Intrusion Detection System (IDS) : de quoi s’agit-il ?
Les Intrusion Detection Systems modernes peuvent être intéressants pour compléter les pare-feux traditionnels. Ils analysent et surveillent des systèmes et des réseaux entiers en temps réel, détectent des vulnérabilités potentielles et les signalent immédiatement à l’administrateur. En cas d’attaque, la défense proprement dite est ensuite prise en charge par un autre logiciel.
Que cache un IDS (Intrusion Detection System) ?
Les systèmes de sécurité modernes pour les ordinateurs et les réseaux sont de plus en plus avancés, mais les cyberattaques gagnent elles aussi en habileté et en sophistication. Il est donc conseillé d’adopter différents mécanismes afin de protéger les infrastructures les plus sensibles. À cet égard, un système de détection d’intrusion (ou IDS) peut être parfait pour venir compléter votre pare-feu. En effet, un tel système de détection permet de détecter les attaques et les dangers potentiels de manière précoce ; l’administrateur est alors informé immédiatement, et il peut prendre les mesures qui s’imposent pour repousser l’attaque. Le système de détection d’intrusion peut aussi détecter les attaques qui ont déjà déjoué le pare-feu.
Toutefois, contrairement à un système de prévention d’intrusion, un IDS n’est pas en capacité de repousser de lui-même une attaque ; le système de détection d’intrusion se contente d’analyser l’ensemble des activités au sein d’un réseau et de comparer celles-ci à des modèles spéciaux. S’il détecte une action inhabituelle, le système alerte alors l’utilisateur et lui donne des informations précises sur le type d’attaque et sur les origines de celle-ci.
Vous souhaitez de plus amples informations sur les différences entre un système de détection d’intrusion et un système de prévention d’intrusion ? N’hésitez pas à consulter notre article consacré à ce sujet.
Quels sont les différents types d’Intrusion Detection Systems ?
Il existe trois types de systèmes de détection d’intrusion différents. Un système peut en effet être basé sur l’hôte (HIDS), passer par le réseau (NIDS) ou prendre une forme hybride qui combine les deux principes HIDS et NIDS.
HIDS : systèmes de détection d’intrusion basés sur l’hôte
Le système de détection d’intrusion basé sur l’hôte est la forme la plus ancienne de cette solution de sécurité. Dans cette configuration, l’IDS est directement installé sur le système correspondant. Il analyse alors les données directement aux niveaux du journal et du noyau, et il vérifie aussi d’autres fichiers système. Pour s’adapter à l’utilisation de postes de travail autonomes, le système de détection d’intrusion basé sur l’hôte utilise ce qu’il appelle des « agents de surveillance » chargés de préfiltrer le trafic de données et de communiquer les informations ainsi obtenues au serveur central. Si cette approche est très précise et complète, elle n’est pas infaillible et des attaques DoS et DDoS peuvent par exemple en venir à bout. L’utilisation de ce système de détection d’intrusion dépend en outre du système d’exploitation utilisé.
NIDS : systèmes de détection d’intrusion par le réseau
Un système de détection d’intrusion par le réseau se charge de scanner les paquets de données envoyés au sein d’un réseau, dans un sens comme dans l’autre. Il peut donc détecter et signaler rapidement la présence de tout modèle inhabituel ou différent. Dans un tel contexte, le volume de données envoyées peut constituer un problème. En effet, si ce volume dépasse les capacités du système de détection d’intrusion, il devient impossible de garantir une surveillance complète.
Intrusion Detection Systems hybrides
Aujourd’hui, les fournisseurs sont nombreux à proposer des systèmes de détection d’intrusion hybrides, qui associent les deux approches dont il est question ci-dessus. Un système de ce type est composé de capteurs basés sur l’hôte, de capteurs qui fonctionnent par le réseau et d’un niveau de gestion permettant de rassembler les résultats et de les analyser de manière détaillée. Toutes les opérations de contrôle sont elles aussi effectuées depuis ce niveau.
Utilisation et avantage d’un IDS
Un système de détection d’intrusion ne devrait jamais être considéré comme un élément pouvant remplacer un pare-feu ni utilisé comme tel. Il peut toutefois agir en tant que complément intéressant, qui interagit avec le pare-feu et l’aide à mieux identifier les dangers potentiels. Comme le système de détection d’intrusion permet même d’analyser la couche la plus élevée du modèle OSI, il contribue bien souvent à la détection de nouvelles sources de danger jusqu’alors invisibles, et ce, même si le pare-feu a déjà été franchi.
- Protection contre les attaques par ransomware
- Analyses antivirus régulières
- Sauvegardes automatiques et restaurations faciles
Comment fonctionne un Intrusion Detection System ?
Le modèle hybride correspond au type de système de détection d’intrusion le plus utilisé. Il intervient à la fois sur l’hôte et sur le réseau. Les informations qu’il recueille sont analysées dans le système de gestion central. Trois composants différents sont alors utilisés.
Outil de surveillance des données
L’outil de surveillance des données s’occupe de collecter l’ensemble des données intéressantes à l’aide de capteurs, puis de les filtrer en fonction de leur pertinence. Ces données sont constituées d’informations provenant du côté de l’hôte, comme les fichiers de journal et les informations système, mais aussi de paquets de données envoyés par l’intermédiaire du réseau. L’IDS recueille et trie notamment les adresses sources et les adresses de destination, mais également d’autres propriétés importantes. Il existe à cet égard une condition essentielle : les données collectées doivent provenir d’une source fiable ou du système de détection d’intrusion lui-même. Celle-ci permet en effet de garantir que les données n’ont pas été manipulées en amont.
Outil d’analyse
Le deuxième composant du système de détection d’intrusion est un outil d’analyse. Il évalue l’ensemble des données recueillies et préfiltrées ; pour ce faire, il fait appel à différents modèles. Il effectue cette analyse en temps réel ; dans certains cas, cela peut être synonyme de défis considérables pour le processeur et la mémoire vive. Pour qu’une telle analyse soit réalisée rapidement et correctement, les capacités associées doivent être suffisantes. Pour ce faire, l’outil d’analyse a à sa disposition deux méthodes différentes.
- Détection des attaques : la détection des attaques (misuse detection en anglais) permet à l’outil d’analyse d’examiner les données recueillies pour tenter d’identifier des modèles d’attaque déjà connus. Ces derniers sont enregistrés dans une base de données distincte, et mis à jour en permanence. Dans le cas d’une attaque avec une signature déjà enregistrée, il est donc possible de détecter celle-ci à temps. Toutefois, les attaques dont le système n’a pas encore connaissance au moment où elles entrent en scène ne peuvent pas être détectées à l’aide de cet outil.
- Détection des anomalies : la détection des anomalies (anomaly detection en anglais) repose sur un principe de base : l’observation de l’ensemble du système. Si une ou plusieurs étapes de travail semblent être hors-normes, une anomalie est signalée ; c’est par exemple le cas lorsque l’utilisation du processeur dépasse une certaine valeur définie ou que les accès à une page en particulier augmentent de façon inhabituelle. Le système de détection d’intrusion se charge également de vérifier la chronologie des différents éléments, toujours dans le but de détecter des modèles d’attaque inconnus. Attention : dans certains cas, les anomalies signalées peuvent être inoffensives.
Un bon IDS est capable de détecter, entre autres anomalies typiques, une augmentation du trafic et une multiplication des accès aux mécanismes de connexion et d’authentification. Cette technologie de sécurité constitue donc une excellente solution pour lutter contre les attaques par force brute. Pour obtenir un meilleur taux de réussite, un grand nombre de systèmes de détection d’intrusion modernes font appel à l’intelligence artificielle (IA) pour la détection d’anomalies.
Outil d’alerte
Le troisième et dernier composant du système de détection d’intrusion consiste à donner l’alerte à proprement parler. En cas de détection d’une attaque ou d’anomalies, le système en informe sans attendre l’administrateur. Une telle notification peut se faire par email, par l’intermédiaire d’une alarme locale ou à l’aide d’un message envoyé sur le smartphone ou la tablette.
Quels sont les inconvénients d’un Intrusion Detection System ?
Un système de détection d’intrusion constitue un bon complément dans l’architecture de sécurité, mais cette méthode peut aussi être à l’origine d’erreurs. Nous avons déjà mentionné rapidement certains inconvénients potentiels ci-dessus. En effet, les IDS basés sur l’hôte sont vulnérables face aux attaques DDoS, et les systèmes de détection d’intrusion par le réseau peuvent rapidement atteindre leurs limites au sein des grandes structures de réseau, et donc passer à côté de certains paquets de données. Dans le même temps, la détection d’anomalies est souvent à l’origine de faux messages d’alarme, et ce, en fonction de la configuration. En outre, l’ensemble des IDS servent uniquement à détecter les dangers. Si vous voulez vous défendre contre les attaques, vous devez utiliser un logiciel supplémentaire.
Intrusion Detection System : l’exemple de Snort
Snort compte parmi les systèmes de détection d’intrusion les plus connus et les plus populaires. Développé dès 1998 par Martin Roesch, cet outil de sécurité multiplateforme et open source propose aux utilisateurs des mesures de prévention étendues en sa qualité de système de prévention d’intrusion. Le programme est disponible en deux versions, l’une gratuite et l’autre payante ; celle-ci bénéficie par exemple de mises à jour plus rapides.