des entreprises comme Oracle pour essayer d’empêcher qu’un incident comme celui-ci ne se reproduise ?

En fait, Oracle avait déjà travaillé contre ce type de vulnérabilité avant l’épidémie, notamment en collaboration avec le professeur Mathias Payer du laboratoire HexHive de l’EPFL.

“Nous avions déjà couvert des types d’analyse de programme similaires et avions travaillé sur la sécurité du cloud dans le cadre de l’EcoCloud Center de l’EPFL”, explique Payer, “mais nous n’avions pas abordé des bogues comme celui-ci. Ensuite, nous avons travaillé avec Oracle Labs qui a fourni un financement via un cadeau. François Gauthier et Kostyantyn Vorobyov, deux chercheurs d’Oracle, nous ont présenté les problèmes techniques complexes auxquels ils étaient confrontés et nous avons travaillé ensemble pour développer une plateforme permettant de découvrir ce genre de vulnérabilités.”

“Les gens tentent de trouver et d’exploiter les vulnérabilités du code serveur, y compris celui d’Oracle, depuis des années, soit dans l’intention d’obtenir une sorte d’avantage direct, soit pour gagner de l’argent en soumettant des rapports de bogues. Dans tous les cas, il s’agit d’attaques manuelles dédiées. Dans ces attaques manuelles, l’analyste analyse en profondeur le code source de la cible, puis élabore minutieusement son attaque. Ce que nous avons développé est un mécanisme qui automatise ce processus et permet à Oracle de devancer les attaquants », a-t-il poursuivi.

Huit coups en avant, comme un grand maître d’échecs

“En plus de cela, les bogues que nous trouvons peuvent être beaucoup plus complexes que ceux que les experts trouvent manuellement. La plupart des analystes sont formés pour rechercher jusqu’à une profondeur de deux manipulations. Notre plate-forme peut effectuer une recherche jusqu’à une profondeur de jusqu’à à huit manipulations », a déclaré Payer.

La bataille entre les responsables de la sécurité informatique et les attaquants est celle où les défenseurs espèrent trouver des bugs avant les attaquants et maintenant les responsables de la sécurité ont un avantage clé lorsqu’il s’agit d’utiliser la plate-forme HexHive. “Bien que notre outil soit neutre, c’est-à-dire qu’il puisse être utilisé à la fois par les attaquants et les défenseurs, les développeurs ont un accès complet et une compréhension de leur propre code, ce qui leur donne un énorme avantage sur un pirate lorsqu’il s’agit d’interpréter les résultats. . Ils ont donc de très bonnes chances de trouver des points faibles avant l’attaquant.”

Des plans sont en cours pour mettre en place des stages pour les chercheurs d’HexHive chez Oracle Corporation, un gagnant-gagnant pour l’entreprise et l’EPFL. Oracle aura des personnes qui ont réellement développé une partie du code sur place, ce qui facilitera l’intégration de la plate-forme dans leur pipeline. En même temps, les stages offriront une grande expérience aux chercheurs de l’EPFL et le prototype d’HexHive restera open source avec des rapports de bugs tous publiés.”

Tant que la technologie de l’information existera, la bataille entre les responsables de la sécurité et les pirates fera rage. Grâce à sa collaboration avec HexHive, Oracle pourra garder une longueur d’avance sur l’agresseur : plus vite, plus haut, plus fort.


Oracle affirme que les lecteurs de cartes de crédit Micros ont été piratés


Provided by
Ecole Polytechnique Federale de Lausanne

Citation: Beating hackers at bug hunting (14 juillet 2022) récupéré le 14 juillet 2022 sur https://techxplore.com/news/2022-07-hackers-bug.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.