Close
  • Français
  • English

Visualisation du cyberespace

Le cyberespace, dans sa dimension technique, est difficile à se représenter du fait de sa taille et de sa complexité. Il est composé de multiples couches correspondant à différents niveaux d’abstraction.
Afin d’assurer la sécurité des réseaux dont ils sont responsables, les administrateurs système utilisent des outils de surveillance de ces multiples couches du cyberespace. Ces derniers n’apportent généralement pas une visualisation explicite de l’environnement virtuel qui approcherait une représentation cognitive du cyberespace.

Une interface visuelle représentant explicitement le cyberespace, corrélant les données relatives au réseau et à sa sécurité, serait bénéfique non seulement aux administrateurs réseaux, mais permettrait également d’apporter une perception de situation aux néophytes, particulièrement dans le cadre d’une gestion de crise cyber.

Nombre de chercheurs se sont penchés sur cette problématique, particulièrement au cours de la dernière décennie, mais pour l’heure les seuls programmes ayant une telle ambition ne sont encore qu’à l’état de projet.

Cet article vise à présenter les éléments constitutifs d’un tel outil.

La visualisation des données

Visualisation et théorie cognitive

Un outil de visualisation du cyberespace se doit d’utiliser les connaissances issues des travaux de recherche en matière de communication de l’information appliquée à l’informatique. Un domaine à part entière – la visualisation d’information – a en effet émergé « à partir des recherches dans des disciplines telles que l’interaction homme-machine, les sciences informatiques, le graphisme, le design, la psychologie et les méthodes commerciales »[1] . Pour les créateurs de VisAlert[2] , l’interface d’un tel outil devrait être aussi proche que possible de la représentation cognitive de l’utilisateur afin de rendre sa compréhension plus rapide et plus précise. Cela revient à dire que cette interface doit être intuitive, et par là-même qu’il y a une corrélation entre la vitesse de prise en main de l’outil et son efficacité sur le long terme.

Quelques écueils dans lesquels il est facile de tomber sont à éviter, comme par exemple la surcharge visuelle, quitte à traiter indépendamment les différents niveaux d’abstraction du cyberespace.

Certains experts estiment en outre qu’un outil de visualisation devrait éviter la troisième dimension[3] car la perspective prive celui-ci de l’efficacité de certains attributs de visualisation, notamment la taille des objets représentés.

Enfin, il faut prendre en compte le pourcentage non négligeable d’individus atteints d’une forme quelconque de daltonisme, presque 10% pour les hommes, lors des choix de code couleur comme attribut de visualisation afin de distinguer celles-ci. Eviter alors l’utilisation du rouge et du vert, couleurs concernées par la forme la plus courante de daltonisme, semble judicieux.

Sources de données

On peut distinguer plusieurs catégories de sources de données utiles à la visualisation du cyberespace.

En premier lieu, nous retrouvons les caractéristiques propres au réseau et aux éléments le constituant : la nature des éléments (poste client, serveur, équipement réseau, etc.) et leurs caractéristiques (adresse IP, système d’exploitation, logiciels, paramétrage, etc.).

Ensuite viennent les événements réseaux survenant sur les différents éléments du réseau et recueillis dans les logs (journaux d’événements). A ce sujet, le domaine se retrouve confronté à une grande diversité des formats de log. Les travaux de la société MITRE en vue de la création d’une norme à vocation universelle appelée CEE (Common Event Expression) ont suscité beaucoup d’espoirs dans la communauté, avant que ces travaux ne prennent fin en juillet 2013 suite à la fin du soutien financier du gouvernement U.S. pour le projet.

Ces événements sont analysés par un SIEM (Security Information and Management System). Ceux-là gèrent et corrèlent les logs à la recherche d’une même cause à différents événements, fournissant le résultat de ces analyses au sein de rapports et de tableaux de bord et lançant les alertes qui constituent la troisième catégorie de données. Du fait de la multiplicité et du volume des logs, cette tâche est difficile à traiter en temps réel. Pourtant, cet élément est capital pour parvenir à notre outil.

D’une visualisation statique à une visualisation dynamique

Visualisation statique

Les SIEM et les scanners de vulnérabilité permettent de réunir les données nécessaires à la génération de cartes d’un réseau assorties des vulnérabilités et des attaques recensées sur une période donnée. Pourtant, ceux-ci ne fournissent pas une telle représentation et ces outils se contentent de rapports et de tableaux de bord plus arides.

 

PRELUDE, un SIEM Open Source

PRELUDE, un SIEM Open Source

 

Un rapport de vulnérabilité de Nessus 5, indiquant pour chaque machine appartenant au réseau scanné le nombre de vulnérabilités détectées et leur type.

Un rapport de vulnérabilité de Nessus 5, indiquant pour chaque machine appartenant au réseau scanné le nombre de vulnérabilités détectées et leur type.

Visualisation dynamique

On entre ici dans le cœur de ce que doit être un outil de visualisation du cyberespace donnant une perception de situation : la possibilité de pouvoir observer en temps réel un réseau et les événements le concernant, et ainsi permettre une surveillance efficace de celui-ci.

Les chercheurs à l’origine de VisAlert ont opté pour une interface visuelle en deux dimensions basée sur trois axes : « Quoi, Quand, Où ». Cela permet à l’utilisateur de voir l’état du réseau en temps réel, mais également de corréler cette conjoncture avec les événements précédents et ainsi de pouvoir déterminer la stratégie de l’attaquant (et ainsi pouvoir prévoir et parer son prochain coup). La carte du réseau se situe au sein du disque, alors que les événements, classés par catégories d’alertes, sont inscris sur les cercles chronologiques externes. Des faisceaux lient les événements du moment t0 (le cercle intérieur) aux éléments du réseau auxquels ils correspondent.

VisAlert – Concept VisAlert – Illustré en situation

VisAlert – Concept VisAlert – Illustré en situation

L’outil reporte des alertes de type Snort (en bleu) et événement Windows (en orange). Ici, l’attaquant tente d’accéder à un système vulnérable, tout en sondant intensivement un autre système afin de détourner l’attention de la cible réelle.

De la visualisation du cyberespace à l’interaction avec celui-ci

Plan X : Philosophie et objectifs du projet de la DARPA

Initié fin 2012, le projet Plan X conduit par le DARPA Cyberwar Laboratory a pour principal objectif d’apporter des outils et des capacités cyber à l’ensemble des corps de l’U.S. Army[4] . Ces outils doivent être particulièrement intuitifs afin de ne nécessiter qu’une formation cyber minimale : il s’agit de créer l’outil du cybersoldat qui puisse être aussi accessible que le M16 pour le soldat conventionnel. L’outil doit pouvoir en outre être en mesure d’apporter la perception de la situation cyber des niveaux stratégique et tactique jusqu’aux troupes sur le terrain.

Il s’agit ainsi de développer une interface de visualisation du cyberespace qui permet également d’interagir avec cet environnement, notamment avec le déclenchement de cyberattaques prédéfinies.

Visualisation et interfaces 3D

Plan X repose sur un moteur graphique 3D afin de représenter le cyberespace. La DARPA expérimente avec l’Oculus Rift[5] dans l’idée d’offrir une plus grande immersion de l’utilisateur dans l’univers cyber, en lui permettant de « nager au sein de l’information et [de] la comprendre ». La DARPA souhaite se séparer de l’utilisation du clavier et ne se baser que sur des interfaces aussi intuitives que possible. Il n’est plus question pour l’utilisateur de devoir saisir les adresses IP des cibles ou de coder des attaques, l’interface et le système en arrière plan doivent permettre d’effectuer en toute simplicité les opérations les plus complexes. Autre support en cours d’expérimentation : des tables tactiles d’affichage 3D holographique.

Proof-of-Concept - Plan X sous Oculus Rift

Proof-of-Concept – Plan X sous Oculus Rift

Les nouvelles générations – celles qui ont grandi à l’ère d’un Internet et d’une informatique omniprésents et qui ont été habituées à travers les jeux vidéos à jongler avec différents niveaux d’abstraction informatique – seront particulièrement réceptives et à l’aise avec ce type de technologie. Le Cyber Command prévoit en effet de recruter ses futurs cybersoldats à la sortie du lycée et de l’université afin d’intégrer le plus rapidement cette génération au sein de leurs forces cyber.

Les premières démonstrations, simples preuves de concept, laissent cependant à penser que l’outil en développement est encore loin d’offrir une visualisation claire et aisée du cyberespace.

Proof-of-Concept - Plan X sous Oculus Rift

Proof-of-Concept – Plan X sous Oculus Rift

Un projet nourri de telles ambitions, celles d’un outil unifié de visualisation et d’interaction avec le cyberespace, doit alors cumuler au sein d’une même interface les informations concernant l’état du réseau et les éléments permettant l’action, que celle-ci soit de type défensif ou offensif. Cela implique un travail d’automatisation à l’extrême des actions, bien loin de ce qui est envisageable dans le domaine civil notamment du fait de l’hétérogénéité des éléments constitutifs des réseaux. Faute de cette simplification, la représentation ne pourrait que souffrir d’une surcharge visuelle qui desservirait grandement l’outil et passerait à coté de l’objectif d’être accessible au plus grande nombre.

Le domaine civil peut, quoiqu’il en soit, reprendre à son compte l’idée d’une représentation interactive du cyberespace, permettant l’action à des fins défensives sur les éléments du réseau sous la responsabilité de son opérateur. L’adaptation et la configuration de l’outil seraient facilitées par la connaissance du réseau de l’entreprise concernée, réseau a priori relativement homogène.

 


[1]Benjamin B. Bederson et Ben Shneiderman, The Craft of Information Visualization : Readings and Reflections, 2003, Morgan Kaufman

[2] http://digital.cs.usu.edu/~erbacher/publications/VisAlertCGA2006.pdf

[3]Jay Jacobs, Bob Rudis, Data-Driven Security, 2014

[4]http://www.defense.gov/news/newsarticle.aspx?id=122455

[5]http://www.wired.com/2014/05/darpa-is-using-oculus-rift-to-prep-for-cyberwar/

 

Cet article a été réalisé dans le cadre de l’Observatoire du Monde Cybernétique animé par CEIS pour le compte de la Délégation aux Affaires Stratégiques (numéro de marché 1502492543).