Contrast Security veut protéger les applications Web tout au long de leur cycle de vie
La jeune pousse fondée en 2014 mise sur l’instrumentation en profondeur du code source pour aider les développeurs à identifier et corriger rapidement les vulnérabilités de leur applications Web.
Ce sont deux vétérans de la sécurité applicative qui sont aux commandes de Contrast Security. Jeff Williams et Arshan Dabirshiaghi ont fondé cette jeune pousse début 2014. Ils se connaissaient déjà bien : ils travaillaient ensemble chez Aspect Security depuis 2005, une autre entreprise spécialisée dans la sécurité applicative… fondée en 2002 par Jeff Williams. Ce dernier a participé au pilotage de l’OWASP durant 9 ans.
En fait, Contrast Security se présente comme une spin-off d’Aspect Security : celle-ci lancé la plateforme de Contrast comme produit déployable en local début 2013. Et Aspect Security est passé dans le giron de EY début 2018. Quelques mois plus tard, Contrast Security s’attaquait au marché français.
Dans l’Hexagone, c’est Chardy Ndiki qui est chargé de la direction des ventes de Contrast Security. Rencontré à l’automne dernier, il explique que les outils de l’éditeur visent à soulager les développeurs : « historiquement, avec les analyseurs de code, ils étaient noyés sous les notifications, au point de passer plus de temps à en effectuer le triage qu’à corriger les vulnérabilités identifiées ». L’explication « d’une faible adoption ». A l’inverse, les outils de Contrast doivent permettre de repérer et traiter les vulnérabilités de manière continue et interactive, directement au sein des outils de développement, et surtout, « tout au long du cycle de vie de l’application ».
Pour cela, explique Chardy Ndiki, Contrast Àssess, l’un des trois outils de la jeune pousse, s’appuie sur l’instrumentation afin de « placer des capteurs dans l’applications pour suivre le flux en temps réel, sans l’émuler ». De quoi « permettre de dire, lorsqu’une vulnérabilité est trouvée, d’où elle vient, comment la reproduire, et comment la corriger ». De quoi rappeler l’approche du français Sqreen ou encore de Prevoty, racheté par Imperva durant l’été 2018.
Le recours à l’instrumentation se traduit par une légère perte de performances durant la phase de développement, reconnaît Chardy Ndiki, évoquant de l’ordre de 3 à 4 % de ralentissement au lancement. Mais après, en phase de « recette ou de production, l’instrumentation est réduite et la surcharge devient imperceptible ». Mais il faut tout de même compter une légère surconsommation de mémoire vive.
Mais ce prix à payer en vaut peut-être la peine, l’instrumentation permet effectivement de couvrir l’application dans son ensemble, jusqu’aux bibliothèques auxquelles elle fait appel – de quoi même potentiellement découvrir des vulnérabilités inédites. La plateforme supporte Java, .Net, Python, Ruby, et NodeJS, mais d’autres langages figurent dans la feuille de route de la jeune pousse.
Mais à cela s’ajoute Contrast OSS, qui se charge de regarder de plus de près les composants tiers au moins importé dans l’applications – même s’ils ne sont pas utilisés. Là, il s’agit de les comparer avec une base de connaissance pour, par exemple, vérifier que les version utilisées sont bien à jour et ne contiennent pas de vulnérabilités connues.
Et puis vient l’outil Contrast Protect, en charge de la protection de l’application durant son exécution (RASP, Runtime Application Self Protection) – une sorte de patching virtuel qui doit permettre de protéger l’application contre l’exploitation d’une vulnérabilité découverte « en en attendant la correction à l’occasion du prochain sprint ». L’outil peut remonter des événements à Splunk et étendre la journalisation sans modification du code.
Une édition communautaire gratuite de la plateforme complète de Contrast est disponible gratuitement.