Le moins que l'on puisse dire, c'est que Shape Security a reçu le soutien d'investisseurs de haut vol : en effet, la start-up fondée en novembre 2011, a levé 26 millions de dollars auprès de capital-risqueurs comme Kleiner Perkins Caufield & Byers, TomorrowVentures d'Éric Schmidt, Baseline Ventures, Google Ventures, Wing Ventures, Venrock, mais aussi auprès d'investisseurs individuels comme l'ancien CEO de Symantec, Enrique Salem.

L'appliance Shapeshifter modifie subtilement le code sous-jacent de chaque page HTML avant qu'elle ne soit visualisée, de sorte que, d'un affichage à l'autre, son code est toujours différent. « La clef, c'est que ces changements sont invisibles à l'oeil nu, mais très significatifs pour un programmeur », a expliqué Shuman Ghosemajumder, vice-président de la stratégie chez Shape Security. Cette modification automatique des pages web en sous-couche agit comme une sorte de camouflage qui empêche l'attaquant d'atteindre le site par des attaques de type cross-site scripting (CSS) ou  par déni de service.

Une technique inspirée par les méthodes des hackers

Shape Security appelle cela le « polymorphisme en temps réel ». Comme le fait remarquer Shuman Ghosemajumder, à certains égards, cette technique s'inspire d'une tactique utilisée par les auteurs de malwares, lesquels s'emploient à constamment modifier le code de leurs malwares pour échapper à la détection basée sur les signatures. Avec Shapeshifter, le site est réécrit en permanence ; quel que soit l'endroit où il est déployé, le HTML se réécrit », dit-il. Mais pour le visiteur, le contenu reste toujours identique.

Il fallait trouver un système de défense pour contrer les avantages dont profitent les hackers : en effet, ils peuvent explorer les sites web ciblés en profondeur pour élaborer leurs stratégies d'attaque. Le vice-président de la stratégie de Shape Security reconnaît que l'approche de Shapeshifter exige une puissance de traitement considérable. À cause de ces besoins en calcul intensif, Shapeshifter doit être soigneusement testé dans chaque environnement web. Il peut être déployé pour protéger une seule page web, une page de connexion par exemple, ou plusieurs pages. Il est important d'évaluer la quantité de trafic et le nombre de pages web à protéger pour fixer son utilisation. Shape Security n'a pas révélé le nom des clients qui testent actuellement sa solution bêta privée et n'a pas non plus indiqué le prix de sa technologie.

La start-up basée à Mountain View a été fondée par Derek Smith (CEO), Sumit Agarwal (vice-président de la gestion des produits), et Justin Call (CTO). Sumit Agarwal est l'ancien conseiller « innovation cyber » au ministère américain de la Défense et ancien vice-secrétaire d'État adjoint du Département. Avant cela, il était à la tête des produits mobiles chez Google.