maxkabakov - Fotolia
Comment Uncovery peut aider à mieux piloter votre surface exposée aux attaques
Créé par trois anciens de la jeune pousse Weakspot, cet outil vise à aider à construire une cartographie poussée et régulièrement mise à jour de la surface exposée sur Internet par son entreprise.
L’aventure d’Uncovery est d’abord celle de Weakspot. Souvenez-vous : fondée à l’automne 2018, la jeune pousse voulait, à partir d’une adresse e-mail ou d’un nom de domaine, et au travers d’une interface Web simplissime, collecter et analyser un maximum de données accessibles, en sources ouvertes, sur l’organisation concernée afin de faire ressortir les vecteurs d’attaque qu’elle exposait potentiellement, à son insu.
Mais voilà, Weakspot avait été créé avec un groupe d’experts en assurance qui s’intéressait à un outil aidant les entreprises à réduire leur exposition au risque cyber en identifiant rapidement les points les simples à exploiter par d’éventuels attaquants. Le groupe en question, GM Consultant, a été racheté par Stelliant en mai 2019, via sa filiale TGS – et Weakspot au passage. La pandémie est arrivée et le nouvel actionnaire majoritaire de Weakspot a fait le choix de se désengager du projet. Liquider la société s’est imposé comme solution la plus simple.
Mais Adrien Petit, aujourd’hui PDG d’Uncovery, Aurélien Boit, directeur technique, et Evine Juhel, directrice clients, ont décidé de relancer une aventure à trois.
L’occasion d’un renouveau
Lors de la liquidation, la propriété intellectuelle de Weakspot a été vendue. Et les trois créateurs d’Uncovery se sont positionnés comme acheteurs – suivant au passage un conseil de Stelliant. Mais pas pour l’utiliser : « il s’agissait de prévenir d’éventuels problèmes ultérieurs autour d’elle », précise Aurélien Boit. Car, explique-t-il, « nous voulions partir sur un produit différent, à partir d’une feuille blanche, en profitant de notre expérience pour nous engager d’emblée sur des choix techniques plus appropriés ».
Aurélien BoitDirecteur technique, Uncovery
L’approche d’Uncovery est ainsi différente de celle de Weakspot : « il ne s’agit pas d’analyser le périmètre exposé pour dire ce qui va et ce qui ne va pas », explique Aurélien Boit. « Nous apportons à nos clients une visibilité sur tout ce qu’ils exposent et tous les outils nécessaires pour travailler sur cette surface exposée ». Et c’est déjà beaucoup.
Car l’expérience de Weakspot a permis de comprendre que la plupart des organisations ne savent généralement pas vraiment ce qu’ils exposent : « nous avons compris que nous avions une carte à jouer en aidant le client à identifier tout son périmètre en lui demandant le moins d’informations possible ».
Pour une connaissance fine de la surface
Uncovery assure donc une découverte automatique étendue, et propose de quoi compléter manuellement – ou supprimer des actifs qui auraient été identifiés, par erreur, comme potentiellement liés au client concerné. À cela s’ajoute la possibilité de créer des règles visant à générer des alertes lorsque le périmètre considéré change.
Si l’analyse du risque est absente du périmètre fonctionnel d’Uncovery, c’est tout simplement « parce qu’il y a déjà beaucoup de solutions pour cela sur le marché ». Et nombre d’entreprises en sont déjà équipées ; celles qui le sont n’ont pas nécessairement envie d’en changer. À charge, donc, pour Uncovery de contribuer à leur alimentation.
Lui-même est capable de faire appel aux API d’outils et de services tiers pour assurer la découverte : « nous nous sommes penchés sur tout ce que peut utiliser et faire un attaquant afin de conduire sa phase de reconnaissance. Chaque étape de cette phase a été programmée dans un microservice », précise Aurélien Boit.
Un ordonnanceur se charge de chacun d’eux. Cette architecture offre à Uncovery l’élasticité nécessaire à traiter d’importants volumes de données, et la flexibilité requise pour assurer son évolutivité. Uncovery souscrit aux sources de données susceptibles de fournir l’information nécessaire à la cartographie de la surface exposée et assure le maintien des interfaces. À ce stade, la liste de sources utilisées n’est pas publique, mais une réflexion est en cours à ce sujet.
Des cas d’usage variés
Uncovery peut aller très loin toutefois dans l’étude des hôtes, interrogeant par exemple tous les ports TCP possibles de chaque système découvert. De quoi constituer un profil complet de chacun. Et cette cartographie est mise à jour quotidiennement.
Les cas d’usage peuvent d’ailleurs recouvrer autant la sécurité que la conformité. Aurélien Boit explique que des entreprises ont utilisé Uncovery pour identifier tous leurs systèmes utilisant Google Analytics, afin de s’en dégager. D’autres s’en sont servi pour déterminer leur périmètre d’intervention pour traiter la vulnérabilité dite Log4Shell, en se concentrant sur leurs services Web basés sur des technologies Java.