Hier l’éditeur Stonesoft annonçait avoir identifié une série de techniques d’évasion d’IPS novatrices, qui permettaient notamment de passer outre la vigilance d’une grande partie des produits du marché. Il diffusait un peu plus tard un document plus technique détaillant quelques approches d’évasion inédites. Et là, il apparaît que l’annonce n’est finalement pas si novatrice qu’elle y paraît.

Stonesoft y présente notamment l’outil maison Predator chargé de tester ces techniques. Celui-ci date de 2007 et a évolué depuis en passant d’une douzaine de techniques d’évasion à un peu moins de deux cent. Stonesoft semble donc avoir travaillé sur le sujet depuis au moins trois ans. Mais une telle recherche n’aboutit pas du jour au lendemain et cela aurait pu être malgré tout une nouveauté si Stonesoft n’avait pas déjà présenté les mêmes trouvailles, hormis le terme marketing d’Advanced Evasion Techniques, à une conférence de sécurité l’an dernier.

En effet les détails techniques publiés hier et présentés comme un document récent reprennent des pans entiers d’une présentation faite par Stonesoft à la conférence hack.lu en 2009 sur le même sujet. L’approche et l’essentiel des méthodes n’ont ainsi rien de nouveau, ce que nous confirmait d’ailleurs sous couvert de l’anonymat une source de confiance dès hier après-midi. « C’est du recyclage d’info« , confiait par ailleurs un autre correspondant à SecurityVibes.

Tout au plus Stonesoft aura-t-il donc travaillé à étendre fortement (de 12 à 200, tout de même !) l’éventail des techniques de base, ce qui n’est déjà pas si mal.

Jack Walsh, responsable des tests IPS au sein de ISCA Labs, affirme que si effectivement bon nombre des méthodes d’évasion présentées sont déjà connues, d’autres sont nouvelles et ne sont ni connues ni bloquées par des IPS du marché. La citation, fournie par Stonesoft, se retrouve en réponse à de nombreux articles sur le sujet, et nous la reproduisons ici in-extenso et en version originale. Nous n’avons pas été en mesure d’interviewer personnellement Jack Walsh :

As you may know, ICSA Labs validated Stonesoft’s findings regarding these AETs. While I would agree that enterprises shouldn’t panic, they need to do more than ask their IPS provider what they are doing to handle multiple evasions at once. One of your sources is quoted as saying, « …they’re not new. » The truth is quite different than that. While testing labs, like ICSA Labs, have seen some of the evasions in Stonesoft’s tool, many of the evasions have not been seen before. Those not seen before are not found in free or commercial testing tools and are not publicly documented. So, many of the evasions are in fact new. That’s the reason why these AETs, as Stonesoft calls them, are newsworthy.

Cela ne semble donc pas remettre en cause la validité de la démonstration : sous certaines conditions les attaques ne sont effectivement pas bloquées comme elles le devraient. Mais il semble que le secret était bien éventé depuis au moins l’an dernier !