Dans le Seigneur des Anneaux, Shelob est une gigantesque araignée (Arachne dans la traduction française). Mais pour l'université d'Indianapolis, c'est surtout un système automatisé capable d'isoler en temps réel les PC infectés afin de protéger le reste du réseau. Bâti autours de technologies Open Source, Shelob est désormais rendu public.

au sommaire


    Shelob

    Shelob

    Araignée contre ver : c'est un combat qui se joue à l'université d'Indianapolis, aux États-Unis. Le projet s'appelle Shelob, et il a été baptisé d'après l'araignéearaignée amatrice de Hobbits dans l'oeuvre de J.R.R Tolkien. Il s'agit d'un habile assemblage d'outils Open Source destiné à purger en temps réel le réseau de ses PC infectés. Et comme le savent déjà les fans du Seigneur des Anneaux, Shelob digère tout, des vers aux virus en passant par les spywares.

    Techniquement, Shelob se charge de retirer les PC contaminés du réseau pour les diriger de force vers un brin virtuel (VLAN) de quarantaine. Là, ils ne peuvent qu'accéder à un site web expliquant la situation et offrant des conseils pour se mettre à jour. Bien qu'essentiellement destiné à lutter contre les épidémiesépidémies, Shelob peut être utilisé pour traquer n'importe quel PC problèmatique.

    Si des outils de ce type existent déjà, notamment chez Trend Micro, l'originalité de Shelob est d'être bâti à l'aide d'outils Open Source. La solution est donc non seulement gratuite, mais surtout modifiable à loisir afin de s'adapter à tous les réseaux.

    Concrètement, Shelob repère les PC infectés grâce à un "profil" communiqué par l'équipe en charge du réseau. Il lui faudra donc connaître au préalable les caractéristiques du virus, ver ou spyware à chasser. Une fois mise au parfum, l'araignée entame sa traque : elle repère ses victimes à l'aide du trafic réseau scruté par Snort, mais aussi des emails analysés via AMaViS ou des ports ouverts rapportés par le scanner nmap. Les ordinateurs infectés sont alors identifiés par leur adresse MACadresse MAC et celle-ci est stockée dans une base de donnéesbase de données MySQLMySQL. C'est à partir de cette source que Shelob passera à l'action contre les PC malades.

    Pour cela, le système utilise tout d'abord l'outil DHCPDHCP NetReg afin d'attribuer dynamiquement une nouvelle adresse IPadresse IP aux ordinateurs infectés. Celle-ci correspond, bien sûr, au plan d'adressage d'un réseau isolé. A ce moment, le piège est prêt à se refermer : Shelob utilise OpenVMPS (une implémentation libre d'un protocoleprotocole de Cisco) afin de changer le port du switch sur lequel le PC infecté est connecté. L'ordinateur se retrouve alors brutalement "téléporté" dans un réseau virtuel isolé, peuplé uniquement de ses congénères malades. Il n'a plus accès au reste du réseau et il lui faudra se désinfecter ou rester bloqué.

    Selon ses créateurs, le seul défaut de Shelob est de ne fonctionner qu'avec les PC directement connectés au réseau, et non via un point d'accès WiFiWiFi. Pour le reste, l'université utilise le système sur son propre réseau depuis deux ans maintenant, et il semble particulièrement efficace. A tel point que ses créateurs ont décidé de le rendre public.

    Pour cela, toutefois, il lui a fallu changer de nom, car un projet Open Source s'appelle déjà Shelob. Qu'à cela ne tienne, le nouveau patronyme est déjà choisi : ce sera Ungoliant, du nom de la mère de Shelob. Que feraient les passionnés d'informatique sans l'héritage de l'Heroic Fantasy ?