Des programmes intelligents qui protègent l'environnement informatique
Il y a encore peu de temps, on associait l'idée de crime à l'image du cambrioleur pénétrant dans une maison ou volant une voiture. Aujourd'hui, les criminels passent par l'informatique pour perpétrer leurs forfaits. Qu'ils se trouvent de l'autre côté de la rue ou à 500 km, la technologie de pointe permet aux criminels de s'immiscer dans votre vie privée. Des chercheurs de l'université de Madrid Carlos III (UC3M) en Espagne ont mis au point un système pouvant détecter les intrusions informatiques et lancer une réponse automatique. Les systèmes de détection d'intrusions (IDS pour Intrusion detection systems) sont des outils de sécurité visant à détecter toute activité douteuse dans les systèmes informatiques. Ce mécanisme est un «système multi-agent» qui consiste en plusieurs agents autonomes coordonnés en interaction sur un ensemble d'attributs logiciels tels que la prédictibilité et l'adaptabilité. Pour bloquer les intrusions, le dispositif repère ces évènements et décide automatiquement s'il est nécessaire d'agir. «Ce sont les deux caractéristiques principales d'un IDS», explique le professeur Agustin Orfila du département d'informatique de l'UC3M. Les données actuelles montrent qu'il manque à l'Espagne l'une des capacités clés dont beaucoup d'autres pays disposent: la possibilité de lancer des enquêtes avancées dans des architectures multi-agents pour les IDS. Dans le cadre de cette étude, l'équipe espagnole a tenté d'utiliser des agents délibératifs qui peuvent s'adapter à leur environnement et prendre en compte des réussites passées indépendamment; ainsi, on peut déterminer si une réponse est vraiment nécessaire lors d'une activité suspecte, explique le chercheur. L'utilisation d'un «modèle quantitatif qui évalue la perte qu'une intrusion pourrait provoquer contre le coût engendré par une action réceptive» le permet, déclare le professeur Orfila. Le résultat est que le multi-agent de l'IDS détermine quelle configuration de système utiliser pour chaque évènement et décide si la réponse est correcte ou non. Cette action quantifie le soutien de l'IDS à la décision prise. La recherche a montré que l'«attaque par scan de ports» (c'est-à-dire quand quelqu'un cherche des ports ouverts) et l'attaque par déni de service sont les deux types d'attaques par intrusion les plus communs. Les pirates informatiques peuvent obtenir un accès illimité à certains ordinateurs et tentent d'y accéder à distance, ont déclaré les experts. L'Institut national des normes et technologies basé aux États-Unis déclare que «par détection de l'intrusion, on entend le processus de détection d'une utilisation non autorisée ou d'une attaque sur un réseau ou un ordinateur. Les IDS sont des systèmes logiciels ou des équipements qui détectent cette utilisation frauduleuse.» Un agent doit avoir la possibilité de s'adapter, de réagir et même de représenter une personne, fait remarquer le professeur Orfila. «Ainsi, l'architecture multi-agent de l'IDS nous permet de distribuer la charge de détection et de mieux coordonner le processus, avec pour conséquence la réalisation d'une détection plus efficace», ajoute-t-il. Les meilleurs candidats au système seraient les administrateurs sécurité, car cela «leur permettrait de quantifier la valeur que l'IDS attache à ses décisions et, en outre, indiquerait comment adapter l'IDS à leur environnement de manière appropriée», déclare le professeur Orfila. Le chercheur fait cependant remarquer que l'IDS doit être adapté au trafic du réseau réel afin d'être opérationnel. Le système doit également être adapté à son environnement de sécurité, et son utilisation doit être évaluée dans un environnement réel. Cette étude a été publiée dans la revue Computer Communication.
Pays
Espagne