Face à la croissance des pratiques d’espionnage industriel, de piratage et de vol de données, les entreprises doivent multiplier et diversifier leurs outils de cybersécurité. L’obfuscation, technique consistant à noyer les pirates dans des centaines de lignes de codes glissées dans les programmes informatiques, s’avère être une démarche performante.
Certains Etats comme la Chine, la Russie ou les Etats-Unis excellent en matière d’espionnage industriel, de piratage et de vols de données. On se souvient de l’accusation d’ingérence de la Russie dans les dernières élections américaines via le piratage d’information provenant du camp démocrate. On se souvient de l’affaire Snowden et ses révélations sur les données collectées par la NSA sur les citoyens américains et ses pratiques d’espionnage économique et industriel. On se souvient de l’affaire WikiLeaks, révélant les techniques de surveillance et du piratage de la CIA. Enfin, pas plus tard que fin octobre, le New York Times révélait que les iPhone de Donald Trump étaient régulièrement espionnés par la Chine et la Russie. Des histoires qui défraient la chronique et révèlent toute la difficulté, voire l’impossibilité pour les citoyens, les entreprises et les Etats à préserver leurs données et secrets industriels.
Aussi, pour éviter de se faire piller les données, les secrets industriels et pour préserver les savoir-faire, les entreprises et Etats doivent déployer des outils et méthodologies performants. Au-delà des pare-feu, outils de chiffrement et cryptographie déjà largement déployés, une méthodologie comme l’obfuscation, moins connue et pourtant éprouvée, permet de réduire considérablement le vol de savoir-faire et de données des entreprises et des gouvernements.
L’obfuscation brouille les pistes
Le principe de l’obfuscation est simple : brouiller les pistes et décourager les pirates. Il consiste donc à créer, au sein du code informatique d’une solution, des centaines de lignes de codes qui s’avèrent être des leurres. C’est ainsi qu’une application basée sur une formule simple comme A+B=C, sera transformée en une succession de formules mathématiques complexes qui, au final donnera C, mais qui aura emprunté un chemin tortueux. Les secrets de fabrication ou les données se retrouvent donc noyés et cachés dans des centaines de formules mathématiques et lignes de codes. Et si l’obfuscation ne garantit pas une totale sécurité, elle décourage néanmoins les pirates les moins avertis et ralentit les plus doués. Pour les entreprises ou Etats pirates, la complexité de la tâche les contraint à débloquer des moyens financiers plus importants pour recruter les ressources humaines adéquates.
L’obfuscation : une technique accessible à toutes les entreprises
Mais qui dit ajout de couches sur des logiciels ou applicatifs dit ralentissement d’exécution de la solution. Déployer une technologie d’obfuscation nécessite donc d’adapter le degré de complexité au niveau de sécurité recherché. Il peut être également judicieux de brouiller les pistes en déployant une stratégie d’obfuscation sur une partie du code qui n’a pas d’intérêt. Les pirates perdront alors du temps à déchiffrer le code pensant que cette complexité cache nécessairement un secret important alors qu’il n’en est rien.
Aujourd’hui il existe des solutions d’obfuscation aisément déployables par les développeurs. Il leur suffit de l’intégrer dans leurs lignes de codes et de choisir les parties à sécuriser.
Sans assurer une sécurité 100%, l’obfuscation garantit un niveau de sécurité supplémentaire évitant ainsi le pillage d’années d’investissements de R&D et le développement d’une nouvelle version détournée du logiciel.
__________
Eric Houdet est Business Development Manager, Quarkslab