X
Stéphane Larcher / mardi 9 avril 2019 / Thèmes: Hexatrust

6cure : le hérisson de l’Internet

Au coeur d'Hexatrust (7)

A quelques encablures de la côte de Nacre où se situent notamment les plages du débarquement Sword et Juno, se niche une jeune entreprise encore petite par la taille mais déjà grande par son potentiel.

L’aventure a commencé dans un laboratoire d’Orange situé à Caen. Fabrice Clerc dirige une équipe de recherche sur des technologies et des produits destinés à combattre les attaques par déni de service distribués (DDoS, Distributed Denial of Service). C’est à cette période qu’en plus de sa passion pour les mathématiques et l’informatique qui l’a conduit jusqu’à un DEA de cryptologie, il découvre son goût pour le management des hommes. « Les mystères de la gestion des hommes sont aussi insondables que les mystères de la cryptologie et cela m’a rapidement passionné », dit-il. « C’était une équipe de très haut niveau avec plusieurs chercheurs émérites et je me suis attaché à mettre en place des méthodes de management insistant sur la qualité de vie au travail, un terme assez nouveau à l’époque ».

De fait lorsque l’on pénètre dans les locaux de 6cure, contigus à une société de contrôle technique automobile, dans un environnement atypique, on sent immédiatement une atmosphère paisible et joyeuse. La banque hôtesse et l’accueil ont été transformés en cuisine/salle de déjeuner et tout le monde se retrouve pour déjeuner et plaisanter ensemble. On est loin de l’esprit start-up survolté avec Baby-foot obligatoire, sièges big fat et autres accessoires « hype », indispensables à toute entreprise souhaitant atteindre « la branchitude ». Ne seraient-ce les collections Marvel et StarWars de Vincent Boissée, (l’un des co-fondateurs et directeur du développement) disséminées dans les locaux, seul le hérisson, mascotte de l’entreprise, figure un peu partout. Toute entreprise technologique digne de ce nom dispose d’un animal totem.

Mais pourquoi donc le hérisson ? L’explication est fournie par le directeur général et technique : « le hérisson est un animal très gentil. On peut même le caresser lorsqu’il est en confiance. Mais dès qu’il sent une menace, il se met en boule et déploie ses piquants. On ne peut plus le toucher. C’est un bon résumé de ce que font nos solutions. Les technologies 6cure sont à l’image de cet animal : dociles tant qu’on ne les embête pas ».

 

Les locaux de 6cure.

Des ingé de haut vol

De fait, nous sommes dans une société d’ingénieurs. Le verbiage marketing, mâtiné de mots d’anglais aussi creux que des macaronis, n’a pas cours. C’est d’ailleurs amusant de constater que ces scientifiques parlent tous un français parfait, cherchant en permanence le mot le plus précis pour décrire qui ils sont et ce qu’ils font. Sur les 6 fondateurs, 3 travaillent au quotidien dans l’entreprise. Ils travaillaient ensemble dans un laboratoire de recherche chez Orange et ont décidé de voler de leurs propres ailes dans le cadre de la politique d’essaimage de l’entreprise de télécommunications. Jouni Viinikka complète le duo déjà cité. Docteur en informatique, finlandais de naissance et normand d’adoption, il dirige la recherche au sein de l’entreprise en tandem avec Vincent Boissée qui supervise le développement. « La structure n’était pas du tout adaptée pour faire de l’édition de logiciels avec toutes ses composantes : maintenance, support, évolution », précise Jouni.

Une partie de l'équipe de développement 6cure au travail. De gauche à droite : Baptiste, Frédéric, Adrien, Antoine et Ghislain.

Lorsque nous interrogeons Fabrice Clerc sur la difficulté d’attirer des talents dans cette région, il affirme au contraire que c’est un avantage. « Certes les jeunes diplômés peuvent préférer les charmes de la vie parisienne mais pour des gens avec un peu plus d’expérience, c’est un atout, particulièrement pour les familles. Les plages sont à quelques minutes, le logement coûte beaucoup moins cher et il y a une douceur de vie normande. Trois ingénieurs séniors ont été recrutés au printemps dernier. Ils connaissaient la région et y sont revenus pour améliorer leur vie familiale. Nous jouons également la carte du local avec des apprentis et des contrats de professionnalisation. » C’est par exemple le cas d’Antoine Rebstock en contrat d’apprentissage qui suit une formation en cyberdéfense à Vannes à l’ENSIBS. Ce contrat d’apprentissage fonctionne selon le mode 1 mois en entreprise 1 mois à l’école durant les 2 premières années et 6 mois chaque lors de la dernière année. Antoine s’avoue ravi de l’entreprise dans laquelle il travaille et comme tous les collaborateurs, il loue la qualité d’écoute de l’ensemble des membres. Ceci est confirmé par Lucie Hérault, nouvellement arrivée au marketing et à la communication. « J’ai perçu immédiatement la culture et l’esprit d’entreprise. Très humaniste, participatif. Les salariés se sentent bien et c’est ce qui m’a manqué dans d’autres entreprises. »

Fabrice Clerc, président de 6cure.

Nouvelle étape à venir

Depuis sa création en 2010, 6cure s’est développé avec ses fonds propres et n’a pas fait appel à des investisseurs extérieurs, sauf quelques membres de la famille et amis proches. Aujourd’hui la réflexion est en cours sur une levée de fonds afin d’accélérer le développement. « Il y a une forte demande pour ce type de solutions et nous sommes à un tournant. Donc, c’est aujourd’hui une véritable réflexion », poursuit M. Clerc. 6cure s’est spécialisé dans les technologies de protection contre les attaques par déni de service distribué. Le principe de l’attaque DDoS est de saturer un système d’information de demandes en apparence légitimes afin de bloquer un système. Les contenus sont anodins donc des solutions de protection traditionnelles sont inefficaces puisque les trames envoyées sont inertes. Il existe aujourd’hui plusieurs types d’attaques par DDoS. Les plus médiatisées sont les DDoS volumétriques qui peuvent atteindre plusieurs dizaines de Gbits par seconde. On parle même de Tbits/s dans certains cas. Mais ces attaques sont la face émergée de l’iceberg. D’autres sont beaucoup plus sophistiquées comme les attaques Spear DDoS. Ces attaques ciblées consistent à étudier la cible, regarder les points de congestion et assurer la saturation et le blocage avec des moyens plus faibles. « Cela coûte moins cher à l’attaquant. Et comme c’est une attaque furtive elle passe généralement sous les radars des solutions de sécurité, y compris les solutions anti-DDoS. Par exemple, une attaque baptisée Water Torture consiste à envoyer un paquet bien choisi à un endroit précis pendant une longue période et cela s’avère bloquant. C’est très efficace sur des infrastructures DNS. C’est comparer un tsunami avec une goutte d’eau régulière. Ce ne sont pas les mêmes ordres de grandeur. Et un système anti-tsunami ne verra pas une attaque de quelques litres ».

Quelles motivations ?

Les motivations pour attaquer et bloquer un système d’information sont multiples. Au départ, c’était plutôt une posture idéologique, une sorte de sit-in numérique ou encore des cyber-protestataires. « Cela peut viser des entreprises ou des organismes gouvernementaux », explique le directeur technique. Cela peut également être une simple vengeance personnelle. Aujourd’hui il existe des plateformes en ligne, parfois gratuites ou pour quelques euros, qui permettent de lancer des attaques DDoS. Cela ne requiert aucune technicité, car il suffit de rentrer une adresse web. Ce peut être également des attaques de diversion ou des écrans de fumée. Le principe est d’attaquer une entreprise afin de mobiliser les équipes de sécurité et pendant ce temps l’attaquant essaie de pénétrer ailleurs. Il existe également des attaques au niveau étatique qui ont pour but de tester les défenses du pays visé. Enfin, et c’est aujourd’hui la principale motivation, l’appât du gain, de manière directe en rançonnant la victime, ou indirecte en bloquant un concurrent. Il existe désormais des plateformes de DDoS as a Service, il suffit de donner la cible, sa carte bancaire et le tour est joué.

La mascotte est omniprésente.

Les technologies et solutions 6cure peuvent agir seules mais elles sont également complémentaires d’autres produits Anti-DDoS. « Nous sommes en mesure de fournir un filet avec des mailles plus resserrées afin de détecter des actions plus petites et qui passent sous le radar de technologies qui contrent les attaques volumétriques »

6cure se caractérise également par la capacité à bloquer les attaques qui visent les applications ou encore les outils de sécurité (pare-feu, WAF). Les solutions se placent derrière les routeurs et devant le pare-feu. « Notre produit protège ce dernier des attaques qui excéderaient ses capacités ». Certains attaquants ciblent les points de congestion les plus faciles à saturer. Ce peut être une partie de l’infrastructure IT ou une application métier ou un périmètre particulier car les attaquants ont vu une faille.

A propos d’Hexatrust et du rapprochement entre différents membres, « c’est une perspective que nous étudions, il y a des projets de fédération pour apporter de la cohérence et de la complémentarité. Nous approchons déjà des offreurs de solutions. Par exemple, des éditeurs qui fournissent des pare-feux et on ajoute un boîtier 6cure pour la protection », indique M. Clerc.

Concernant l’organisation, « on ne veut pas de silos. Les équipes permutent en permanence entre la recherche et le développement », précise Vincent. « Il est indispensable de bien connaître les besoins des clients et leurs attentes afin d’améliorer les technologies et services. ». Une autre technique d’amélioration consiste à « étudier des technologies adaptées à d’autres actions que le DDoS et les appliquer à nos produits.»

Concernant l’IA embarquée dans les produits, Vincent et Jouni refusent de céder à la folie ambiante où tout devient Intelligence Artificielle. « Nous faisons des analyses comportementales à base de mathématiques et statistiques sur les floodings subis et les protections mises en place (y compris quand cela ne fonctionne pas). C’est ainsi qu’on se fait une idée des lacunes et après on pioche dans les recherches académiques dans ce domaine ou d’autres et on essaie de les transposer. C’est par ce chemin que nous avons trouvé de nouvelles méthodes de protection. En production, c’est la vitesse qui compte. Cependant en off line, lorsque nous faisons de l’analyse comportementale qui nous servira à enrichir les logiciels et les possibilités de paramétrage, là nous intégrons des démarches qui peuvent s’apparenter à de l’IA ».

« En code cela se traduit en langage C car nous avons besoin de performances. 10 Go/s c’est plus de 14 millions de paquets par seconde à traiter, que l’on multiplie par 5, 10 ou plus en cas de DDoS volumétrique. Mais ces grosses attaques on arrive bien à les endiguer car ce sont des attaques « bêtes & méchantes ». Mais il existe désormais des attaques beaucoup plus subtiles avec plein de machines qui envoient des petits paquets. Individuellement ce n’est pas méchant mais c’est l’agrégat qui est dangereux. L’une des clés c’est le paramétrage qui est très fin dans nos solutions. Nous prenons des décisions sur chaque paquet et non pas lorsque le flux est trop important ou suspect ».

Le hérisson passe à l’offensive

Plusieurs axes de développement sont aujourd’hui envisagés. Le premier consiste à proposer les solutions 6cure à un plus large panel d’entreprises grâce à une réduction des prix. « Aujourd’hui nous avons des appliances avec des cartes qui coûtent relativement cher à cause de ces besoins de performances. Un opérateur a les moyens de payer ces cartes haut de gamme. Ce n’est pas le cas d’une PME. Aussi, nous essayons d’alléger les coûts avec des appliances ou des serveurs plus classiques car les améliorations logicielles (par exemple sur le kernel Linux) optimisent le fonctionnement. »

Les figurines Star Wars de l'un des co-fondateurs veillent sur le bon déroulement des opérations.

Un autre axe de développement consiste à aider les entreprises à tester leurs solutions déjà installées. « Nous pouvons contribuer car nous savons comment attaquer. D’une part nous l’avons fait pour tester nos produits. Ensuite, nous voyons comment les clients se sont fait attaquer. On voit les changements de formes, méthodes et techniques d’attaques. Et nous travaillons maintenant sur de nouveaux périmètres notamment avec les précurseurs dans l’utilisation de solutions anti DDoS. Ce sont en particulier les banques qui ont acheté des solutions ou des services très chers voici plusieurs années. Elles veulent savoir si elles sont toujours bien protégées et si l’argent investi est bien utilisé. Elles veulent donc tester leur solution. Le problème est que pour tester une solution DDoS, ce n’est pas un audit ou un pen test, un test d’intrusion. Il faut faire une véritable attaque. Et aujourd’hui très peu d’acteurs sont capables de proposer des tests de résistance aux attaques. Nous y travaillons actuellement car c’est une forte demande liée à la cyber résilience. Pour 90% des attaques, les grandes banques sont protégées. En revanche sur des techniques nouvelles que l’on voit rarement, les attaquants arrivent à passer et à faire des dégâts. Il s’agit d’être pro-actif. La responsabilité d’un RSSI est de garantir à sa direction que son système est sécurisé. Il met en place des technologies, des procédures mais ce qu’il ne sait pas gérer c’est la résilience complète par rapport à une attaque DDoS ».

Pour ce faire, il y a une double difficulté. La première est technique. Il faut utiliser de très nombreuses machines géographiquement réparties. Ensuite il existe un problème juridique. Aujourd'hui, la Loi interdit toute attaque DDoS, même contre soi-même, car ce type d'attaques peut causer des dégâts collatéraux incontrôlés. C'est pourquoi il faut à la fois avoir une stratégie technique qui évite ces derniers et un accord explicite des intermédiaires : en un mot, ne faire confiance qu'à des experts du sujet ! Ceci rejoint la stratégie offensive récemment dévoilée par la ministre des Armées et plus généralement par l'évolution de la posture au sein de l'OTAN.

Finalement, la seule véritable fausse note de cette jeune entreprise est peut-être la moquette du premier étage, particulièrement kitsch. Françoise en charge de l’activité commerciale s’en amuse. « Nous avons privilégié les bureaux des équipes techniques au rez-de-chaussée. Et je vous assure que la moquette était encore plus kitsch que celle-ci. Mais nous allons poursuivre les aménagements et quand vous reviendrez, elle sera remplacée ».


PIERRE-EDOUARD FABRE :  LE 1ER THÉSARD MADE IN 6CURE

Après un Master en sécurité informatique et un stage de recherche chez 6cure, l’objectif a été de préparer une thèse CIFRE (convention industrielle de formation par la recherche). La thèse a débuté un an après son embauche en CDI suite à la fin de ses études. Elle a commencé en 2014 en université (laboratoire du CNRS) avec Hervé Debar (sup télécom) comme directeur de thèse. Elle portait sur la lutte contre les attaques DDoS volumétriques. « Dans le cas où on sature les capacités entrantes d’un data center ou d’un FAI comment peut-on réagir » ? Des pistes et mécanismes ont été développés dans le cadre de la thèse notamment dans le cas d’un réseau MPLS. Et ensuite avec les ACL (listes de contrôles d’accès). « Ma thèse visait à étudier l’impact de différents algorithmes de filtrage. Je l’ai soutenue avec succès au mois de décembre dernier et je deviens ainsi le premier à avoir terminé sa thèse au sein de 6cure ». Aujourd’hui, le travail se partage entre la recherche et le développement. « Au sein de 6cure, il y a de belles perspectives et nous collaborons avec des partenaires sur des domaines de recherche qui m'intéressent particulièrement, avec des défis techniques passionnants… ».


Print
811

x