Teknik - De Nessus à Bromure (SSTIC)
05 juin 2026
Parce que... c'est l'épisode 0x31D!
Parce que… c’est l’épisode 0x31D!
Shameless plug
- 19 septembre 2026 - Bsides Montréal
- 20 au 26 septembre 2026 - BruCON
- 13 novembre 2026 - DEATHCon
- 16 au 19 novembre - European Cyber Week
- 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
- 24 et 25 février 2027 - SéQCure 2027
Description
De Nessus à Tenable : les débuts d’une légende
Dans cet épisode spécial de Polysécure, l’animateur reçoit Renaud Deraison, créateur de Nessus, le scanner de vulnérabilités développé il y a près de 30 ans, et cofondateur de Tenable où il a occupé le poste de CTO jusqu’à son départ il y a environ cinq ans.
Deraison raconte la genèse de Nessus : à 16 ans, passionné par le réseau internet naissant, il découvre l’univers de la sécurité informatique à une époque où les failles étaient publiées sur la mailing list Bugtraq, suivie par une communauté restreinte d’environ 20 000 abonnés. Insatisfait des outils existants comme Satan, jugés trop complexes et peu accessibles, il développe Nessus en 1998 avec une cinquantaine de tests de sécurité au départ. Le succès est immédiat et inattendu, poussant Deraison à poursuivre le projet, d’abord en open source, puis en produit commercial via Tenable, qui étendra la portée de l’outil de la simple DMZ à l’ensemble de l’infrastructure numérique des entreprises.
Le retour à la technique et la leçon de l’éloignement du clavier
Un thème central de la discussion est l’importance de rester connecté à la pratique technique concrète. Deraison explique qu’en grandissant chez Tenable, il a dû délaisser le code pour devenir « plus stratégique », perdant ainsi une compréhension viscérale de la technologie au profit d’une compréhension purement intellectuelle. Il souligne l’écart immense, en cybersécurité, entre comprendre un concept en théorie et l’expérimenter réellement : c’est en manipulant les outils qu’on découvre les vrais problèmes de sécurité et les idées de produits pertinentes.
Cette réflexion mène à une critique plus large de l’industrie de la cybersécurité, jugée parfois arrogante et déconnectée du vécu des utilisateurs, prompte à distribuer des leçons sans empathie pour les contraintes opérationnelles réelles (comme l’impossibilité de patcher immédiatement une machine critique sans interrompre un service).
Bromure : le navigateur jetable réinventé
Après son départ de Tenable, Deraison reprend goût au code, épaulé par les assistants IA, en commençant par ChatGPT puis Claude. L’élément déclencheur d’un nouveau projet est presque anecdotique : recevant de nombreux SMS frauduleux (offres de crédit douteuses, généré désormais dans un français impeccable et localisé grâce à l’IA), il souhaite savoir qui se cache derrière ces arnaques sans s’exposer lui-même.
Il se remémore alors Bromium, une entreprise des années 2010 qui isolait Internet Explorer dans un hyperviseur, avec l’idée qu’il était inutile de patcher puisqu’il suffisait de fermer et rouvrir un environnement neuf en cas de compromission. Inspiré par ce concept, Deraison développe Bromur (bromur.io), un navigateur jetable pour Mac fonctionnant sous Linux dans une VM, avec une expérience utilisateur quasi native : glisser-déposer de fichiers entre le Mac et la VM, support webcam, contrôle fin des téléchargements et téléversements. Une version serveur permet aussi de faire travailler des contractants externes dans un environnement streamé et surveillé, où impression, captures d’écran et téléchargements peuvent être bloqués.
Le projet intègre également un module (désactivé par défaut) utilisant un LLM pour analyser les pages visitées et détecter le phishing, en repérant par exemple des incohérences entre le contenu affiché et l’URL réelle, ou des tromperies visuelles comme l’usage de caractères d’un autre alphabet imitant des lettres latines. Deraison estime que le phishing reste un vaste chantier négligé par l’industrie, qui se contente trop souvent de solutions de formation jugées insuffisantes face à des attaques de plus en plus sophistiquées, y compris par deepfake vidéo.
Bromure Agentic : sécuriser les développeurs sans les freiner
Le second volet du projet, Bromure Agentic, s’attaque aux attaques de la chaîne d’approvisionnement logicielle (supply chain attacks), un risque majeur lorsqu’un package npm ou Python compromis vole les clés SSH, tokens d’authentification et autres identifiants sensibles présents sur la machine d’un développeur.
Plutôt que d’imposer des restrictions punitives comme le font certaines sandboxes existantes, Bromure propose une VM Linux complète où l’utilisateur dispose de faux tokens et fausses clés SSH. Un mécanisme de type « man in the middle » observe le trafic sortant et substitue à la volée les vrais identifiants aux faux, uniquement au moment nécessaire. Ainsi, même en cas de compromission, aucun secret n’est réellement exposé sur la machine. L’outil ajoute aussi des alertes en cas de mauvaise configuration et permet désormais de restreindre les droits (par exemple en lecture seule) sur les accès Kubernetes ou Git, sans exiger du développeur qu’il devienne expert en administration système.
Repenser des dogmes établis
La conversation aborde aussi la remise en question de certains dogmes de sécurité, comme le caractère « intouchable » du trafic SSL, que Deraison juge paradoxal : on surveille tout le comportement d’une machine, sauf le trafic chiffré sortant. L’inspection de ce trafic ouvre selon lui de nouvelles possibilités, comme bloquer les téléchargements de packages npm en version « latest », souvent les plus vulnérables au piratage.
Les deux interlocuteurs concluent sur une analogie automobile : de même que les usagers n’ont pas à comprendre le fonctionnement d’un moteur pour conduire, les utilisateurs et développeurs ne devraient pas avoir à devenir des experts en sécurité pour travailler efficacement. La responsabilité doit se déplacer vers des outils qui protègent sans punir, permettant à chacun de rester concentré sur son métier.
Notes
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux réels par SSTIC
Tags: navigateur, patch, pentest, virtualisation
Tweet












