Outils, logiciels et technologies Les système de détection d'intrusion
L’utilisation d’internet a tracé la voie à de nouvelles formes de menaces informatiques. Avant l’explosion du web, les attaques contre un réseau ou contre une machine étaient limitées. Seul le chargement par voie externe (clé USB, disque) offrait la possibilité d’une intrusion. En 1992, 1 million d’ordinateurs étaient connectés dans le monde. En 2000, ils sont déjà 370 millions, selon la chronologie officielle d’internet de Robert H. Zacon.
Les systèmes internes des entreprises ou des institutions deviennent vulnérables. Ils se sont connectés au plus vaste réseau du monde : opérations de maintenance à distance, télétravail, etc. Face aux menaces et aux attaques, la mise en place d’un système de détection d’intrusion représente la parade optimale. Ce protocole de sécurité rejoint une approche globale de cybersécurité.
C’est quoi un système de détection d’intrusion ?
Un système de détection d’intrusion représente une méthode destinée à repérer des menaces ou des attaques. L’IDS (Intrusion Detection System) muscle la sécurité d’une machine ou d’un réseau informatique. Il permet d’alerter un administrateur sur la connaissance d’activités suspectes ou anormales. Certains IDS intègrent également des techniques de réponses aux intrusions. Appelés IPS (Intrusion Prevention System) ils bloquent la tentative d’intrusion détectée.
L’IDS repère différents événements anormaux sur un réseau ou dans une machine. Les alertes peuvent désigner des attaques, un comportement suspect, une violation de règles ou des failles de sécurité. C’est souvent un deuxième niveau de protection après un pare-feu. Un système de détection d’intrusion agit comme un service de renseignements contre les menaces venant de l’étranger.
À quoi sert l’IDS ?
Un IDS vise à protéger les données d’une entreprise ou d’une institution. Il permet de détecter différents événements anormaux pour agir de manière adaptée : alerter, surveiller, bloquer.
Les différentes formes d’attaques et d’intrusions dans un réseau ou une machine
Les formes de l’intrusion informatique sont multiples. Les plus connues deviennent repérables facilement. C’est pourquoi les cybercriminels façonnent de nouvelles attaques en permanence. Les intrusions sont classées par type de comportement hostile. L’objectif commun, c’est prendre le contrôle des données d’une machine ou d’un réseau : vol, destruction ou blocage.
- Les malwares (logiciels malveillants) désignent un ensemble d’attaques : cheval de Troie, virus, vers informatique, etc.
- Les spywares sont des logiciels espions : ils surveillent et renseignent l’activité d’un réseau informatique.
- Les ransomwares (logiciels de demande de rançon) regroupent les intrusions qui bloquent un système informatique. Le blocage est levé contre une rançon. Ils désignent aussi un vol de données restituées également contre rançon.
- Les publicités malveillantes (malvertising, adware) contaminent machine et réseau informatique. Elles utilisent un « code malicieux » dissimulé dans leur contenu.
L’IDS : un système autonome de sécurité face aux intrusions
L’intérêt d’un système de détection d’intrusion repose dans son approche globale : veille, surveillance, détection, analyse, alerte et traitement.
La veille en sécurité : anticiper et mettre à jour
L’inventivité des cybercriminels exige la mise en place d’une veille. Celle-ci s’exerce par le biais des mises à jour régulières des systèmes de détection d’intrusion. « Si vous voulez la paix, préparez la guerre », nous enseignent les Romains. L’objectif vise à réduire les attaques aux seules menaces encore inconnues.
La surveillance et la détection : voir et décrypter
Un système à détection d’intrusion permet la surveillance de tout type de comportement sur un réseau ou dans une machine. Les événements comportementaux sont décryptés selon des normes fixes ou évolutives.
L’analyse et l’alerte : comprendre et prévenir
L’IDS analyse les informations décryptées. Il caractérise le type d’intrusion. Puis, il évalue le niveau de la menace. Enfin, il envoie des alertes circonstanciées aux administrateurs des réseaux.
Le traitement de la menace : bloquer et apprendre
Selon le type d’IDS, le niveau de traitement des attaques diffère. Un protocole simple vise à alerter puis à surveiller l’intrusion. Un niveau de réponse élaborée peut agir en toute autonomie pour bloquer l’intrusion.
Comment fonctionne un système de détection d’intrusion ?
Les IDS examinent l’activité des systèmes et des réseaux informatiques. La fonction première d’un système de détection d’intrusion, c’est de repérer d’éventuelles attaques.
Méthode d’analyse des informations et des données
Un IDS collecte les informations grâce à des sondes. Ces dernières captent les données (ex. : adresses IP) par paquet dans les flux du réseau. Selon le protocole choisi, un IDS peut analyser une information en temps réel ou a posteriori. Les systèmes de détection d’intrusion possèdent des règles de filtrage pour les paquets de données. Par exemple, le fonctionnement de l’IDS Snort (open-source) repose sur les règles suivantes :
- comportement à adopter en cas d’intrusion (alerte, action) ;
- les adresses IP sources et/ou destinations ;
- le protocole utilisé ;
- les ports source et destination ;
- direction du trafic entrant et/ou sortant.
La détection de l’intrusion par reconnaissance des signatures
L’efficacité d’un système de détection d’intrusion repose sur sa capacité à reconnaître les programmes malveillants. L’IDS peut identifier un malware grâce à sa signature. Grâce aux sondes, il repère une portion du code malveillant dans le système de la machine hôte ou dans le réseau. Un IDS performant possède une bibliothèque de programmes malveillants actualisée. Les mises à jour représentent donc un enjeu pour la sécurité d’un réseau informatique.
Le repérage des intrusions par détection des anomalies
Un IDS peut également fonctionner par détection des anomalies. Il s’agit de détecter les écarts entre le fonctionnement normal de la machine ou du réseau et une situation nouvelle. Les événements sont alors considérés comme suspects. Les anomalies peuvent concerner la machine, le réseau ou l’utilisateur.
Pour parvenir à détecter des anomalies, le système de détection d’intrusion agit en trois mouvements successifs :
- une phase passive d’inspection de la machine et du réseau pour identifier la situation normale (règles et comportement) ;
- une phase active d’analyse des événements (comportement suspect, violation de règles, failles de sécurité) ;
- une phase d’apprentissage des intrusions ou des attaques détectées dans la bibliothèque de menaces.
Quelles sont les méthodes de déploiement d’un IDS ?
Il existe trois modes de déploiement des systèmes de détection des intrusions. Un IDS peut être basé au sein de la machine hôte, dans le réseau ou simultanément dans les deux localisations.
Le HIDS ou l’IDS dans la machine hôte
Déployés dans un ordinateur hôte, les IDS s’appellent HIDS : Host Intrusion Detection System. L’HIDS surveille l’activité de la machine : système d’exploitation, applications, périphériques, flux de trafic entrant et sortant, etc. Il repère les intrusions par signature ou par reconnaissance d’anomalies. Pour cette dernière, il compare la capture d’un instant à celle enregistrée initialement.
La comparaison peut indiquer des modifications : suppression de données, nouveaux fichiers, code inconnu, etc. L’analyse des écarts permet de détecter des intrusions éventuelles, des failles de sécurité ou un comportement inadéquat d’un utilisateur. L’HIDS a ainsi une fonction de sentinelle. Il dévoile toute activité qui sort de l’ordinaire.
Le NIDS ou l’IDS réseau
Les NIDS (Network Intrusion Detection System) se déploient sur les réseaux. Ce type d’IDS s’installe à des endroits stratégiques d’un réseau informatique : serveur, segment de réseau sensible (entre pare-feu et routeur). Le NIDS a pour fonction principale la surveillance du réseau. Les sondes permettent la collecte et l’analyse des paquets de données du trafic réseau. Un NIDS peut fonctionner grâce à la détection par signatures et/ou par anomalies. Les intrusions détectées déclenchent des alertes.
Vers l’IDS hybride : HIDS et NIDS
Les enjeux de sécurité deviennent stratégiques pour les organisations et les entreprises. La protection des données et des réseaux exige l’optimisation des techniques de détection d’intrusion. C’est pourquoi un IDS hybride représente une solution pertinente de sécurité. Il regroupe les qualités du HIDS et celles du NIDS. L’ordinateur hôte et le réseau sont alors sous surveillance.
Quels sont les avantages d’utiliser un IDS ?
L’IDS représente une solution intelligente de sécurité. Les attaques des cybercriminels se diversifient et se démultiplient. Les systèmes de détection d’intrusion ne reposent pas sur la pertinence d’une base de données. Ils apprennent de leurs expériences (machine learning). Les tentatives d’intrusion nourrissent ainsi leur capacité de détection.
Pour apprendre, un système de détection d’intrusion évalue la première intention des attaques. Il trace son comportement. Enfin, il repère les modifications opérées. Les IDS permettent ainsi de détecter les vulnérabilités d’un réseau ou d’un hôte.
IDS et IPS : quelles différences ?
L’IPS (Intrusion Prevention System) représente le bras armé de l’IDS. Il a pour fonction de bloquer l’intrusion dans un réseau. Contrairement à l’IPS, l’IDS surveille et alerte, mais n’exerce pas de contrôle. L’IPS empêche les paquets de données malveillants d’atteindre leur cible. C’est un outil de prévention.
La cybercriminalité représente une menace permanente pour les systèmes informatiques. Pour optimiser leur sécurité, les solutions de type IDS (HIDS, NIDS ou IPS) visent à donner une réponse à la hauteur des attaques.