Martin Roesch est bien connu de la communauté de la sécurité et de l’Open Source : il est le papa de Snort, l’IDS le plus connu et, probablement, l’un des plus utilisé. Nous l’avons rencontré à Paris et il commente pour LesNouvelles.net l’actualité de Snort 3, et, surtout, des autres projets connexes qui viendront épauler Snort.

LesNouvelles.net : Où en est Snort 3 aujourd’hui ?

Martin Roesch : Nous avons eu trois versions bêtas déjà, et l’architecture générale ne devrait plus bouger maintenant. Nous venons d’entamer des tests de performance. Nous travaillons beaucoup à améliorer ce point là, notamment en ré-agençant certaines parties du code afin, par exemple, d’optimiser le flux du trafic dans l’application. Nous disposons d’ailleurs d’un gestionnaire de flux intégré, alors que dans la version précédente il avait été ajouté par dessus le code existant.

Il nous manque cependant encore ce qui fera la véritable spécificité de Snort 3 : le module de cartographie du réseau et le moteur de reconfiguration dynamique.

LNN : En l’état, Snort 3 n’est donc encore qu’un Snort 2 tout juste amélioré ?

MR : Pas vraiment car nous avons déjà implémenté de réelles nouveautés telles que le support IPv6 natif, le gestionnaire de flux et surtout un shell avec son langage de script intégré. C’est très utile d’avoir un langage de script, car cela permet par exemple de faire des appels systèmes depuis Snort afin que l’application vérifie son environnement d’exécution et s’adapte en conséquence.

LNN : Parmi les nouveautés, vous avez aussi annoncé une plate-forme de sécurité. De quoi s’agit-il exactement ?

MR : C’est ce que nous appelons Snort SP (pour Security Plateform, ndlr). C’est un framework, une couche de code commune à tous nos produits. Elle offre des services génériques tels que l’acquisition du trafic, sa normalisation, sa journalisation, le décodage des paquets, etc… Nous le voyons un peu comme un « système d’exploitation », dans le sens qu’il offre des services génériques utiles aux applications qui fonctionnent dessus.

LNN : S’agit-il d’une plate-forme fermée qui ne servira qu’à Snort, ou est-elle libre ?

MR : N’importe qui pourra utiliser Snort SP pour bâtir une application de sécurité réseau. La plate-forme peut servir à bâtir un pare-feu, un système de filtrage d’URL, etc… Et Snort n’a bien entendu pas besoin d’être installé : il n’est qu’une application parmi d’autres qui utilise les services de la plate-forme Snort SP.

LNN : Et quelle est la place de RNA, votre autre grand projet, dans cette vision ?

MR : RNA n’est aussi qu’une autre application qui s’appuie sur Snort SP. Mais celle-ci, nous la conservons propriétaire afin de bénéficier d’un différenciateur fort. RNA nous permet de sélectionner en temps réel les règles d’IDS qui s’appliquent à un trafic particulier en fonction de sa destination. Et en appliquant uniquement le strict minimum de règles utiles, cela permet de réduire grandement le nombre d’évènements de sécurité générés par l’IDS et donc de mieux les gérer.

Nous sommes passés chez un grand compte aux Etats-Unis de vingt millions d’évènements par mois à seulement 2000. En France, l’un de nos clients consacrait un jour plein par mois à traiter les journaux de l’IDS, et il n’a besoin désormais plus que de 30 minutes. RNA est véritablement un élément majeur de notre offre aujourd’hui.