Sqreen veut simplifier la sécurité des applications Web
La jeune pousse française mise sur l’instrumentation des applications pour détecter vulnérabilités et tentatives d’attaque.
Démocratiser la sécurité applicative. C’est l’ambition affichée de Pierre Betouin, l’un des fondateurs de Sqreen.io, une jeune pousse française qui a levé 2,3 M$ au printemps. Lors d’un échange avec la rédaction, à l’automne dernier, il déplorait à quel point il peut être difficile de sécuriser des applications : « si vous n’avez pas les compétences en interne ou les moyens de faire réaliser des tests de vulnérabilité, vous êtes face au néant ; il n’y a aucune solution pour apporter de la sécurité à vos produits ». Et encore faut-il pouvoir faire réaliser de tels tests à une fréquence cohérente avec le cycle de vie, toujours plus court, des applications.
Si une autre start-up Hexagonale, SecludIT, cherche à apporter une réponse à cette question, l’ambition de Sqreen est d’apprendre aux applications l’auto-défense. Son produit s’appuie pour cela sur un agent qui assure l’instrumentation de l’application, un peu à la manière d’un outil de débuggage, avec « des points d’ancrage un peu partout ». C’est donc l’exécution de l’application qui est surveillée en continu.
Les tentatives d’attaque utilisant des vulnérabilités connues peuvent être bloquées en temps réel. Les modèles de traitement sur lesquels s’appuie la couche de contre-mesure de Sqreen recouvre l’ensemble des vulnérabilités référencées par l’OWASP – injections SQL, XSS, etc. L’agent assure pour cela au passage un filtrage des données fournies en entrée à l’application, voire leur nettoyage. D’une certaine manière, l’approche de Sqreen rappelle celle de Prevoty. Mais ce dernier couvre un périmètre plus limité : il se contente de surveiller les appels aux bases de données.
Les activités suspectes font l’objet d’une notification, assortie de détails de remédiation et d’une trace d’audit complète. De quoi potentiellement compléter ce que peut offrir un pare-feu applicatif. Pour autant, Pierre Betouin souligne une spécificité de Sqreen : « en étant dans l’application, on est capable de diagnostiquer ce qui se passe au plus près ». Et d’aller plus loin que ce que peuvent offrir des solutions basées sur le réseau, ou plus simplement : pas besoin, par exemple, de chercher à déchiffrer les contenus échangés par l’application ; puisqu’ils lui sont accessibles directement en clair, ils peuvent être traités par l’agent.
Ce dernier renvoie régulièrement des informations aux serveurs de Sqreen, ne serait-ce que pour alimenter le tableau de bord mis à disposition des développeurs/utilisateurs. Pour autant, l’agent peut fonctionner tout en étant déconnecté de ces serveurs.
Sqreen propose ses services à partir de 49 $ par mois pour un hôte de production. Ils peuvent être testés gratuitement durant deux semaines. Outre les applications développées avec Ruby, la jeune pousse supporte désormais celles utilisant Python et Node.js.