Sonification des attaques DDoS : des mélodies Netflow et une tomate pour bouton d’alerte

L’innovation et la créativité sont omniprésentes dans notre travail. L’un des exemples les plus marquants nous en est fourni par les hackathons annuels, qui sont pour nous l’occasion de faire le plein de pizzas et d’exercer nos talents de codage au cours d’un marathon de programmation de 24 heures. Jusqu’à cette année, ces hackathons se limitaient à une compétition en entreprise, ayant pour but de développer les plans de nouvelles fonctionnalités et de nouveaux produits. La dernière édition, cependant, a introduit un brin de folie, en offrant à tous les participants la possibilité de laisser libre cours à leur imagination.

Chez Imperva, en tant que chercheurs en sécurité qui aiment sortir des sentiers battus, nous avons été inspirés par une conférence TED intitulée « Pouvons-nous créer de nouveaux sens pour les humains ? ». Dans cette présentation,  le Docteur David Eagleman évoque les façons dont la technologie peut modifier les perceptions sensorielles et faire évoluer notre ressenti de la réalité. Appliquant ce concept à notre métier, nous nous sommes demandé s’il serait possible d’écouter le trafic réseau au lieu de se borner à le visualiser sur des graphiques. Cela a été le germe d’une idée séduisante, consistant à chercher comment convertir des données en sons, selon le processus de « sonification ».

 

Sonification 101

La sonification est apparue au début du 20ème siècle avec l’invention du compteur Geiger. Elle a trouvé de nombreuses applications différentes, notamment dans les équipements médicaux qui font appel au son pour surveiller l’état de santé des patients, les affichages auditifs dans les avions ou encore le sonar qui facilite la navigation sous-marine.

Nous avons ainsi appris que l’ouïe présente un grand nombre d’avantages sur la vue, en particulier pour le traitement d’informations spatiales, temporelles et volumétriques. La capacité d’enregistrer les plus subtiles variations de fréquence et d’amplitude ouvre une infinité de possibilités pour la perception des données.

Dans sa conférence, David Eagleman explique que « nos systèmes visuels sont bons pour détecter les bosses et les bords, mais sont très mauvais concernant notre monde actuel, qui est fait d’écrans et de beaucoup de données. Nous devons compenser cela avec notre vigilance. » En approfondissant nos recherches, nous avons découvert que ses théories sont corroborées par d’autres travaux universitaires soulignant que la sonification « est une méthode efficace pour présenter des informations à surveiller en tâche de fond. » En outre, des expériences montrent que « les participants sont nettement plus performants dans une tâche de surveillance en arrière-plan grâce à la sonification en continu. ». Remarque : tous les scripts utilisés pour ce projet sont disponibles sous forme de code open source dans ce référentiel GitHub, sous licence MIT. C’était l’argument qu’il nous fallait. Il ne nous restait plus qu’à imaginer comment faire chanter Internet.

 

Le son des données

Le moyen le plus efficace et le plus évident de mener à bien notre projet était de produire des sons à partir des journaux NetFlow. Pour ce faire, nous avons écrit un script Python 3 pour collecter des données NetFlow, qui ont été ensuite transformées en messages OSC (Open Sound Control). Pour convertir ces messages en son, nous nous sommes servi de Sonic Pi, un synthétiseur algorithmique programmé en langage Ruby pour stimuler les étudiants en informatique à travers la musique. Spécialement conçu pour la synthèse audio en direct, Sonic Pi est doté d’un modèle de synchronisation très fiable, qui en fait un outil idéal pour notre projet. Dans l’esprit de bricolage qui est celui du hackathon, nous avons choisi de faire fonctionner Sonic Pi sur un Raspberry Pi. Le résultat a été le suivant :

Transformation du trafic web en son

Ensuite, nous avons fait correspondre différents types de trafic à divers instruments de musique afin de rendre le résultat plus mélodique.

Exemple d’association de types de trafic à différents instruments

 

Nous avons également utilisé des variations de volume pour refléter la hausse ou la baisse des niveaux de trafic. C’est ainsi qu’une augmentation de la fréquence et du volume du son nous alerterait sur une forte intensification du trafic, comme dans le cas d’une attaque DDoS. Enfin, tout simplement parce que nous en avions la possibilité, nous avons décidé de diffuser le tout sur une webradio. Nous avons alors constaté que le son du trafic était étonnamment agréable à l’oreille. Jugez par vous-même sur la vidéo à cette adresse : https://youtu.be/EKVJjfdVolc

 

Une tomate faisant office de bouton d’alerte

Naturellement, cela manquait du petit grain de folie attendu. C’est pourquoi, lorsqu’il s’est agi de créer le mécanisme de réponse à un assaut DDoS, nous nous sommes immédiatement intéressés au potentiel de neutralisation inexploité des légumes frais du jardin.

L’idée était en fait de développer un système obligeant son opérateur à appuyer sur une tomate au son d’une attaque DDoS afin d’activer le service de neutralisation. Une fois l’attaque neutralisée, l’opérateur devait presser un concombre pour lever l’alerte. Aucun légume n’a été blessé durant la conception de ce système. Pour que cela fonctionne, nous avons connecté une tomate et un concombre à une Wemos D1, une petite carte électronique équipée d’un microprocesseur WiFi ESP8266, et à un kit d’invention Makey Makey. Il en est résulté ce montage frugal :

 

Carte Wemos, kit Makey Makey et tomate servant de « bouton d’alerte »

Nous pouvons affirmer sans crainte d’être démentis qu’il s’agit du premier emploi d’une tomate dans la neutralisation d’une attaque DDoS. Plus important encore, nous sommes assez certains que c’était aussi la première utilisation de la carte Wemos ou de technologies comparables (Arduino, par exemple) avec Sonic Pi, ce qui était en quelque sorte le point essentiel.

 

Au-delà de l’amusement

En travaillant sur ce projet, nous n’avons pu nous empêcher de penser que la sonification des alertes en cas d’attaque au moyen de hautes et de basses fréquences pourrait effectivement jouer un rôle à l’avenir dans la cybersurveillance.

S’il est peu probable que la neutralisation DDoS à base de légumes ait un jour du succès, l’idée de recevoir des informations à faible priorité sous forme sonore fait sens et va sans doute susciter d’autres recherches.

Le son jouant déjà un rôle important dans d’autres mécanismes d’alerte, il est curieux que ce ne soit pas le cas dans la cybersurveillance. Alors que le secteur du SIEM cherche de nouveaux moyens de faire face au problème de la surcharge d’informations, un élargissement de l’éventail sensoriel est peut-être une idée à creuser.