Le Pentagone a récemment conclu un contrat de 45 millions de dollars avec la start-up ForAllSecure. Créée en 2012 et originaire de Pittsburg, la société a séduit la défense américaine avec sa plateforme Mayhem qui prévoit de l'utiliser pour sécuriser plusieurs environnements critiques. Le contrat a été signé plus précisément avec l'entité innovation de la DARPA, à savoir la DIU Defense Innovation Unit, pour étendre la sécurité de ses systèmes critiques. Cette technologie va être utilisée dans de nombreuses entités du Pentagone, comme l'Air Force 96th Cyberspace Test Group, l'Air Force 90th Cyberspace Operations Squadron, le Naval Sea Systems Command (NAVSEA) ainsi que le fameux U.S. Army Command, Control, Communication, Computers, Cyber, Intelligence, Surveillance and Reconnaissance Center (C5ISR).

La principale caractéristique de Mayhem est d'être un système autonome pour trouver et exploiter des bugs dans d'autres serveurs tout en corrigeant ses propres vulnérabilités. Le but du système est de patcher des vulnérabilités sur un système tout en scannant et exploitant des vulnérabilités dans d'autres. Le système Mayhem tourne sur un environnement Linux x86, dont la fiabilité, la robustesse et les capacités de scaling sont éprouvées, mais une évolution a été faite pour tourner sur environnement Windows.

Lors du concours, le système Mayhem embarquait 2 560 coeurs processeurs et 16 To de RAM. Toutefois, la discrétion quant aux matériels embarqués reste de mise. Il faut dire que le sujet est sensible. La Défense américaine n'est pas la seule à avoir été séduite par Mayhem. C'est également ce qu'ont pensé les gouvernements chinois et israéliens qui ont tenté de se rapprocher de la start-up. Cette dernière a cependant préféré continuer de jouer à domicile en répondant aux propositions de contrats de l'agence de la recherche américaine de la Défense qui cherchait une technologie de sécurité innovante à vocation militaire. 

Une technique de fuzzing couplée à de l'« exécution symbolique »

Mayhem a été mise au point par l'équipe du professeur David Brumley, du laboratoire de sécurité de l'Université de Carnegie Mellon, qui s'est distingué dans le cadre d'une compétition internationale de hack organisée par l'entité recherche du département de la défense américaine (DARPA) en 2016. Dans le cadre de ce challenge CGC (Cyber Grand Challenge), au sein du DEF Con 24, le prix de 2 millions de dollars a été remporté par ForAllSecure tout en parvenant à taper dans l'oeil de la DARPA. « Le Cyber Grand Challenge montre qu'une sécurité totalement autonome est possible. Les ordinateurs peuvent raisonnablement faire du bon travail ». Le concours a été remporté alors que 110 équipes se sont affrontées.

Cette technologie se base sur du fuzzing, consistant à bombarder le logiciel cible avec des entrées et des commandes générées de manière aléatoire et également de l'« exécution symbolique », consistant à créer une représentation mathématique simplifiée du logiciel cible. Un doublé qui peut servir à analyser et identifier les points faibles potentiels de la cible réelle. La technique de fuzzing n'est pas exclusive à Maheym. En 2019, Google a par exemple lancé un outil de ce type ayant permis de détecter plus de 16 000 bugs dans Chrome. Pour autant, ForAllSecure estime avoir une longueur d'avance en permettant à son programme  d'être plus évolutif grâce à l'exécution symbolique pour trouver des bugs plus complexes.

Créativité et intuitivité en découverte de bugs pas encore dans Mayhem

D'après ses concepteurs, en particulier son CEO David Brumley, cet outil permet d'aider sur les expertises en cybersécurité. S'il ne peut pas remplacer les humains, sa technologie d'automatisation permet de gagner du temps sur le fastidieux travail de chasse aux bugs. Les équipes ont un savoir-faire, une capacité à lire du code et l'usage de logiciels ad hoc, et elles font preuve de créativité et d'intuition pour découvrir les failles, ce dont Mayhem est - pour l'heure - dépourvue.

Utilisé dans le cadre de la découverte de failles dans un système de contrôle d'avion, Mayhem a permis en quelques minutes de repérer une vulnérabilité qui a été vérifiée et patchée par le constructeur de l'appareil. A son actif, Mayhem a également la détection d'autres bugs comme celui découvert dans OpenWRT, utilisé par des millions de terminaux réseaux, ou encore de failles Netflix permettant l'envoi de films depuis un téléphone vers une télévision. Depuis sa création, la start-up ForAllSecure est parvenue à lever 15 millions de dollars (Series A) auprès notamment de New Enterprise Associates.