C’est en septembre 2017 que Luìsa Lima, Jose Luis Perera, Pablo German Sole, et Sinan Eren ont fondé Fyde, une jeune pousse spécialisée dans la protection contre les menaces mobiles. Les trois derniers co-fondateurs ne sont pas étrangers au domaine : Sinan Eren et Jose Luis Perera étaient co-fondateurs de Remotium, alors que Pablo German Sole en était le directeur technique. Tous trois sont ensuite passés dans les rangs d’Avast lorsque ce dernier s’est offert cette jeune poussequi avait développé une solution d’accès au système d’information à partir de terminaux mobiles, en streaming, via des instances virtuelles non persistantes.
Un vrai-faux VPN
Pour cela, l’application joue sur l’interception des requêtes réseau. Elle s’appuie pour cela sur un VPN configuré à l’installation. Mais il ne s’agit pas véritablement d’un réseau privé virtuel, comme l’expliquait Sinan Eren dans un entretien téléphonique avec la rédaction : « c’est une solution de persistance sur iOS à laquelle nous avons commencé à réfléchir il y a longtemps, et elle est en fait assez simple. Nous exécutons un client et un serveur VPN sur le terminal lui-même. Le tunnel VPN est initié et terminé sur l’appareil iOS ». Configuré pour être activé à la demande – mais pour tout le trafic réseau –, le tunnel résiste au redémarrage ou encore aux fonctions d’économie d’énergie du système d’exploitation mobile. L’astuce est simple, mais Sinan Eren précise : « nous avons la propriété intellectuelle dessus ».
De la sorte, le moteur d’analyse caché dans le faux tunnel VPN peut assurer le filtrage du trafic localement, sur le terminal, et décider de ce qui est bloqué et de ce qui ne l’est pas. De quoi limiter la latence et n’avoir en définitive qu’une contrainte : « les ressources calcul. Nous voulons nous assurer de ne pas trop affecter l’autonomie ». Pour cela, l’analyse du trafic est faite à deux niveaux, à la couche transport lors du handshake, et à la couche 7, pour les requêtes DNS.
Là entrent en jeu des mécanismes incluant listes blanches, listes noires, règles expertes. Les listes noires sont basées sur des sources publiques de réputation, même si Sinan Eren reconnaît sans peine les limites de l’exercice.
Plusieurs mécanismes de filtrage
Le choix de listes blanches est plus original et s’inscrit dans le modèle économique de Fyde : il s’agit de faire payer des entreprises comme des institutions financières pour que les adresses de leurs systèmes de backend soient intégrés aux listes blanches – adresses IP ainsi que domaines et sous-domaines. « Nous examinons également les certificats SSL échangés pour vérifier la conformité de l’autorité de certification avec ce qui est attendu », explique Sinan Eren. De quoi, au passage, protéger contre les tentatives d’interception.
Hors listes blanche et noire, ce sont des règles dites expertes qui interviennent, « un modèle léger qui s’exécute sur le terminal » et se méfie notamment des adresses qui sortent des habitudes de l’utilisateur. Mais il se base aussi sur des noms de domaine particulièrement courants et vérifie qu’il n’y a pas de forme d’usurpation par proximité orthographique ou par recours à des caractères unicode susceptibles de tromper la vigilance de l’utilisateur. L’âge du nom de domaine est également pris en compte.
En cas de suspicion significative, l’utilisateur est alerté et l’URL concernée est remontée aux équipes de Fyde. Là, elle est étudiée par le biais d’algorithmes d’apprentissage automatique supervisé, ce qui implique donc des analystes. Lorsqu’un « patient zéro » est alors détecté, l’information est poussée aux utilisateurs de l’application.
Intégrité du terminal et réseau
Fyde ne s’arrête bien sûr pas là et embarque également des fonctions courantes dans les applications de protection contre les menaces mobiles, comme la détection du jailbreaket la version du système d’exploitation.
L’application alerte aussi sur les risques liés aux points d’accès Wi-Fi publics. Le contrôle des certificats et des échanges DNS doit aussi apporter une protection contre les tentatives d’interception.
Mais Sinan Eren reconnaît bien les difficultés liées aux mécanismes classiques de référencement de points d’accès sur la base de leur SSID et de la géolocalisation, comme en souffrait encore à l’automne dernier SEP Mobile, de Symantec, issu du rachat de Skycure : ce dernier n’alertait pas de la connexion à un réseau pourtant référencé comme à risque, tout simplement parce que la géolocalisation ne correspondait pas exactement.
Pour Sinan Eren, le mal est simple : les jeux de données de ces listes « sont mal conçus ». Mais de manière générale, annoncer à l’utilisateur qu’un réseau est totalement sûr, « c’est presqu’impossible à faire ».
Read the full article at LEMAGIT