Le test d’intrusion s’automatise avec le machine learning
Un prototype de scanner de vulnérabilités s’appuie sur l’apprentissage machine pour se rapprocher du mode de pensée humain et automatiser le test d’intrusion.
La dernière édition de la conférence Nullcon, en Inde, a été l’occasion pour une start-up de présenter un prototype de scanner de vulnérabilités capable de se rapprocher du mode de pensée humain pour renouveler l’automatisation du test d’intrusion (ou penetration testing, pentesting) de sites Web.
L’équipe de CloudSek, basée à Bangalore, se concentre sur les produits susceptibles d’améliorer la sécurité des services en mode Cloud et, en particulier, sur la mise à profit du Machine Learning. Une présentation lors de la conférence Nullcon a été l’occasion, pour l’équipe, de souligner les limites des scanners de vulnérabilités traditionnels. Et cela commence par l’incapacité à comprendre les applications analysées et le langage humain.
Rahul Sasi, directeur technique et cofondateur de CloudSek, estime que le test d’intrusion de sites Web peut être difficile ne serait-ce que parce que les textes peuvent changer alors que le processus qu’ils jalonnent reste le même. Par exemple, différents sites Web peuvent utiliser les termes « sign up », « join », ou encore « let’s go » pour indiquer un processus d’enregistrement d’utilisateur. Et l’outil de pentesting doit également être capable de faire la différence en une page d’enregistrement, une page d’ouverture de session, ou encore une page d’aide au recouvrement d’un mot de passe perdu.
Sasi estime avoir trouvé une solution à ces problèmes. Lors de sa présentation, il a fait la démonstration des compétences de test d’intrusion de son prototype en prenant au hasard au site Web parmi ceux suggérés par l’audience, et où il a créé un compte d’utilisateur avant d’analyser les pages dédiées à la modification de profil.
Pour Sasi, un tel projet représente un « défi considérable » justifiant en lui-même le recours à l’open source… parce qu’il représente un travail bien plus important que ce qu’une équipe de six personnes peut assumer, compte tenu de l’utilisateur de l’apprentissage machine et du traitement du langage naturel.
Pour Konstantinos Karagiannis, directeur technique de la practice de conseil en sécurité de BT America, CloudSek propose une approche intéressante et innovante : « leur système utilise des heuristiques pour comprendre les applications et sites Web et interagir avec eux. Il ne procède à aucune analyse de code binaire. Il s’agit de voir ce qui se passe lorsque l’on fournit certains types d’entrées au site ».
Pour comme le reconnaît Sasi, le prototype doit encore considérablement évoluer : « j’observe les mêmes échecs que ceux que rencontrent les scanners actuels en découvrant des sites Web pour lesquels ils ne sont pas préparés ». Mais Karagiannis estime toutefois que le travail de CloudSek est très prometteur : le niveau d’automatisation qu’il permet d’envisager d’atteindre « serait très utile pour l’analyse de sites Web. Les scanners actuels souffrent de nombreux faux positifs et peinent à suivre les fonctions à étapes multiples qui impliquent de comprendre le processus auquel elles se rapportent et supposent de faire des choix logiques. La plupart des scanners automatiser passent tout simplement à côté de pans entiers des applications Web ».
Adapté de l’anglais.