LES ENTREPRISES EN ÉTAT DE SIÈGE -...

4e trimestre 2010

MAILLONS FAIBLES : les cyber-délinquants changent leurs cibles et leurs méthodes d’attaque

LES MALHEURS DES JAILBREAKERSEst-il vraiment sûr de jailbreaker un iPhone ?

L’ENNEMI EST À NOS PORTES Les faux antivirus deviennent rapidement l’une des principales menaces pour les utilisateurs

L’INTELLIGENCE ARTIFICIELLE FAIT SON ENTRÉE DANS LA SÉCURITÉ INFORMATIQUE Les systèmes autonomes qui traitent les infections

COMMENTAIRES D’EXPERTS

DE SIÈGELES ENTREPRISES EN ÉTAT

Comment protéger votre entreprise contre la cyber-délinquance

SOMMAIRE

ACTUALITÉSAvancées et tendances dans la sécurité informatique 4-9

DOSSIERBlack Hat USA 2010 : actualité et tendances de la conférence Black Hat USA 2010 10-11

A LA UNELes entreprises en état de siège : tout ce que vous devez savoir sur les menaces à l’encontre de l’entreprise 12-17

ANALySELes malheurs des Jailbreakers : les problèmes de sécurité récemment constatés sur les smartphones 18-21

L’ennemi est à nos portes :les faux antivirus prolifèrent 22-25

TECHNOLOGIEL’intelligence artificielle fait son entrée dans la sécurité informatique : Cyber Helper, un système autonome qui traite les infections 26-29

Sous contrôle : analyse desactivités applicatives 30-31

PRÉvISIONSMaillons faibles : les cyber-délinquants changent leurs cibles et leurs méthodes d’attaque 32-33

ENTRETIENÉvoluer au rythme des virus : techniques actuelles d’échantillonnage des programmes malveillants, par Nikita Shvetsov 34

EDITO

Cher lecteur,

Je suis certain que la plupart d'entre vous lit ces lignes pour le compte de son entreprise. Il y a fort à parier que votre entreprise dispose de son propre site Internet, qu'elle communique avec ses clients et partenaires par e-mail, voire par messagerie instantanée. Il n'est pas rare que certains d'entre vous emportent du travail chez eux pour travailler jusqu'à l'aube sur un document important. De nos jours, l'idée de travailler sans ordinateur ni Internet, ou de ne pas pouvoir terminer un travail urgent chez soi en cas de nécessité, semblerait des plus curieuses à la plupart des gens.

Vous vous demandez certainement où je veux en venir. Eh bien, si vous travaillez dans un bureau, il ne vous a certainement pas échappé qu'une solution de sécurité est installée sur votre ordinateur. Une solution similaire est certainement installée sur les serveurs du siège social de votre entreprise. Si ce n'est pas le cas, c'est très regrettable, mais oublions ce scénario-catastrophe pour le moment.

L'antivirus, ou le progiciel de sécurité plus complexe installé par les administrateurs système de votre entreprise, est conçu pour protéger votre ordinateur contre les attaques de pirates. Êtes-vous cependant certain que votre entreprise a mis en place une politique de sécurité suffisamment élaborée ? Si l'administrateur système n'installe pas régulièrement les mises à jour des systèmes d'exploitation et des logiciels sur les ordinateurs des utilisateurs, il n'y a aucune garantie qu'un cyber-délinquant déterminé n'exploitera pas à son avantage une faille non colmatée dans le système.

Êtes-vous certain que le smartphone que vous utilisez quotidiennement pour vos communications professionnelles, ou l'ordinateur portable sur lequel vous ou votre patron travaillez à domicile ou au bureau, est protégé contre un incident aussi banal que la perte ? En effet, si l'ordinateur portable que vous avez perdu ou qui vous a été dérobé à l'aéroport est tombé entre les mains d'escrocs, ils ont peut-être accès à toutes vos données confidentielles. Du moins, c'est possible si votre ordinateur n'est pas protégé par une solution de chiffrement adéquate ainsi qu'un identifiant et un mot de passe complexes.

Mais n'allons pas plus vite que la musique. Commencez par lire l'article À la une de ce numéro et vérifiez minutieusement que vous avez bien comblé toutes les failles par lesquelles un cyber-délinquant pourrait attaquer votre société. En parlant de menaces, vous et vos collègues êtes-vous suffisamment informés sur les faux antivirus et la manière dont ils peuvent pénétrer votre ordinateur ?

Rendez-vous au prochain numéro !Alexander Ivanyuk

Editor-in-ChiefAlexander Ivanyuk

SECUREVIEW

SECUREVIEW Magazine4e Trimestre 2010

Rédacteur en chef : Alexander IvanyukRédaction : Darya SkilyazhnevaConception : Svetlana Shatalova,Roman Mironov

Assistants de production :Rano Kravchenko

Contenu éditorial : [email protected]:// www.secureviewmag.com

© 1997 - 2010 Kaspersky Lab ZAO.Tous droits réservés. Antivirus leader du marché.

Les opinions des auteurs ne reflètent pas nécessairement celles de la Rédaction.

SECUREVIEW Magazine peut être distribué gratuitement dès lors qu’il s’agit du document PDF original, non modifié. La distribution de toute version modifiée de SECUREVIEW Magazine est strictement interdite sans l’autorisation explicite de la Rédaction. La réimpression est interdite sans l’autorisation de la rédaction.

ACTUALITÉS

www.secureviewmag.com4 | SECUREVIEW 4e trimestre 2010

ACTUALITÉS

www.secureviewmag.com 4e trimestre 2010 SECUREVIEW | 5

Le Dr Jacob Scheuer, de l’Université de Tel Aviv, a mis au point un système optique exclusif pour la distribution de clés cryptographiques secrètes. Il affirme que son système est quasi inviolable.En transmettant des informations

binaires de verrouillage sous la forme d’impulsions lumineuses, son appareil permet à l’expéditeur et au destinataire de déverrouiller le code, et à absolument personne d’autre. Le Dr Scheuer a trouvé un moyen de sécuriser les zéros et les uns transmis au moyen de la lumière et de rayons laser. « L’astuce », explique le Dr Scheuer, « consiste pour ceux qui se trouvent à l’une ou

l’autre extrémité de la liaison optique à envoyer des signaux laser différents qu’ils peuvent distinguer l’un de l’autre, mais qui semblent identiques à un espion ».« Au lieu de développer le

verrou ou la clé, nous avons développé un système qui joue le rôle de porte-clés », conclut le chercheur.

vULNÉRABILITÉS ENCRyPTION

Les recherches effectuées par l’I.N.R.I.A. (Institut National de Recherche en Informatique et en Automatique) ont révélé plusieurs vulnérabilités graves dans le protocole P2P BitTorrent. Celles-ci permettent d’espionner les utilisateurs de BitTorrent. Un pirate peut ainsi repérer l’identité d’un utilisateur, même protégé par un réseau anonymiseur tel que Tor.Le fonctionnement de Tor repose sur

des chaînes de serveurs proxy ainsi que sur un chiffrement multicouche du trafic. Les chercheurs ont découvert trois méthodes d’attaque pour contourner l’anonymat des utilisateurs de BitTorrent sur Tor.La première consiste à inspecter la

charge utile de certains messages de contrôle de BitTorrent et à rechercher l’adresse IP publique de l’utilisateur. Une attention toute particulière est accordée aux messages d’annonce qu’un client envoie au programme suiveur pour collecter une liste de pairs chargés de distribuer le contenu, ainsi qu’à l’établissement de la liaison.Les messages envoyés par

certains clients immédiatement après l’établissement de la liaison par l’application contiennent parfois l’adresse IP de l’utilisateur.La deuxième méthode d’attaque

consiste à réécrire la liste de pairs renvoyée par le programme suiveur, afin d’inclure l’adresse IP d’un pair sous contrôle. Lorsque l’utilisateur se connecte directement au pair contrôlé par l’attaquant, ce dernier peut contourner l’anonymiseur

en inspectant l’en-tête IP. Si cette attaque est précise, elle ne fonctionne que lorsque l’utilisateur s’en remet uniquement à Tor pour se connecter au programme suiveur.La troisième et dernière méthode

consiste à exploiter la DHT (Distributed Hash Table, table de hachage répartie) pour rechercher l’adresse IP publique d’un utilisateur. En effet, Tor ne prend pas en charge le trafic UDP alors que la DHT de BitTorrent utilise le port UDP. Du coup, lorsqu’un client BitTorrent ne parvient pas à contacter la DHT via l’interface Tor, il est redirigé vers l’interface publique et communique ainsi son adresse IP publique dans la DHT. Sachant que l’identifiant du contenu et le numéro de port d’un client transitent par le nœud de sortie, et que les numéros de ports sont répartis uniformément, un pirate peut exploiter ces informations pour identifier un utilisateur de BitTorrent dans la DHT. Cette attaque de la DHT est très précise et fonctionne même lorsque le pair passe par Tor pour se connecter aux autres.Par le piratage et les attaques de la

DHT, les chercheurs ont contourné l’anonymiseur et repéré près de 9 000 adresses IP publiques d’utilisateurs de BitTorrent sur le réseau Tor. En particulier, ils ont exploité le multiplexage des flux de différentes applications parvenant au même circuit pour déterminer les habitudes de navigation des utilisateurs de BitTorrent sur Tor.

Des chercheurs ont conçu un nouveau type de générateur de nombres aléatoires pour le chiffrement des communications et divers autres usages. Les lois de la physique garantissent la sécurité du chiffrement, sa confidentialité et son caractère purement aléatoire.Bien que les évènements qui se

produisent autour de nous puissent sembler arbitraires, aucun n’est réellement aléatoire, dans le sens où ils n’auraient pu être prédits avec des connaissances suffisantes. En effet, le hasard véritable est quasiment inexistant. Cela constitue une préoccupation constante pour les ingénieurs qui doivent chiffrer des données et des messages confidentiels au moyen d’une longue chaîne de nombres aléatoires formant une clé pour le codage et le décodage. Pour des raisons pratiques, ils emploient typiquement divers algorithmes mathématiques appelés « générateurs de nombres pseudo-aléatoires » afin d’approcher du chiffrement idéal. Cependant, ils ne peuvent jamais être totalement certains de l’invulnérabilité du système ou qu’une séquence apparemment aléatoire n’est pas en réalité prévisible d’une manière ou d’une autre.Stefano Pironio et Serge Massar, de

l’Université Libre de Bruxelles (ULB), travaillant en partenariat avec des spécialistes européens et américains de l’information quantique, ont toutefois fait la démonstration d’une méthode de production d’une chaîne certifiable de nombres aléatoires

fondée sur les principes de la physique quantique. Leur solution découle d’une découverte faite en 1964 par le physicien John Bell : deux objets peuvent se trouver dans une situation exotique appelée « intrication quantique », où leurs états respectifs deviennent si interdépendants que, si on effectue une mesure pour déterminer une propriété de l’un, on détermine instantanément la propriété correspondante de l’autre, même si les deux objets sont très éloignés l’un de l’autre.Bell a démontré mathématiquement

que si les objets ne présentaient pas cette intrication quantique, leur corrélation devrait être inférieure à une certaine valeur, appelée « inégalité ». En revanche, du fait de cette intrication quantique, leur taux de corrélation est supérieur, entraînant une « violation » de cette inégalité. « L’important est que la violation de l’inégalité de Bell n’est possible que si l’on mesure des systèmes quantiques authentiques », explique M. Pironio. « En conséquence, si nous pouvons confirmer qu’il y a violation de l’inégalité de Bell entre deux systèmes isolés, nous avons la certitude que notre dispositif a produit une chaîne réellement aléatoire, indépendamment de toute imperfection expérimentale ou de tout détail technique. Cependant, pour appliquer concrètement cette intuition initiale, nous devions quantifier l’entropie effectivement produite et déterminer si elle est sûre dans un contexte de chiffrement. »

Contournement des anonymiseurs

Nombres aléatoires certifiés par le théorème de Bell

Source: http://arxiv.org/PS_cache/arxiv/pdf/1004/1004.1267v1.pdf

Source: www.physorg.com/pdf190468321.pdf

TEST D’ANTIvIRUS AvIS D’EXPERT

Récemment, je discutais avec mes collègues de Kaspersky Lab de notre sujet de conversation favori : l’état actuel des tests d’antivirus, lorsque, à un moment donné, quelqu’un a mentionné le nom d’un obscur laboratoire de test fondé récemment en Extrême-Orient. Personne n’en avait jamais entendu parler et mon collègue Aleks Gostev, pour plaisanter, les a qualifiés d’« Andreas Marx dissidents ». Nous nous sommes alors rendu compte que certains de ces nouveaux laboratoires de test semblaient imiter la tactique des faux antivirus. Que faut-il entendre par là, exactement ? Eh bien, comme nous le savons, le modèle économique des faux antivirus consiste à vendre une fausse protection. Nous autres professionnels savons les reconnaître, mais pas les malheureuses victimes. Les utilisateurs achètent un faux antivirus en espérant qu’il résoudra leur problème de sécurité mais, dans le meilleur des cas, les produits ne font rien ; au pire, ils peuvent installer un logiciel malveillant supplémentaire. Les faux testeurs d’antivirus ont un comportement un peu similaire. Dans leur cas, le modèle économique ne repose plus sur une fausse protection mais, sur une fausse insécurité. Comment procèdent-ils ? Il semble qu’ils commencent par un certain nombre de tests qui semblent licites et imitent une situation réelle. Ensuite, les tests deviennent progressivement plus « compliqués » et les performances des produits de sécurité se dégradent. Il arrive parfois que le produit le plus performant lors du test précédent devienne subitement le moins efficace du groupe. Dans d’autres cas, tous les

produits échouent lamentablement. Finalement, l’idée principale se fait jour : tous les produits de sécurité sont mauvais et absolument inutiles. D’où la fausse impression d’insécurité renvoyée par les tests : vous n’êtes pas à l’abri, vous avez jeté votre argent par les fenêtres, faites attention ! De plus, les faux testeurs d’antivirus appliquent certaines techniques consistant, par exemple, à ne pas indiquer le nom des produits dans les résultats de test publiés et à tenter de vendre ces résultats pour des sommes exorbitantes. Voici quelques-unes des caractéristiques que nous avons identifiées comme propres aux faux testeurs d’antivirus et qui vous aideront à les repérer :1. Ils ne sont affiliés à aucun organisme de test sérieux tel que l’AMTSO. Il arrive qu’ils indiquent de fausses affiliations, voire qu’ils affichent un faux logo de l’AMTSO (par exemple) sur leur site Web pour échapper à la suspicion.2. Ils publient des rapports publics gratuits, mais font payer les rapports « complets ». En général, les rapports publics doivent sembler le plus catastrophique possible pour tous les produits testés afin de tirer plus de profit de la vente des rapports complets.3. Les rapports publics regorgent de graphiques d’aspect complexe, mais ils révèlent parfois des erreurs amusantes. 4. Ils prétendent que tous les produits antivirus (ou de sécurité) sont inutiles. C’est la pierre angulaire de tout commerce centré sur un « faux sentiment d’insécurité ».5. Ils font payer les échantillons et les méthodologies, exigeant souvent des sommes exorbitantes, pour s’assurer

que ces fausses méthodologies et ces faux échantillons ne peuvent pas être examinés par des ingénieurs indépendants.Les testeurs ayant pignon sur rue mettent les échantillons et les méthodologies gratuitement à la disposition des développeurs des produits qu’ils testent. Ils ne font payer que le droit de publier les résultats dans la presse ou l’autorisation de les utiliser dans des supports marketing. Faire payer des échantillons indique clairement que quelque chose ne colle pas.Il existe d’autres caractéristiques, mais je pense que tout le monde a compris le principe.Nous avons assisté à une prolifération exponentielle des faux antivirus, qui sont devenus l’un des produits phares de la cyber-délinquance. Je ne serais pas surpris d’assister à l’apparition d’une vague de faux testeurs d’antivirus, également attirés par la perspective de gros profits. Bien entendu, le pire qui puisse arriver c’est qu’ils dégradent fortement l’image de toute la branche de la sécurité informatique.Ainsi, si vous tentez de comparer des solutions de sécurité, je vous conseille de vous en tenir aux organismes ayant pignon sur rue tels que Virus Bulletin, AV-TEST.ORG et AV-COMPARATIVES ou des revues dont la réputation n’est plus à faire. En cas de doute, renseignez-vous sur leur affiliation à l’AMTSO et, enfin, n’oubliez pas la liste de conseils qui vous aideront à identifier un faux testeur d’antivirus.Ne soyez pas à votre tour victime des faux testeurs d’antivirus !

Apparition des faux testeurs d’antivirus

Costin Raiu Director of Kaspersky Lab’s Global Research

& Analysis Team

CRyPTOGRAPHIE

Clé laser

Source: http://www.sciencedaily.com/releases/2010/03/100323121834.htm

ACTUALITÉS


ACTUALITÉS


Le chercheur Stephan Chenette a publié une extension pour Firefox appelée FireShark. Elle permet de créer des représentations graphiques des relations criminelles, ainsi que des schémas de distribution de code malveillant. Cette extension permet d’intercepter le trafic Web à partir d’un navigateur, de consigner les

évènements dans un journal et de télécharger le contenu sur disque pour l’analyser après traitement.Ce logiciel pourrait devenir un

puissant outil d’investigation et de lutte contre les programmes malveillants.Il peut être téléchargé gratuitement

à partir du site Web de l’auteur.

RÉSEAUX SOCIAUX

Un groupe de chercheurs a révélé les limites fondamentales de la confidentialité sur les réseaux sociaux présentées par les recommandations personnalisées. Celles-ci ne peuvent pas être faites sans divulguer des relations confidentielles entre les utilisateurs.Facebook recommande de

nouveaux contacts en fonction des modèles de connexion entre les utilisateurs existants ; Amazon recommande des livres et d’autres produits en fonction des habitudes d’achat ; enfin, Netflix recommande des films en fonction de l’historique des notes attribuées. Certes, ces sites renvoient des résultats utiles pour les utilisateurs ainsi que pour les sites marchands, qui augmentent ainsi leurs ventes. Ils risquent cependant aussi de menacer la vie privée des utilisateurs.Par exemple, une recommandation

sur un réseau social peut indiquer qu’une personne a échangé des e-mails avec une autre, ou qu’un individu a acheté un certain produit ou vu un film donné. Découvrir que votre ami ne fait pas confiance à vos jugements concernant les livres peut même constituer une violation de la confidentialité.Aujourd’hui, les chercheurs

affirment que les violations de la confidentialité sont inévitables lorsque les réseaux sont exploités de cette manière. Ils ont d’ailleurs établi une limite fondamentale pour le niveau de confidentialité possible lorsque des réseaux sociaux sont truffés de recommandations.L’approche scientifique consiste

à examiner une représentation générale constituée de nœuds et de liens. Il peut s’agir d’un réseau où les nœuds sont, par exemple des livres. Le lien entre deux nœuds sera alors l’achat

d’un livre par le propriétaire d’un autre livre. L’équipe considère que tous ces liens sont des informations d’ordre privé. Les chercheurs partent de l’hypothèse d’un pirate qui rechercherait dans la représentation un lien partant d’une recommandation particulière. Sachant que ceux qui ont acheté le livre X ont également acheté le livre Y, est-il possible de déterminer une décision d’achat faite par un individu particulier ?Pour ce faire, les scientifiques

définissent le différentiel de confidentialité comme étant le

rapport entre les probabilités que le site Web fasse une telle recommandation avec la décision d’achat privée et sans elle. Ils se demandent alors dans quelle mesure il est possible de faire des recommandations tout en préservant ce différentiel de confidentialité.Il apparaît un compromis entre la

précision de la recommandation et la confidentialité du réseau. Ainsi, la perte de confidentialité est inévitable avec un bon moteur de recommandation.

Limites fondamentales de la confidentialité des recommandations

Source: http://www.technologyreview.com/blog/arxiv/25146/

Amazon recommande des livres et d’autres produits en fonction des habitudes d’achat

CHIFFREMENT

Le laboratoire de recherche européen de Toshiba à Cambridge a annoncé une percée importante dans le domaine du chiffrement quantique.Les chercheurs sont parvenus

à démontrer pour la première fois la possibilité d’une distribution ininterrompue de clés quantiques avec un débit

sécurisé supérieur à 1 Mbits/s sur 50 km de fibre optique. Rapporté à une moyenne calculée sur 24 heures, c’est 100 à 1 000 fois plus rapide que tous les résultats obtenus jusqu’ici sur une liaison de 50 km. Deux innovations ont permis d’obtenir ce résultat : un nouveau détecteur optique pour les débits

binaires élevés et un système de réponse qui maintient le débit binaire constamment élevé sans configuration ni réglage manuel.Cette percée permettra une

utilisation quotidienne du chiffrement par « masque jetable », méthode en théorie parfaitement secrète. Bien qu’ultrasécurisé, le chiffrement par masque jetable a vu son usage limité dans le passé, car il exige la transmission de clés

secrètes très longues, en fait, aussi longues que les données proprement dites. Pour cette raison, il n’a été appliqué qu’à des messages courts dans des situations exigeant une sécurité extrêmement élevée, par exemple par les militaires et les services de sécurité. Le débit binaire obtenu permettra d’appliquer cette méthode de communication ultrasécurisée aux échanges quotidiens.

Record de débit binaire quantique

Source: http://www.toshiba-europe.com/research/crl/qig/Press2010-04-19-qcbreakthrough.html

CALCULS QUANTIQUES

Un nouveau programme permettant de créer de l’argent quantique interdirait toute contrefaçon.A l’instar des espèces ordinaires,

il serait possible d’échanger des espèces quantiques pour obtenir des marchandises. Elles seraient échangées via l’Internet sans nécessiter de passer par des tiers tels que les banques ou les émetteurs de cartes de crédit. Cela rendrait les transactions anonymes et difficiles à repérer, à la différence des transactions en ligne d’aujourd’hui, qui laissent toujours une trace électronique. C’est un avantage important par rapport à

l’argent tel que nous le connaissons aujourd’hui. L’autre avantage est qu’il est impossible de copier les états quantiques ; en conséquence, il est impossible de falsifier l’argent quantique.Cependant, l’argent quantique doit

avoir une autre propriété : tout le monde doit pouvoir s’assurer qu’il est authentique. C’est là que le bât blesse, car mesurer les états quantiques tend à les détruire. Cela revient un peu à faire brûler un billet de banque pour s’assurer de son authenticité.Il existe cependant un moyen de

contourner ce problème, fondé sur les principes du chiffrement par clé

publique. Il s’agit donc de trouver un procédé mathématique facilement applicable dans un sens, mais difficile à déchiffrer dans l’autre. La multiplication en est un exemple connu. Il est facile de multiplier deux nombres pour en obtenir un troisième, mais difficile de partir de celui-ci pour trouver les deux nombres multipliés. Pour les gourous de l’argent quantique, il s’agit de savoir si un procédé asymétrique similaire offrira les mêmes garanties de sécurité.Un groupe de recherche dirigé par

Edward Farhi a développé l’argent quantique sécurisé à partir d’un nouveau type d’asymétrie. Les chercheurs se sont inspirés de la théorie des nœuds, branche de la topologie qui traite des nœuds et des liens. La sécurité recherchée pour

le programme d’argent quantique proposé repose sur l’hypothèse que, pour deux nœuds apparemment différents mais équivalents, il est difficile de trouver explicitement une transformation de l’un pour remplacer l’autre.

Infalsifiabledevise

Source: http://www.technologyreview.com/blog/arxiv/25135/

MENACES SUR LES SERvICES EN LIGNE

Une équipe de recherche internationale a démontré qu’il était possible de pirater les services Google et de reconstituer l’historique des recherches des utilisateurs.Premièrement, à l’exception de

quelques services accessibles uniquement par le protocole HTTPs (par ex., Gmail), les chercheurs ont constaté que de nombreux services Google restent vulnérables au piratage de sessions simples.Ensuite, ils ont présenté

Historiographer, nouvelle forme d’attaque qui reconstitue l’historique de recherche des utilisateurs de Google, à savoir l’historique de Google, même si ce service est censé être protégé contre le piratage de session par une politique de contrôle d’accès plus stricte. Historiographer utilise une technologie qui

reconstitue l’historique des recherches à partir des inférences tirées des suggestions personnalisées du moteur de recherche Google. L’attaque reposait sur le fait que les utilisateurs de Google recevaient des suggestions personnalisées en fonction des mots-clés utilisés lors de recherches précédentes. Les chercheurs ont montré que près d’un tiers des utilisateurs suivis étaient connectés à leur compte Google. L’historique Web étant activé pour la moitié d’entre eux, ils étaient vulnérables à ce type d’attaque.Les attaques en question sont

générales et soulignent les problèmes de confidentialité des architectures mixtes combinant des connexions sécurisées et non sécurisées. Les résultats de la recherche ont été communiqués à Google. La société a alors décidé

de suspendre temporairement les suggestions de recherche à partir de l’historique et

proposé d’accéder aux pages de l’historique Google uniquement via le protocole sécurisé HTTPs.Piratage des services Google

Source: http://arxiv.org/PS_cache/arxiv/pdf/1003/1003.3242v3.pdf

Visualisation du Web malveillant

Source: http://www.fireshark.org/

Par exemple, FireShark permet de repérer facilement les sites licites infectés qui redirigent les utilisateurs vers des domaines malveillants.

ACTUALITÉS


ACTUALITÉS


L’une des principales menaces pour la virtualisation et le cloud computing réside dans les programmes malveillants permettant à des virus informatiques ou à d’autres programmes malveillants infiltrés sur le système d’un client de se propager à l’hyperviseur sous-jacent et, à terme, au système d’autres clients. Pour résumer, l’une des principales préoccupations concerne le risque qu’un client du service externalisé télécharge un virus, qui dérobe ses données, par exemple, puis le propage aux systèmes de tous les autres clients.« Si ce type d’attaque est possible,

elle sape la confiance dans les

services externalisés. En effet, les consommateurs craindront pour la confidentialité de leurs données personnelles », explique Xuxian Jiang, professeur assistant en informatique à l’université d’État de Caroline du Nord.Par exemple, la spécialiste polonaise

de la sécurité Joanna Rutkowska a démontré que, dans les attaques Blue Pill, un rootkit contourne la protection par signature numérique des pilotes du mode noyau et intercepte les appels du système d’exploitation.Cependant, Jiang et son élève titulaire

d’un doctorat Zhi Wang ont développé un module logiciel appelé HyperSafe, qui

exploite les caractéristiques du matériel existant pour protéger les hyperviseurs contre de telles attaques.« Nous sommes en mesure de garantir

l’intégrité de l’hyperviseur sous-jacent en le protégeant contre les programmes malveillants téléchargés par un utilisateur donné », explique Jiang. « Ce procédé nous permet d’isoler l’hyperviseur. »Pour qu’un programme malveillant

s’attaque à un hyperviseur, il doit généralement exécuter ses propres instructions dans celui-ci. HyperSafe fait appel à deux composants pour empêcher cela. D’abord, le programme HyperSafe « applique une technique appelée “verrouillage de mémoire non contournable”, qui interdit explicitement

et en toute fiabilité l’introduction de nouvelles instructions par quiconque n’est pas l’administrateur de l’hyperviseur » poursuit Jiang. « Cela empêche également des

utilisateurs extérieurs de modifier le code existant de l’hyperviseur. »Ensuite, HyperSafe applique une

technique appelée « indexation par pointeur restreint ». Cette technique « commence par caractériser le comportement normal de l’hyperviseur puis interdit tout écart par rapport à ce profil », poursuit Jiang. « Seuls les administrateurs de l’hyperviseur peuvent introduire des modifications dans le code de l’hyperviseur. »

Des chercheurs égyptiens ont proposé un protocole d’authentification mutuelle qui empêche les attaques sur les puces RFID à bas coût.Les systèmes RFID sont vulnérables à une multitude d’attaques allant de l’écoute passive aux interférences actives. À la différence des réseaux filaires, où les systèmes informatiques disposent généralement à la fois de défenses centralisées et sur l’hôte, telles qu’un pare-feu, les attaques contre les réseaux RFID peuvent cibler les parties décentralisées de l’infrastructure du système. En effet, les lecteurs et les puces RFID fonctionnent dans un environnement intrinsèquement instable et potentiellement bruyant.

Les puces RFID peuvent constituer un risque considérable pour la sécurité et la confidentialité des entreprises et des individus qui les utilisent. Sachant qu’une puce ordinaire communique son identifiant à n’importe quel lecteur et que l’identifiant renvoyé est toujours le même, un pirate peut facilement s’infiltrer dans le système en lisant les données de la puce et en les dupliquant sous forme de fausses puces. Les puces non protégées peuvent être vulnérables à l’écoute électronique, aux violations de confidentialité, à l’espionnage et aux attaques par déni de service.Les puces RFID à bas coût telles que les EPC (Electronic Product Code, code produit électronique) sont

vouées à connaître la plus grande prolifération de l’histoire. Des milliards de puces RFID sont d’ores et déjà sur le marché. Elles sont utilisées dans des applications telles que la gestion de la chaîne logistique, la gestion des stocks ainsi que les systèmes de contrôle d’accès et de paiement. La conception d’un protocole d’authentification réellement léger pour les puces RFID à bas coût présente un certain nombre de difficultés, compte tenu de leurs capacités de calcul, de mémoire et de communication extrêmement limitées.Des chercheurs ont proposé de modifier le protocole d’authentification mutuelle de Gossamer utilisé par ces puces. Le protocole proposé empêche les attaques passives, qui ne sont habituellement pas prises en compte lors de la conception d’un protocole conforme aux exigences des

puces RFID. L’analyse du protocole montre que les modifications ajoutées renforcent le niveau de sécurité du protocole de Gossamer et empêchent l’écoute des messages publics entre le lecteur et la puce. Ces modifications sont toutefois sans effet sur le coût des capacités de calcul, de stockage et de communication du protocole de Gossamer.

CyBER SÉCURITÉ

TECHNOLOGIE

Une équipe internationale de chercheurs a publié un rapport sur les systèmes mondiaux de cyber-espionnage intitulé « Shadows in the Cloud » (des ombres dans le nuage).Ce rapport présente le résultat de leur enquête au sein d’un écosystème complexe de cyber-espionnage qui, selon les auteurs, « menaçait systématiquement les réseaux informatiques des gouvernements, des entreprises, des universités et autres en Inde, dans les bureaux du Dalaï-lama, aux Nations Unies et dans plusieurs autres pays ». Ce rapport présente également une

analyse des données dérobées à des cibles politiquement sensibles et récupérées au cours de l’enquête.Le rapport analyse également l’écosystème de programmes malveillants employé par les attaquants de l’ombre, qui reposait sur plusieurs architectures informatiques externalisées et redondantes, des réseaux sociaux et des services d’hébergement gratuits.Voici les principaux constats du rapport :• Le réseau de cyber-espionnage est complexe.• Le vol de documents classifiés et

sensibles est répandu.• Il existe des preuves de risques collatéraux.• L’infrastructure de commande

et de contrôle exploite les réseaux sociaux en ligne.• Il existe des liens avec la communauté du piratage chinois.

Des chercheurs proposent une solution informatique fiable entièrement nouvelle offrant une sécurité et une authentification renforcées. Le projet européen RE-TRUST (http://re-trust.dit.unitn.it/) promeut une technologie assurant l’authentification en temps réel et à distance d’une machine non authentifiée via le réseau.Ce procédé assure une authentification continue pour l’exécution d’un composant logiciel

par une machine distante, même si celui-ci s’exécute dans un environnement non authentifié.La technologie proposée permet aussi bien une authentification à distance exclusivement logicielle qu’une authentification assistée par le matériel. Là où cette dernière nécessite une puce spéciale sur la carte mère de l’ordinateur ou dans un lecteur USB, RE-TRUST fait appel à des composants logiques sur une machine non authentifiée. Il active

ainsi un composant permettant d’authentifier, via le réseau, le fonctionnement de la machine non authentifiée pendant l’exécution. Il

veille ainsi à la bonne exécution du logiciel et au maintien de l’intégrité du code, garantissant de la sorte une sécurité presque complète.

Enquête sur le cyber-espionnage dans le monde

Authentification à distance plus performante

Source: http://Shadows-in-the-Cloud.net

Source: http://www.sciencedaily.com/releases/2010/04/100413131939.htm

Source: http://airccse.org/journal/nsa/0410ijnsa3.pdf

Concentrations d’adresses IP non uniques d’hôtes compromises (tiré du rapport « Shadows in the Cloud »)

SÉCURITÉ SANS FIL

Sécurisation des puces RFID

Authentification logicielle à distance pendant l’exécution

MENACES POUR LA SÉCURITÉ

Protection des hyperviseurs CHIFFREMENT

Les entreprises soucieuses de la sécurité examinent un grand nombre de technologies de développement lorsqu’elles doivent bâtir un site Internet. La question qui revient le plus souvent est la suivante : « Quel est le langage de programmation ou l’environnement de développement le plus sûr du marché ? »Un rapport de WhiteHat Security apporte certains éléments de réponse.Les 10 principaux constats du rapport sont les suivants :• Empiriquement, les langages/environnements de programmation n’ont pas la même posture vis-à-vis de la sécurité une fois déployés. Ils présentent des vulnérabilités moyennement différentes, avec des fréquences d’occurrence différentes, et qui sont corrigées au bout de délais différents.• La surface d’attaque d’une application Web à elle seule n’est pas nécessairement liée au volume ni au type des problèmes identifiés. Par exemple, l’expérience montre que Microsoft .NET et Apache Struts, dont la surface d’attaque est proche de la moyenne, sont ceux

qui ont les vulnérabilités moyennes les plus basses.• Perl présente un nombre moyen de vulnérabilités largement supérieur, de 44,8 par site Web ; avec 11,8, il conserve aujourd’hui le nombre le plus élevé.• Struts a dépassé Microsoft .NET pour le nombre moyen le plus faible de vulnérabilités actuellement ouvertes par site Web, avec un score de 5,5 contre 6,2.• Historiquement, ColdFusion arrive au deuxième rang du plus grand nombre moyen de vulnérabilités par site Web, avec 34,4. C’est toutefois le moins susceptible de présenter une vulnérabilité grave non résolue s’il est géré sous WhiteHat Sentinel (54 %). Il est talonné par Microsoft ASP Classic qui, avec un taux de 57 %, battait son successeur Microsoft .NET de tout juste un point.• Les sites Web codés en Perl, ColdFusion, JSP et PHP sont, dans quelque 80 % des cas, les plus susceptibles de présenter au moins une vulnérabilité grave. Les autres langages et environnements se tenaient tous dans une fourchette de dix points de pourcentage.

• Parmi les sites Web contenant des URL avec des extensions Microsoft .NET, 36 % des vulnérabilités comportaient des extensions Microsoft ASP Classic. Inversement, 11 % des vulnérabilités des sites Web en ASP comportaient des extensions Microsoft .NET.• 37 % des sites Web ColdFusion présentaient des vulnérabilités SQL Injection, taux le plus élevé mesuré, alors que Struts et JSP arrivaient en dernier avec, respectivement, 14 % et 15 %. • Avec une moyenne de 44 jours,

ce sont les vulnérabilités SQL Injection qui ont été réparées le plus rapidement sur les sites Web Microsoft ASP Classic, juste devant PERL (PL) dont la moyenne est de 45 jours.• 79 % des vulnérabilités SQL Injection « urgentes » ont été corrigées sur les sites Web Struts, la plupart sur site. Elles sont suivies par les vulnérabilités Microsoft .NET (71 %) et Perl (71 %), les suivantes se situant entre 58 % et 70 %.Ce rapport repose sur les données de 1 659 sites Internet.

Quel langage de programmation Web est le plus sûr ?

Source: http://www.whitehatsec.com/home/resource/stats.html

Source: http://www.scientificcomputing.com/news-HPC-New-Security-for-Virtualization-Cloud-Computing-050310.aspx

DOSSIER | Black Hat USA 2010


Black Hat USA 2010 | DOSSIER


rétro-ingénierie, les programmes malveillants, les empreintes digitales et leur exploitation, mais également sur les nouveautés de l’informatique, à savoir, le cloud computing et la virtualisation, ainsi que la guerre informatique.

BRAQUAGE DE DAB

L’intervention de Barnaby Jack, directeur de la recherche chez IOActive Labs, était l’une des plus attendues du Black Hat USA 2010. M. Jack a traité de deux types d’attaque contre les distributeurs automatiques de billets (DAB) sous Windows CE : dans le premier cas, il s’agissait d’une attaque physique au moyen d’une clé maîtresse qu’il est possible de se procurer sur Internet et d’une clé USB permettant de réécrire le micrologiciel de la machine à l’aide d’un rootkit sur mesure ; dans le second, il s’agissait d’une attaque à distance exploitant une faille du dispositif d’authentification de l’administration à distance des DAB, qui permettait de réécrire le micrologiciel à distance.

Cette intervention était à la fois révélatrice et décevante. Il était stupéfiant de voir à quel point le travail de rétroingénierie des DAB et de création d’un outil logiciel sur mesure appelé « Dillinger » de Barnaby Jack pour réécrire tout le système d’exploitation de la machine était approfondi. Cet outil permet de prendre le contrôle du DAB et de transmettre des commandes à distance ordonnant au DAB de distribuer des billets. D’ailleurs, le « Dillinger » doit son nom au célèbre braqueur de banques. La déception, du point de vue d’un chercheur perfectionniste, venait du fait qu’il ne s’est concentré que sur les DAB fonctionnant sous Windows CE, système d’exploitation déjà ancien qui n’est pas très répandu dans d’autres régions du monde.

Par exemple, à la différence des États-Unis, les deux attaques de la démonstration de Barnaby Jack , physique et à distance, seraient impossibles dans la plupart des pays européens.

Globalement, les progrès accomplis dans les recherches sur la sécurité des DAB vous incite à y regarder à deux fois avant d’utiliser un DAB,

en particulier en voyage. Sans parler des frais bancaires, inévitables, pourquoi ne pas éviter purement et simplement les DAB ?

DU RIFIFI CôTÉ CLIENT

Nicholas Percoco et Jibran Ilyas, membres de l’équipe SpiderLabs de Trustwave, ont présenté le Malware Freak Show 2010, discussion prolongeant la présentation initiale du Malware Freak Show au DEFCON 17 en 2009. Cette année, ils ont traité des nouveautés les plus intéressantes dans le domaine des programmes malveillants, qui ont fait l’objet de plus de 200 enquêtes de leur part en 2009.

Notamment, la combinaison des connaissances acquises dans les cas où tous deux étaient impliqués a révélé que les cyber-délinquants passaient en moyenne 156 jours à explorer l’environnement d’une victime avant de se faire prendre. Ce chiffre très préoccupant confirme la faiblesse du niveau de conscience et d’éducation dans les entreprises en matière de sécurité.

Cette présentation comprenait la description d’une attaque réussie par un programme malveillant, un profil de chaque échantillon et de chaque victime, ainsi qu’une démonstration en direct de chaque élément d’un programme malveillant : un rootkit pour la mémoire, un intercepteur d’identifiants pour Windows, un rootkit d’écoute réseau et un programme malveillant d’attaque qui télécharge des documents sur un serveur FTP.

TRAQUE DES CyBER- ESPIONS ET CRIMINELS

Greg Hoglund, la référence dans le domaine des rootkits Windows, a présenté quelques techniques permettant de trouver l’origine des programmes malveillants. Le procédé qu’il définit comme consistant à « repérer les humains derrière le programme malveillant » vise à en savoir plus sur les auteurs de ces programmes. Ce type d’information peut être très utile pendant les investigations.

Il part de l’idée qu’un logiciel n’est pas facile à écrire et que les programmeurs s’en remettent au principe que si une faille n’est pas exploitée, il est inutile de la corriger. Lorsqu’un programmeur a écrit un code qui fonctionne, il ne perd pas de temps à le réécrire. Au contraire, il est probable qu’il le réutilisera à chaque fois qu’il le pourra.

Tous les cyber-délinquants, agissant seuls ou en groupe, réutilisent généralement le code qu’ils créent. Pour le prouver, Greg Hoglund a étudié le cas d’un RAT (Remote Administration Tool, outil d’administration à distance) chinois appelé « gh0st RAT ». Il a montré à l’auditoire comment il avait découvert que les programmes malveillants

de 2010 utilisaient toujours du code de 2005, ce qui permettait d’établir un lien entre des éléments vieux de cinq ans. Ces techniques sont tout à fait propres aux développeurs.

Dans sa conclusion, Greg Hoglund appelle le monde de la sécurité à se concentrer sur l’identification des auteurs plutôt que du programme malveillant proprement dit.

CONFIDENTIALITÉ DU TÉLÉPHONE MENACÉE

Le chercheur en chiffrement Karsten Nohl a présenté les failles, les astuces et les idées qui lui ont permis de déchiffrer l’A5/1, système utilisé pour protéger les appels GSM. Il a notamment été aidé dans cette recherche par la prévisibilité de certains paquets de communication GSM, les paquets de maintien de la liaison, dans un flux de paquets différents.

Le correctif de cette faille a été publié il y a deux ans, mais aucun réseau GSM ne l’a mis en œuvre pour le moment en dépit de sa relative simplicité. Il est beaucoup plus facile d’intercepter la communication provenant de l’antenne et destinée au téléphone portable qu’en sens inverse. En effet, les téléphones portables adaptent dynamiquement la puissance de sortie de leur signal pour économiser la batterie et peuvent être en mouvement dans des lieux entourés par des bâtiments. À l’inverse, les antennes envoient des signaux à puissance élevée, sont stationnaires et installées en hauteur.

En conséquence, la majorité des réseaux GSM d’aujourd’hui n’est pour ainsi dire pas sécurisée. Le chiffrement est très peu fiable ou, dans des pays tels que la Chine ou l’Inde, carrément inexistant. Pour y remédier, il est possible d’utiliser le téléphone exclusivement en mode UMTS. Cependant, tous les appareils ne le permettent pas et la couverture 3G n’est pas disponible dans les régions isolées.

JUSQU’À L’ANNÉE PROCHAINE

Comme vous pouvez le constater dans les archives en ligne de Black Hat, il y a eu de nombreuses autres présentations intéressantes : http://www.blackhat.com/html/bh-us-10/bh-us-10-archives.html.

Comme c’est souvent le cas lorsque des milliers de chercheurs dans le domaine de la sécurité sont réunis au même endroit, plusieurs incidents ont marqué la conférence Black Hat de cette année. Par exemple, la liaison en direct a été piratée par un chercheur de Mozilla, qui a volontairement communiqué les failles rencontrées à la société assurant la liaison.

Des évènements tels que celui-ci font de Black Hat une manifestation passionnante et un véritable défi. RE

Stefan est Senior Security Researcher chez Kaspersky Lab. Il est spécialisé dans la sécurité des applications Web, des menaces basées sur le Web et les programmes malveillants de deuxième génération. Stefan participe à plusieurs projets de recherche innovants couvrant les bases de données malveillantes, les honeypots (pots de miel) ou les robots qui analysent en permanence le trafic Internet afin de repérer et de neutraliser les nouvelles menaces.En tant que membre de l’équipe mondiale de recherche et d’analyse, Stefan publie des analyses sur l’actualité de la sécurité sur threatpost.com et securelist.com, les portails d’information et d’éducation de Kaspersky Labs sur les virus, les pirates et les spams. Stefan est également souvent invité à intervenir lors de conférences internationales de premier plan sur la sécurité telles que Virus Bulletin, la RSA et l’AVAR.

Article deStefan Tanase

Aujourd’hui dans sa 13ème année, le Black Hat est la Mecque de la sécurité informatique. Les dernières découvertes des chercheurs sont divulguées lors des 11 conférences réparties sur deux jours. Les deux discours inauguraux de cette année ont été prononcés par Jane Holl Lute, actuelle secrétaire d’État adjointe à la sécurité intérieure des États-Unis, et par Michael Vincent Hayden, ancien directeur de la NSA et de la

CIA. Ce n’est pas une surprise, d’autant moins que Jeff Moss, fondateur des conférences Black Hat et DEF CON est membre assermenté du Homeland Security Advisory Council (conseil consultatif pour la sécurité intérieure) du gouvernement de Barack Obama.

Cette année, plus de 200 intervenants ont présenté les résultats de leurs travaux dans le domaine de la sécurité sur des thèmes essentiels tels que les infrastructures, la

Las vegas – l’oasis des spécialistes de la sécurité

Chaque année, toute l’industrie de la sécurité attend les rencontres Black Hat dans l’étouffant du désert entourant Las Vegas. Cette année n’a pas dérogé à la règle, puisque 6 000 personnes intéressées par les questions de sécurité sont venues du monde entier pour se réunir au Ceasars Palace de Las Vegas, dans le Nevada, où se tient traditionnellement la conférence. Depuis les sociétés privées jusqu’aux organismes gouvernementaux en passant par les chercheurs, les administrateurs système et les représentants des forces de l’ordre, tout le monde était là. « Des chercheurs du monde entier viennent au Black Hat pour identifier les menaces pour la sécurité et, ensemble, trouver des solutions. La communauté Black Hat est l’une de nos meilleures ressources pour la sécurité de l’Internet », a déclaré Jeff Moss, fondateur de Black Hat.

Ceasars Palace : le repère du Black Hat

Barnaby Jack shows how jackpotting works on vulnerable ATMs


À LA UNE | Menaces aux entreprises Menaces aux entreprises | À LA UNE


Article deJoerg GeigerChief Technology Expert at Kaspersky Lab

De nos jours, il est tout à fait inacceptable de mal protéger ses systèmes informatiques voire, pire encore, de ne pas les protéger du tout. Une infrastructure informatique d’entreprise doit intégrer une protection fiable et complète contre les menaces informatiques.

OBJECTIFS ET TâCHES

Il convient de noter qu'il n'existe pas de programmes malveillants spécialement conçus pour cibler les systèmes d'information d'entreprise. Les outils employés par les pirates informatiques sont toujours les mêmes, que la cible soit un particulier ou une société, la seule vraie différence étant l'échelle des dommages ; aussi les entreprises doivent-elles accorder une attention particulière à leurs mesures de protection. Les cyber-délinquants ont bien plus d'intérêt à s'attaquer à des sociétés plutôt qu'à des particuliers, tout simplement parce que les gains éventuels sont nettement supérieurs. En effet, il est extrêmement rare qu'un pirate informatique ou un auteur de virus travaille pour rien. En général, lorsqu'ils éprouvent le besoin de tester leurs compétences, ils essaient d'abord de s'assurer que leurs efforts seront rémunérés comme il se doit.

Les raisons qui poussent le plus souvent les pirates à attaquer des entreprises sont les suivantes :

• Dérober des informations confidentielles,

notamment financières, avec l'objectif de bénéficier de leur utilisation ou de leur revente. Il peut s'agir, par exemple, de bases de données appartenant à des établissements financiers.

• Débloquer l'infrastructure informatique d'une entreprise avec l'intention d'extorquer de l'argent à cette entreprise contre la reprise du fonctionnement de son infrastructure informatique. En outre, un pirate peut vouloir nuire à la réputation d'une entreprise ou interrompre ses processus métier en ayant recours aux attaques par déni de service distribué (DDOS).

• Utiliser les ressources informatiques d'une entreprise dans le but d'attaquer d'autres entreprises.

Les personnes qui commandent des attaques de piratage sont généralement des concurrents malhonnêtes, des fraudeurs financiers ou des individus impliqués dans l'espionnage industriel. Ainsi, il est probable que le jour où une entreprise a prévu de lancer un nouveau produit, les pirates qui agissent pour le compte d'un concurrent créent une panne sur le site Web de l'entreprise en question, privant de la sorte cette dernière des nombreux clients potentiels qui auraient consulté le site. Il arrive aussi régulièrement qu'un concurrent acquière des informations précises sur une importante transaction en piratant le système informatique d'une autre entreprise et que ladite transaction échoue par la suite. Il se peut également que des données financières soient dérobées par un membre malhonnête du personnel dans le but d'engager une transaction illégale. Dans les cas les plus dangereux, une infrastructure

sociale essentielle peut être mise hors service si l'entreprise chargée de sa maintenance est attaquée par un pirate informatique.

MÉTHODES D’ATTAQUE

Comment les cyber-délinquants accèdent-ils aux informations d'entreprise ? Quels sont leurs moyens d'attaque privilégiés ? Premièrement, les caractéristiques particulières des réseaux d'entreprise jouent en la faveur des cyber-délinquants. En effet, ces réseaux sont généralement : à grande échelle, distribués entre plusieurs divisions géographiques, hiérarchisés en fonction de l'hétérogénéité de leurs composants, chargés de traiter des niveaux de trafic élevés et de prendre en charge de très nombreux utilisateurs.

Les réseaux appartenant à de grandes entreprises dotées de plusieurs filiales géographiquement disséminées sont constitués de matériel réparti entre différentes villes et parfois même différents pays, ainsi que de centaines de kilomètres de câbles pour les communications. Tout ceci ne permet que très difficilement d'empêcher l'accès non autorisé au réseau ou l'interception de données confidentielles transmises sur le réseau. Un pirate peut se connecter discrètement à un point donné du réseau et surveiller en secret le trafic réseau sans que personne ne remarque sa présence. Il peut encore se faire passer pour

Aujourd’hui, les ordinateurs stockent et traitent tous types d’informations officielles. Ils génèrent des rapports d’activité, réalisent des analyses économiques, assurent la planification, et servent également à la conception et à la modélisation techniques. Les entreprises promeuvent leurs produits via Internet et communiquent avec l’ensemble des consommateurs grâce aux ordinateurs. Les biens de consommation sont désormais vendus et achetés par le biais de la vente en ligne et des boutiques sur Internet. Dans les activités commerciales quotidiennes, les ordinateurs et les smartphones sont devenus d’indispensables outils de communication pour les professionnels et les clients comme pour les directeurs d’entreprise. Grâce aux nouvelles possibilités qui se profilent grâce à l’informatique, les entreprises peuvent maintenant bénéficier d’un ensemble d’opportunités commerciales inédites. Ces entreprises comptent fortement sur une infrastructure informatique stable pour préserver leurs processus métier et leur avantage concurrentiel.

Comme nous l’avons indiqué plus haut, la présence d’informations financières ou confidentielles sur les ordinateurs attire les individus les plus malhonnêtes, qui veulent exploiter ces informations de façon illicite pour en tirer un avantage personnel. En outre, n’oublions pas que les entreprises peuvent subir des pertes considérables si des membres véreux du personnel prennent connaissance d’informations confidentielles. Les violations de sécurité graves sont passibles de sanctions par la loi. Dans la plupart des pays, la violation

des règles de sécurité est une infraction pouvant faire l’objet de poursuites au titre de la responsabilité criminelle et, le cas échéant, d’un retrait des licences octroyées par l’État et de toute autre licence.

Le regain d’intérêt des informations commerciales et l’automatisation des processus métier sur les réseaux d’entreprise ne font qu’inciter les pirates informatiques à sév i r. Pour fa i re face à ce la , les ent repr ises informatiques développent donc non seulement des systèmes de gestion et d’enregistrement automatisés, mais également des processus technologiques ; en effet, l’informatique est aujourd’hui un acteur majeur dans les domaines de la comptabilité, du stockage et des RH, mais aussi de la fabrication et de la production.

Les entreprises en état de siège

Joerg Geiger compte 11 ans d’expérience dans la presse informatique. Après avoir obtenu un diplôme en informatique, Joerg a travaillé en tant que Senior Editor pour plusieurs magazines papier et en ligne. Au cours des 3 dernières années, Joerg a travaillé comme journaliste freelance pour des journaux allemands, des sites Web et de nombreuses sociétés informatiques et s’est spécialisé dans les systèmes d’exploitation, la sécurité informatique et l’informatique mobile.

Les entreprises d’aujourd’hui ne peuvent pas survivre sans informations et sans informatique. Cette dernière est devenue indispensable à toute entreprise privée, publique ou d’envergure internationale. Toutefois, l’informatique s’accompagne également d’une importante source de problèmes et de menaces que les entreprises doivent affronter. Grâce aux programmes malveillants, les pirates informatiques peuvent dérober les informations confidentielles contenues sur les ordinateurs, ce qui peut avoir pour conséquence d’entacher la réputation commerciale de l’entreprise, d’inhiber les transactions et de violer les droits de propriété intellectuelle. Lorsqu’ils sont sous le contrôle des pirates, les réseaux informatiques d’entreprise peuvent propager des spams et des programmes malveillants non seulement localement, mais aussi sur les ordinateurs des clients et des partenaires reconnus comme fiables. Les pannes de logiciel et de matériel entraînent des interruptions indésirables, l’arrêt des processus métier stratégiques et de grosses pertes de temps pour le personnel. Il ne s’agit ici que d’un aperçu des menaces qui pèsent aujourd’hui sur les entreprises ; dans cet article, nous examinerons ces menaces de façon plus détaillée.

Internet a depuis longtemps été utilisé pour la majorité des transactions financières d’entreprise

Les cyber-délinquants n’ont pas à s’attaquer à une entreprise entière pour obtenir des informations financières ou confidentielles. Il est plus simple de cibler un individu d’un service administratif ou RH, services dans lesquels les connaissances informatiques sont généralement plutôt faibles

Un pirate informatique n’a normalement pas besoin d’accéder directement à l’ordinateur cible d’une entreprise : désormais, les attaques sont menées à distance via Internet

À LA UNE | Menaces aux entreprises


Menaces aux entreprises | À LA UNE


un utilisateur autorisé et envoyer des demandes d'informations et des messages au nom de l'utilisateur légitime. Le piratage peut survenir tant sur les sections privées que publiques (Internet) d'un réseau. Dans ce cas, le cyber-délinquant n'est pas tenu de se trouver proche physiquement du canal piraté, car grâce aux outils et aux méthodes de piratage disponibles sur Internet, il peut pirater un réseau à distance.

L'une des méthodes les plus connues pour infecter des ordinateurs consiste à utiliser des programmes appelés « chevaux de Troie », qui s'introduisent dans une machine cible via des liens vers des programmes malveillants contenus dans des spams, des messages instantanés, des téléchargements intempestifs et via l'exploitation des vulnérabilités au sein des différentes applications logicielles.

Parmi l'ensemble des méthodes d'infection susmentionnées, les vulnérabilités des logiciels sont l'un des problèmes les plus préoccupants de l'environnement d'entreprise. Les vastes réseaux d'entreprise sont constitués d'un nombre impressionnant de composants : stations de travail, serveurs, ordinateurs por tables, smar tphones, etc. qui sont

tous susceptibles de fonctionner sous le commandement d'un système d'exploitation distinct. La situation devient plus complexe encore si l'on tient compte également de la diversité des fonctions offertes par les composants d'un grand réseau d'entreprise. Le matériel couvre alors différentes divisions, réalise diverses tâches, est adapté à chaque unité et est souvent fabriqué par différents fabricants. Il est presque impossible de suivre tous les programmes installés sur l'ensemble des systèmes et des périphériques cités. Les administrateurs informatiques doivent constamment mettre à jour les programmes et installer des correctifs pour les ressources de tout le système, mais c'est une tâche complexe, plus difficile encore lorsque l'administrateur doit attendre longtemps qu'un correctif indispensable soit créé et distribué par le fabricant. Par conséquent, les cyber-délinquants peuvent attaquer le réseau d'une entreprise en exploitant ses vulnérabilités, par exemple en installant un programme malveillant sur une ancienne version d'Adobe Reader, ce qui entraîne des conséquences fâcheuses pour les ordinateurs du réseau d'entreprise. Dans ce type de situation, même les techniciens ne s'apercevront de rien s'ils ne se tiennent pas

informés des dernières vulnérabilités détectées sur les logiciels liés aux applications.

Les cyber-délinquants peuvent également exploiter une autre lacune, à savoir le grand nombre de collaborateurs et donc le grand nombre d'utilisateurs et de points d'accès qui en découlent. Plus le nombre d'utilisateurs finaux et de nœuds est élevé, plus il y a de risques de défaillance accidentelle des procédures de sécurité ou de violation non intentionnelle de la politique de sécurité. Il est donc plus difficile pour les administrateurs d'identifier les utilisateurs dignes de confiance, surtout lorsque les utilisateurs peuvent être aussi bien des membres du personnel que, par exemple, des clients. C'est pourquoi le contrôle des utilisateurs s'avère ardu ; de nos jours, les méthodes simples comme l'enregistrement des données de l'utilisateur ne sont plus valables, il faut donc recourir à des méthodes plus élaborées comme l'authentification, l'autorisation et l'audit. Les systèmes informatiques d'entreprise modernes ne doivent plus se contenter d'autoriser ou de refuser aux utilisateurs l'accès aux données : ils doivent aussi proposer divers niveaux d'accès qui tiennent compte de facteurs tels que le temps, l'appartenance à un groupe, les droits d'auteur, etc. Aujourd'hui, un utilisateur professionnel bénéficie d'une palette de services plus étendue. Il a bien souvent accès à Internet, qui est inondé de programmes malveillants, il dispose d'une connexion mobile, désormais peu sécurisée, et d'un accès distant depuis son domicile, ce qui rend la tâche difficile pour l'employeur qui veut vérifier si les mots de passe d'accès aux serveurs de l'entreprise sont conservés en toute sécurité. Malheureusement, les entreprises n'instaurent que rarement des politiques de sécurité exhaustives, laissant ainsi la voie libre aux cyber-délinquants qui continuent de profiter abusivement de la situation et mènent des attaques ciblées.

FORMATION

Pour réduire efficacement les attaques contre les entreprises, l'une des clés consiste à former le personnel de façon régulière, toutes équipes confondues (aussi bien techniques qu'administratives). La plupart du temps, c'est ce dernier groupe qui est victime du plus grand nombre d'attaques réussies, menées grâce à des techniques d'ingénierie sociale. De toute évidence, quand un utilisateur ne connaît pas réellement les règles de base de la sécurité informatique, il peut constituer la faille qui permet aux pirates d'entrer dans le réseau d'entreprise et ce, même si un administrateur très compétent a mis en œuvre les paramètres de sécurité les plus rigoureux.

Apprenez à vos collaborateurs à ne pas répondre aux e-mails et aux messages

instantanés de nature suspecte, qui risquent fort de contenir des liens hypertextes malveillants. Expliquez-leur que même l'e-mail ou le SMS d'un ami peut présenter un danger et qu'il est préférable de s'assurer de la fiabilité d'un message, quel qu'il soit, avant de cliquer dessus. Répétez autant de fois que nécessaire à vos équipes que rien n'est offert gratuitement, que les banques et les réseaux sociaux ne demandent jamais de communiquer un identifiant ou un mot de passe pour un simple problème d'infrastructure ou parce

qu'elles mettent à jour leur base de données d'utilisateurs. Encore une fois, vous devez absolument apprendre à vos collaborateurs à bien réfléchir et à rester prudents.

COMPLEXITÉ

Que peut-on faire dans le cadre de la sécurité d'entreprise pour éviter que les criminels ne gagnent la partie ? Par-dessus tout, il est primordial de comprendre que la protection du réseau d'entreprise doit être complexe et multicouche. En effet, avant de pouvoir concevoir et mettre en place un réseau sécurisé, il faut considérer toutes les menaces possibles qui pèsent sur l'intégrité et la confidentialité des informations qu'il contiendra, sans oublier d'envisager la manière dont le réseau pourrait être piraté, notamment via un support externe et les vulnérabilités logicielles. Les mesures prises pour neutraliser toute menace doivent être complexes et comporter de préférence des méthodes à la fois organisationnelles et techniques. Les moyens de protection organisationnels doivent intégrer un ensemble

de procédures d'entreprise ainsi qu'une approche structurée du travail en lien avec la documentation et les informations. Il appartient aux directeurs d'entreprise de bien identifier les informations d'ordre confidentiel, les équipes qui peuvent accéder à ces informations et la manière de configurer un système de façon à éviter tout manquement aux règles d'accès.

Les moyens de protection techniques peuvent inclure tous les types de matériel : appareils qui permettent d'éliminer le rayonnement électromagnétique et d'éviter l'espionnage, mécanismes de contrôle des accès, systèmes de chiffrement, programmes antivirus, pare-feu, etc.

Il ne faut pas oublier qu'en matière de procédures techniques complexes, il est crucial de limiter l'utilisation des supports externes tels que les clés USB et les disques durs portables. Il est aussi conseillé de ne plus permettre ou au moins de contrôler l'enregistrement de données sur des CD-ROM. Pour ce faire, il existe des moyens techniques, comme par exemple la fermeture des ports au niveau du BIOS auquel un utilisateur lambda n'aurait pas accès. De plus, la plupart des solutions antivirus d'entreprise

La structure d’un réseau d’entreprise classique est généralement bien plus complexe que celle illustrée dans cette image

Si l’utilisation d’un support de stockage mobile n’est pas rigoureusement gérée, il se peut que les données confidentielles ne soient plus protégées

Toute grande solution de sécurité informatique dédiée aux réseaux d’entreprises contient des modules de gestion centralisée de la protection.

À LA UNE | Menaces aux entreprises

www.secureviewmag.com16 | SECUREVIEW 4e trimestre 2010 www.secureviewmag.com 4e trimestre 2010 SECUREVIEW | 17

Menaces aux entreprises | À LA UNE

sont dotées d'une fonction intégrée qui permet de contrôler un port USB ou d'autres ports de périphériques. Les membres du personnel dont le travail implique l'utilisation d'un support de stockage mobile doivent disposer d'un système de chiffrement automatique et en faire usage, afin de protéger les données en cas de vol ou de perte.

D'autres mesures tout aussi importantes, qui sont trop souvent négligées par les entreprises, comprennent la protection des points d'accès sans fil et des canaux de transmission des données. Si vous avez protégé l'intégralité de votre infrastructure, mais que vous n'avez pas configuré le chiffrement WEP de vos réseaux Wi-Fi ou défini de politique de changement de mot de passe mensuelle, alors votre protection ne rime à rien. De façon générale, l'utilisation du Wi-Fi au sein d'une entreprise doit être aussi limitée que possible. Il convient de réguler la portée du signal en adaptant la puissance émise par l'émetteur, de fournir aux utilisateurs des mots de passe temporaires, de créer des profils pour les invités sur le réseau Wi-Fi et de limiter l'accès aux ressources internes, etc.

CENTRALISATION

La protection d'un réseau d'entreprise est un processus permanent et continu, et doit couvrir l'ensemble du cycle de vie des informations, de leur arrivée dans l'entreprise à leur destruction, à leur perte de valeur ou à la baisse de leur degré de confidentialité. Une protection fiable permet de contrôler en temps réel tous les événements importants et des faits susceptibles d'affecter la sécurité. La mise en œuvre de la gestion centralisée des systèmes de sécurité est particulièrement importante. Cette approche favorise l'obtention rapide d'une image complète des événements du réseau depuis un point d'accès unique et fournit une méthode centralisée de résolution des tâches. Avec cette méthode, vous surveillez et luttez efficacement contre les menaces courantes. En parallèle, il ne faut négliger ni l'application de diverses politiques de sécurité dans les différentes divisions, ni l'adoption d'une méthode personnalisée de résolution des tâches. La gestion centralisée de la sécurité du réseau via une interface unique présente l'avantage suivant : les administrateurs système ne perdent plus de temps à se familiariser avec plusieurs solutions de sécurité différentes. Les solutions antivirus modernes offrent précisément ce niveau de contrôle aux entreprises. En général, ces solutions intègrent un système de gestion centralisée qui permet de gérer les nombreux modules logiciels de sécurité dont : les paramètres du système antivirus, la configuration des paramètres d'applications individuels et de groupe, l'accès aux différentes ressources, les mises à jour de

bases de données, la surveillance continue de l'état du réseau et la réponse dynamique en cas de situation critique.

EXHAUSTIvITÉ

Un système de sécurité doit avant tout être suffisamment robuste. Autrement dit, il doit offrir un niveau optimal de protection, de disponibilité et de résilience. Pour cela, le système de sécurité a besoin de disposer de matériel et de logiciels de secours lui permettant de faire face aux incidents (par exemple quand un composant tombe en panne).

En outre, ce système doit utiliser des technologies efficaces, aptes à gérer les menaces connues et à lutter contre les nouvelles attaques, grâce à l'intégration de fonctions supplémentaires telles que l'analyse heuristique et la détection de signatures.

Les outils d'analyse heuristique, ainsi que les émulateurs de scripts et les émulateurs d'exécution de fichiers, sont employés lorsqu'un échantillon de programme est absent des bases de données d'antivirus. Ils permettent d'émuler l'exécution de programmes au sein d'un environnement isolé et virtuel.

Cette procédure est totalement sécurisée et aide à analyser l'activité des programmes, de sorte que leur niveau de risque puisse être évalué avec un haut degré de fiabilité avant leur exécution en environnement réel. De cette manière, les nouvelles menaces sont détectées avant même que les analystes antivirus ne les identifient et leurs signatures peuvent être intégrées dans les bases de données antivirus appropriées. Lorsqu'un système de sécurité est robuste et exhaustif, son efficacité en tant que moyen de protection dure plus longtemps.

ÉQUILIBRE RAISONNABLE

Il est toujours nécessaire de trouver un équilibre raisonnable entre les fonctions d'un système de sécurité et la quantité de ressources utilisées. Plus une solution possède d'options et de fonctions, plus elle consomme de ressources informatiques, humaines et autres. Il est impensable d'allouer une grande partie des ressources du réseau d'entreprise à la solution de sécurité, car le réseau doit déjà traiter d'importantes charges de travail : il est tenu de prendre en charge simultanément un grand nombre d'utilisateurs, de parcourir des bases de données étendues, d'acheminer de grands volumes de trafic, tout cela avec précision et rapidité. Les éditeurs de solutions antivirus veillent avec sérieux à assurer l'équilibre entre la productivité et la protection de leurs systèmes. Ainsi, il est possible de définir des paramètres pour que les analyses du système soient exécutées uniquement quand l'ordinateur n'est pas utilisé, notamment quand il est verrouillé ou mis en veille. Cela permet, par exemple, de réaliser une analyse heuristique en même temps qu'une analyse antivirus, sans perturber le travail du personnel. De plus, les produits antivirus modernes comprennent des technologies capables d'augmenter considérablement la vitesse d'exécution d'une application antivirus, grâce à la protection continue et à l'analyse à la demande. La vitesse est également accrue car les fichiers analysés une fois ne sont plus contrôlés, à condition toutefois que cela n'entraîne pas de risque d'infection. En étant complémentaires, ces technologies peuvent réduire significativement le temps et les ressources utilisés pour l'analyse antivirus de divers objets, fichiers et systèmes d'exploitation.

FLEXIBILITÉ

Un système de sécurité doit en outre être flexible et évolutif, afin de s'adapter à la grande diversité de tâches, de conditions de travail et de critères quantitatifs liés à un réseau d'entreprise. De nos jours, il est facile et rapide d'augmenter, de réduire ou de changer les capacités des ordinateurs. Les menaces évoluent également à une vitesse inquiétante, les systèmes de sécurité doivent donc être prêts à les contrer. Pour ce faire, les solutions de sécurité haut de gamme exigent de pouvoir mettre à jour pratiquement tous leurs composants ; ainsi, les solutions de protection contre les programmes malveillants doivent mettre à jour non seulement leurs bases de données de signatures, mais également leurs fonctions de détection des schémas comportementaux des programmes malveillants ainsi que leurs propres algorithmes d'exploitation.

INTERACTIvITÉ

L'interactivité est une autre caractéristique essentielle. Le système de sécurité doit être capable d'interagir avec un utilisateur expérimenté ou un administrateur système ou réseau. Il doit fournir à l'utilisateur les informations qui lui permettront de baser ses décisions et qui l'avertiront des erreurs éventuelles. Les paramètres du système et les modules de sécurité seront de préférence compréhensibles pour un utilisateur non spécialiste, qui ne possède aucune connaissance spécifique dans le domaine de la sécurité des données. Cela permet aux grandes entreprises de former rapidement leurs propres spécialistes et aux PME de bénéficier d'un système sécurisé sans avoir besoin d'embaucher des administrateurs de sécurité ou même des informaticiens. Pour atteindre cet objectif, les développeurs de solutions antivirus sont de plus en plus attentifs aux interfaces de leurs produits, qu'ils tâchent de rendre aussi simples et transparentes que possible. Ils attachent une importance particulière à l'envoi de notifications en cas de menace pesant sur la sécurité du système. Le système doit indiquer à l'administrateur les actions à effectuer pour rétablir les niveaux de protection habituels. L'interface doit par ailleurs permettre à l'administrateur de passer rapidement d'une tâche à l'autre (analyse antivirus, mise à jour de base de données antivirus, etc.).

COMPATIBILITÉ ET HÉTÉROGÉNÉITÉ

La compatibilité est un élément indispensable à tout système de sécurité ; ce dernier doit pouvoir fonctionner parfaitement dans un réseau d'entreprise complexe et hétérogène sans nuire aux autres composants. Un système antivirus d'entreprise doit également être capable de s'exécuter avec plusieurs périphériques différents. Les systèmes informatiques modernes peuvent être constitués non seulement de postes de travail, de serveurs de fichiers et de serveurs de

messagerie, mais également d'ordinateurs portables et de smartphones. Les smartphones sont généralement synchronisés avec les ordinateurs, c'est pourquoi si un utilisateur ouvre un lien vers un programme malveillant sur son téléphone, il existe un vrai risque de transmettre le virus au réseau d'entreprise pendant le processus de synchronisation des messages ou des éléments du calendrier avec l'ordinateur en réseau.

Par ailleurs, il convient de considérer les smartphones comme des périphériques de stockage de données mobiles : tous les messages et les échanges de courriers, ainsi que les contenus de mémoire flash et de cartes mémoire qui sont utilisés pour le stockage supplémentaire de données doivent être obligatoirement chiffrés. C'est la condition sine qua non pour garantir l'intégrité des informations stockées en cas de perte de périphérique. Lors du choix d'une solution de protection de périphérique mobile, il est nécessaire de bien veiller à ce qu'il soit possible de bloquer un smartphone égaré, même si la carte SIM a été remplacée par le voleur. Sinon, le cyber-délinquant peut échapper au contrôle des personnes qui essaient de récupérer le périphérique et, après avoir retiré la carte SIM du téléphone, être à même d'utiliser comme bon lui semble l'appareil et les précieuses informations qu'il contient.

En outre, il est important de rappeler que quand une entreprise utilise des machines dotées de différents systèmes d'exploitation, tous doivent être protégés sans exception, sans quoi la sécurité du réseau ne pourra pas être assurée. Si un administrateur croit que le système Mac OS X présente peu de virus et que par conséquent, le risque est moindre pour l'entreprise et qu'il n'est pas indispensable de protéger les ordinateurs Macintosh, il se trompe totalement. C'est justement par le biais de ce genre de négligence que les menaces des programmes malveillants les plus nuisibles risquent d'arriver sur les ordinateurs équipés de Windows (par exemple, via un lien vers un programme malveillant qui s'active une fois entré dans un environnement Microsoft). Il se peut également qu'un cheval de Troie téléchargé sous Mac OS X se copie automatiquement sur une carte mémoire flash, qui soit ensuite introduite dans un autre poste de travail géré par un système d'exploitation Windows.

CONCLUSION

Les nouvelles menaces et vulnérabilités liées à la sécurité informatique sont plus nombreuses que jamais et rien n'indique une amélioration prochaine de la situation. Néanmoins, si vous êtes administrateur d'entreprise ou spécialiste de la sécurité et que vous assurez une protection satisfaisante sur tous les fronts, alors votre entreprise a de bonnes chances de prospérer. Formez régulièrement vos collaborateurs à la sécurité informatique. Les politiques de sécurité distribuées et les droits d'accès doivent être obligatoires et fournir des solutions de protection à l'ensemble des nœuds du réseau, des passerelles aux extrémités, sans oublier les smartphones ou ordinateurs portables de la direction. N'oubliez pas : en décidant de réaliser une économie ponctuelle sur la protection du réseau, c'est l'intégralité des activités de votre entreprise que vous pouvez mettre en danger. RE

Il faut chiffrer non seulement les données contenues dans le téléphone, mais également les données stockées sur toute carte mémoire associée, au cas où cette dernière comporte des informations importantes

Les produits de Kaspersky Lab pour les utilisateurs professionnels sont des

solutions complexes, destinées aux réseaux

hétérogènes et distribués, ce qui revêt

une importance cruciale aujourd’hui. Nos solutions

conçues pour Windows, Linux, Mac, Novell

NetWare et les systèmes d’exploitation mobiles

sont faciles à installer et à utiliser. Les solutions de Kaspersky Lab apportent

une protection à tous types de nœuds de réseau, des périphériques mobiles

aux serveurs. Elles sont capables de contrôler

tous les flux de données entrants et sortants, du courrier électronique au

trafic Internet en passant par les interactions du

réseau interne, et offrent également de puissants

outils de gestion.Toutes les solutions

de Kaspersky Lab comprennent la console

de gestion Kaspersky Administration Kit, qui permet la gestion et le

contrôle centralisés de la protection du réseau dans l’ensemble de l’entreprise,

en intégrant tous les niveaux de protection

dans un système unique. Ces solutions assurent l’évolutivité, informent

sur l’état de la protection antivirus du réseau, aident à contrôler l’utilisation des

périphériques externes, offrent des politiques de sécurité exclusives pour

les utilisateurs nomades, prennent en charge les

technologies de contrôle d’accès au réseau et les rapports personnalisés, et enfin permettent aux

administrateurs de gérer le système efficacement

via une interface transparente.

Nikolay GrebennikovChief Technology Officer

chez Kaspersky Lab

EXPERT COMMENTS

ANALySE |


| ANALySE


« Ma grand-mère ne sait pas ce que c'est que le débridage et n'a jamais eu à se soucier de ce que font les débrideurs. Si elle voulait débrider son téléphone, il lui suffirait de le brancher à un ordinateur, de télécharger des outils spéciaux, puis de prier pour que ça marche », déclare Charlie Miller, pirate d'iPhone réputé et chercheur de la société Independent Security Evaluators de Baltimore (Maryland). « Aujourd'hui, nous sommes toutefois confrontés à quelque chose qui risque de changer radicalement votre téléphone par la simple visite d'une page Web. Autrement dit, grand-mère pourrait surfer sur Internet et visiter un site malveillant qui exploiterait la même faille que l'exploit et téléchargerait du code malveillant sur son téléphone. »

GUERRE DES CORRECTIFS

Quatre jours après la mise en service de jailbreakme.com, Apple annonçait la publication prochaine d'un correctif développé pour protéger les utilisateurs. Presque immédiatement, les défenseurs du débridage avertissaient les utilisateurs sur Twitter.com et les autres réseaux sociaux qu'il ne fallait pas télécharger le correctif d'Apple car il annulerait le débridage, voire pire.

Aux yeux de certains experts de la sécurité, ce conseil est apparu comme de mauvaise augure. Mikko Hypponnen, directeur de la recherche de la société de sécurité informatique finlandaise F-Secure Corp., était parmi ceux qui ont condamné l'équipe pour avoir conseillé de ne pas appliquer le correctif.

« Imaginez si la même chose était arrivée avec Microsoft Windows. Supposez que quelqu'un crée un exploit "0 day", ne le signale pas à Microsoft, puis le publie. Supposez encore que Microsoft réagisse avec un correctif mais que des milliers de gens clament dans le monde entier qu'il ne faut pas l'appliquer », explique M. Hypponen. « Si c'est le genre de conseil qu'ils veulent adresser à ceux qui ont débridé leur téléphone, grand bien leur fasse. Seulement ils ont rendu tout le

monde vulnérable, car ces exploits sont déjà à l'affût, et même ceux qui n'ont pas débridé leur téléphone reçoivent le conseil de ne pas effectuer la mise à jour alors qu'ils devraient le faire. »

Quelques jours après la publication de son exploit, l'équipe qui a créé le débridage sur le Web, un groupe appelé iPhone Dev Team, ainsi qu'un développeur ayant pour pseudo « Comex », ont publié « PDF Warner », un outil que les débrideurs peuvent installer pour être avertis si un site Web tente d'exploiter la faille afin d'installer un programme malveillant.

La Dev Team a même publié son propre correctif officieux pour ceux qui avaient débridé leur téléphone. Ce correctif allait encore plus loin dans la protection des utilisateurs que celui d'Apple, qui ne corrige pas la faille des iPhone antérieurs aux versions iPhone 2.x.

Will Strafach, développeur indépendant du Connecticut qui a contribué à tester l'exploit de jailbreakme.com, a reconnu que le correctif officieux prenait un peu plus longtemps que prévu et qu'il n'est toujours pas installé par défaut lorsque les utilisateurs se connectent à jailbreakme.com. Cependant, il fait observer que ni cet exploit, ni un exploit jailbreakme.com exécutable à distance publié dès novembre 2007 ou similaire n'a jamais entraîné d'attaque par des programmes malveillants.

« Peu d'éléments filtreront sur le fonctionnement des exploits, même après la publication du correctif par Apple. De ce fait, à ce jour je n'ai encore jamais vu de programme malveillant s'attaquer aux deux exploits de jailbreakme.com », a déclaré M. Strafach.

Techniquement, M. Strafach a raison. Là encore, les seules vraies menaces pour l'iPhone ne se sont matérialisées que sur des appareils déjà débridés, en exploitant la configuration par défaut abandonnée pendant le débridage. En novembre 2009, un ver relativement inoffensif, « Ikee », s'est répandu rapidement sur les iPhone qui avaient été débridés mais où les utilisateurs avaient commis la négligence de ne pas changer le mot de passe SSH par défaut. Le ver Ikee était plus une nuisance qu'une menace à proprement

parler puisqu'il remplaçait simplement le papier peint des utilisateurs imprudents par une photo du chanteur des années 80, Rick Astley.

Cependant, une seconde version moins connue d'Ikee a introduit le premier cheval de Troie connu pour applications bancaires conçu spécialement pour l'iPhone. Appelé simplement « Ikee.b », ce ver modifiait le fichier « hosts » de l'iPhone. Il y ajoutait simplement une entrée, de sorte que quiconque essayait de se rendre sur le site Web de la banque ING aux Pays-Bas (www.ing.nl) depuis un iPhone infecté était redirigé vers un faux site web ING hébergé à Tokyo conçu pour intercepter les coordonnées de la victime.

Cette attaque est passée relativement inaperçue dans la presse, probablement parce qu'elle n'a touché qu'une toute petite minorité d'utilisateurs d'iPhone, à savoir les utilisateurs des Pays-Bas utilisant un iPhone débridé pour accéder à leur banque en ligne. « Surtout, explique M. Hypponen, le faux site ING n'a été en ligne que brièvement avant d'être fermé. »

« Ce qu'il faut retenir, c'est que nous sommes appelés à voir les exploits tels que celui-ci se multiplier avec l'iPhone et les autres plates-formes mobiles. Surtout, il est probable que les attaques dirigées contre les téléphones portables auront un but lucratif », ajoute-t-il.

ATTAQUE DES APPLICATIONS TUEUSES

Bien entendu, les failles de sécurité ne sont pas le seul moyen de s'introduire par effraction sur un téléphone portable. Des applications, ou « apps », malveillantes, conçues pour les smartphones, peuvent recéler un programme malveillant ou devenir malveillantes par une mise à jour que l'utilisateur effectue une fois mis en confiance.

Approximativement au même moment que jailbreakme.com lançait son nouvel exploit racine de débridage à distance pour iPhone,

Securité des smartphones

L'exploit, incorporé dans le site Web jailbreakme.com, visait à permettre aux utilisateurs d'iPhone et d'iPad de débrider facilement leur téléphone, procédé autorisant l'installation d'applications de tiers qui ne sont pas expressément homologuées par Apple. Cependant, l'attention des experts de la sécurité a immédiatement été attirée par la faille que cet exploit met à jour et qui permettrait d'installer des programmes malveillants sur tous les smartphones, débridés ou non.

Les pirates qui ont découvert la faille ont rapidement publié un correctif afin de bloquer les attaques futures affectant les téléphones débridés. Quelques jours plus tard, Apple publiait un correctif officiel pour protéger les utilisateurs d'iPhone en règle. Pourtant, cet incident mettait en lumière la tension exacerbée sous-jacente entre la sécurité et la convivialité du marché de l'informatique mobile.

Si, techniquement parlant, toutes les opérations de débridage exploitent des failles et des faiblesses de configuration du système d'exploitation sous-jacent, dans quasiment tous les cas précédents, le débridage exigeait que l'utilisateur connecte son iPhone à son ordinateur via un cordon USB. Avec un peu de chance, le débridage fonctionnait ; dans le cas inverse, il ne restait plus à l'utilisateur que de reconvertir son téléphone en presse-papiers de luxe.

Tout cela a changé le 1er août, avec le lancement d'un nouvel exploit puissant et très fiable pour l'iPhone sur jailbreakme.com. Désormais, les utilisateurs d'iPhone, y compris sous le nouveau système d'exploitation iOS 4.0, pouvaient débrider leur appareil simplement en se rendant sur le site au moyen du navigateur Web Safari de l'iPhone et en faisant glisser la barre du curseur sur l'écran tactile.

Aussitôt, le processus de débridage perdait tout son caractère fastidieux et hasardeux pour se résumer davantage à une simple navigation sur le Web. Parallèlement, l'apparition de cet exploit révélait une faille de sécurité que les cyber-délinquants ne manqueraient pas d'exploiter en invitant quelque dizaines de millions d'utilisateurs d'iPhone ou d'iPad à visiter un site Web piraté ou malveillant.

Le malheur des JailbreakersC’était fin juillet et Apple peinait à se remettre d’un retour de flamme inhabituel de la presse et d’une clientèle habituellement adulatrice. En effet, un défaut de conception de l’antenne de son nouvel iPhone 4.0, qui devait créer l’événement, empêchait la réception en mode sans fil chez de nombreux utilisateurs. Ensuite, début août, des pirates ont publié une faille de sécurité exploitable à distance laissant des dizaines de millions d’utilisateurs d’iPhone à la merci de téléchargements intempestifs malveillants.

Brian Krebs est l’auteur de krebsonsecurity.com, un blog mis à jour quotidiennement avec des billets sur l’actualité et des enquêtes fouillées sur la sécurité de l’Internet. Jusqu’à une date récente, Brian Krebs était reporter au Washington Post, où il traitait de la sécurité sur la Toile, de la cyber-délinquance et des problèmes de confidentialité, tant pour l’édition papier que pour l’édition en ligne du journal. Brian Krebs a commencé sa carrière de journaliste au Post en 1995. Il écrit des articles sur la sécurité informatique, la confidentialité et la cyber-délinquance depuis plus de dix ans.

Article deBrian Krebs

Pour débrider un iPhone, un iPod touch ou un iPad, il vous suffit de vous rendre sur un site spécial En examinant le code source d’Ikee.b, il est facile de repérer le mot de passe par défaut, « Alpine », qui ouvre la porte au programme malveillant.

Securité des smartphones


ANALySE | | ANALySE


les experts de la sécurité dévoilaient les secrets d'une app douteuse conçue pour les téléphones Android de Google.

Selon la société de sécurité mobile Lookout, basée à San Francisco, cette app (apparemment un programme anodin proposant des papiers peints gratuits téléchargé plus d'un million de fois) collectait le numéro de téléphone des utilisateurs, leurs coordonnées d'abonnement et leur numéro de messagerie vocale avant de les transmettre à un serveur en Chine.

Le 9 août, Kaspersky Lab déclarait avoir découvert le premier programme malveillant pour la plate-forme Google Android : un cheval de Troie déguisé en lecteur multimédia exploitant le téléphone de la victime pour envoyer des sms coûteux à des numéros payants sans l'autorisation de l'utilisateur.

À la différence de l'Apple Store étroitement contrôlé par Apple, la plate-forme de Google permet aux développeurs de télécharger des applications destinées aux autres utilisateurs. Il est toutefois intéressant de noter que, si la possibilité d'installer des apps non homologuées est la principale raison pour laquelle les utilisateurs débrident leur téléphone, pas une seule app malveillante n'a été signalée sur les iPhone débridés.

Le co-fondateur de Lookout, John Hering, a déclaré que les deux modèles représentent l'éternel bras de fer entre la sécurité et la convivialité. Cependant, a-t-il dit, l'un n'est pas nécessairement plus sûr ou plus convivial que l'autre. C'est plutôt aux opérateurs mobiles de réagir rapidement en cas de problème.

« C'est l'équilibre classique entre deux notions antagonistes : la sécurité et l'ouverture », explique M. Hering. « À ce jour, les deux

fournisseurs ont montré qu'ils étaient en mesure de répondre à ces incidents très rapidement. »

La faille exploitée par jailbreakme.com a suscité une réaction inhabituellement rapide d'Apple, traditionnellement critiqué pour sa lenteur à corriger de nombreuses failles de sécurité. Par exemple, Apple dispose de sa propre version de Java et met généralement jusqu'à six mois pour appliquer les mises à jour de sécurité publiées par Sun/Oracle pour les versions de Java d'autres plates-formes.

La société est également connue pour corriger les bugs de son navigateur Web Safari sur le Mac, mais à ne rien faire pendant des mois pour l'iPhone (notez que l'exploit de jailbreakme.com, qui exploitait une faille dans la façon dont les iPhone affichent les documents PDF, fonctionne au travers de Safari).

Les défenseurs d'Apple déclarent que si la société ne publie pas des correctifs d'urgence chaque semaine, c'est probablement parce que sa plate-forme informatique n'est tout simplement pas assiégée en permanence par les cyber-délinquants, à la différence d'un certain système d'exploitation dominant de Microsoft.

Selon Rich Mogull, expert de la sécurité de la société Securosis, basée à Phoenix , Apple a raison de réagir différemment aux menaces contre les appareils mobiles. Il fait observer que le système d'exploitation mobile d'Apple, qui partage une grande partie du code de base du système d'exploitation des ordinateurs portables et de bureau Apple, est en mesure de l'emporter dans l'éternel débat passionné autour de la question suivante : les Mac sont-ils plus sûrs de par leur conception ou parce

qu'ils ont moins d'utilisateurs que les PC sous Windows ?

En effet, avec plus de 100 millions de périphériques mobiles Apple vendus à ce jour, les utilisateurs d'iPhone, d'iPad et d'iPod Touch sont aujourd'hui considérablement plus nombreux que les utilisateurs de Mac classiques. En outre, les consommateurs utilisent de plus en plus leur téléphone portable pour une multitude de transactions sensibles, telles que les services bancaires, les achats et les communications confidentielles en ligne.

« Tout le monde parle de parts de marché, mais personne ne répond à cette question pour les ordinateurs à usage général. La réponse à cette question, nous l'obtiendrons grâce aux périphériques », conclut M. Mogull.

PERSPECTIvES

La réponse n'est peut-être pas pour demain. Pour commencer, des exploits tels que celui de jailbreakme.com ne se trouvent pas sous le sabot d'un cheval. M. Strafach a déclaré que, selon la Dev Team et Comex, l'exploit a fait l'objet de trois semaines de développement et d'une semaine de test avant sa mise en service.

Il était si difficile à trouver et à peaufiner qu'il peut s'écouler du temps avant qu'une autre faille permettant le débridage à distance ne soit trouvée, poursuit M. Strafach, bien qu'il souligne que la Dev Team n'évoque jamais la poursuite des recherches.

« Oui, je suis assez d'accord que cela relève la barre du débridage au point qu'il peut être difficile de faire mieux », a déclaré M. Strafach.

Le premier programme malveillant pour Android se déguise en lecteur multimédia inoffensif

Un simple contact tactile suffit pour débrider un iPhone

« Comex s'est réellement surpassé. Safari n'est pas du tout facile à contourner en raison de la solidité de ses garde-fous. »

En outre, les vulnérabilités permettant un débridage à distance ont tendance à être utiles beaucoup moins longtemps que celles qui nécessitent le raccordement du téléphone à l'ordinateur, car Apple les corrige beaucoup plus rapidement.

« Apple dispose d'un groupe de travail appelé la Red Team, dont la tâche consiste à corriger les failles liées au débridage. Comme vous l'avez certainement remarqué, la presse ne les épargne pas lorsque des pirates s'attaquent au produit le plus emblématique d'Apple », ajoute M. Strafach.

Selon M. Mogull, « ces dernières semaines, certains éditeurs d'antivirus ont fait courir le bruit que ces nouvelles menaces seraient révélatrices de la nécessité pour Apple d'ouvrir sa plate-forme aux éditeurs de solutions de sécurité traditionnels. Pour le moment, ce serait une erreur, du moins dans la mesure où ses systèmes se corrigent eux-mêmes ».

« Évidemment, si les constructeurs ne font pas tout le nécessaire pour préserver la sécurité et verrouiller ces plates-formes, les utilisateurs peuvent être amenés à se tourner vers des solutions indépendantes », poursuit M. Mogull. « Il y aura moins de marge d'erreur en cas de problème important. Par exemple, si vous ne pouvez pas téléphoner ou appeler les services d'urgence à cause d'un virus sur votre appareil, je garantis que le Congrès va se pencher sur la question plus rapidement que si vous ne pouvez pas regarder des images pornos à cause d'un virus sur votre ordinateur. » RE

La sécurité des iPhone ainsi que des autres périphériques Apple fonctionnant sous le système d'exploitation iOS (iPod Touch et iPad) reste un sujet sensible. Comme on pourrait s'y attendre, ce thème englobe l'éternelle question de l'équilibre entre la convivialité et la sécurité, question régulièrement remise sur le tapis. Dans bien des cas, Apple a su évoluer sur le fil du rasoir :

1. L'énorme popularité des périphériques fonctionnant sous iOS l'atteste.

2. Au cours des 3 années qui ont suivi l'apparition du premier iPhone, seulement deux programmes malveillants ont été détectés. Cependant, tous deux ne peuvent s'exécuter que sur des périphériques ayant été débridés.

Le modèle de distribution des applications d'Apple a largement fait ses preuves. Des millions de concepteurs créent des applications payantes ou gratuites qui font l'objet de contrôles poussés avant d'être sur les rayons d'Apple Store. Des millions d'utilisateurs achètent et installent ces applications, et tout le monde est content, non ?

D'accord, il est un peu trop tôt pour en être certain à 100 % :

1. Que l'Apple Store n'a jamais mis dans ses rayons de programmes malveillants déguisés en logiciels inoffensifs.

2. Que le système d'exploitation iOS ne contient aucune vulnérabilité critique cachée.

Examinons ces deux affirmations à la loupe.Si l'on part du principe que rien n'indique que des

programmes malveillants aient jamais été détectés sur le site Apple Store, cela signifie que le système de contrôle des programmes à ajouter au catalogue est suffisamment performant. En l'absence d'informations fiables concernant le processus de contrôle des nouvelles applications, on ne peut que s'en tenir à des hypothèses quant aux mécanismes impliqués. Quoi qu'il en soit et quelle que soit la procédure suivie, l'éventualité d'une erreur ne peut pas être exclue et, dans le pire des cas, un programme malveillant pourrait se frayer un chemin jusque dans l'Apple Store. Sachant que les utilisateurs considèrent les programmes distribués sur l'Apple Store comme fiables et inoffensifs, le risque d'épidémie virale est considérable.

La seconde déclaration concernant le fait que le système d'exploitation iOS ne recèle aucune vulnérabilité qui n'ait été corrigée est encore plus douteuse. Compte tenu de la loi des probabilités, il n'est pas illogique de penser qu'il doit en recéler au moins une. Si une telle vulnérabilité est détectée par Apple, ou par un individu ou une société qui en informe Apple confidentiellement, un correctif doit être publié. Cependant, si cela se produit, dans quel délai doit-il être développé et distribué ? Un retard dans la distribution ne risque-t-il pas de susciter la propagation de rumeurs quant à l'existence de cette vulnérabilité ?

Noircissons maintenant le tableau : imaginons qu'une faille critique ait été découverte par des criminels. On ne peut alors qu'imaginer

les conséquences. Il ne fait aucun doute qu'ils essaieraient de l'exploiter d'une manière ou d'une autre, en particulier si cette vulnérabilité était présente non pas dans une version particulière du système d'exploitation, mais dans toutes. Là encore, on ne peut qu'imaginer les conséquences d'une infection virale de milliers d'appareils fonctionnant sous iOS.

La discussion sur la sécurité d'iOS et des autres plates-formes mobiles pourrait se poursuivre indéfiniment. Ces questions ont aujourd'hui une importance vitale. Les périphériques mobiles tels que les smartphones, les téléphones portables ordinaires et les autres périphériques « intelligents » intègrent un nombre sans cesse croissant de fonctionnalités. Armés d'une capacité de traitement croissante, ils sont devenus quasiment aussi puissants que les ordinateurs de bureau sur lesquels nous effectuons de nombreuses tâches différentes. Les périphériques mobiles donnent directement accès à l'argent et aux données personnelles de l'utilisateur, et les criminels ne peuvent pas ne pas le savoir. Ils sont prêts à profiter dès la première occasion de l'ignorance d'un utilisateur, ou de son indifférence vis-à-vis des questions de protection. C'est pourquoi on n'est jamais trop soucieux de la sécurité des smartphones et des autres périphériques similaires, les conséquences étant trop graves si on n'en tient pas compte.

Plus précisément, en ce qui concerne les périphériques fonctionnant sous iOS :

1. Comme nous l'avons vu précédemment, il n'est pas possible d'exclure l'éventualité de l'apparition de programmes malveillants affectant les smartphones débridés. La question de leur protection contre l'infection reste donc entièrement posée.

2. Là encore, comme nous l'avons vu précédemment, l'éventualité de l'existence de failles critiques encore inconnues n'est pas non plus à exclure. Comment y faire face ? Uniquement en étant informé rapidement par le constructeur et en développant et distribuant rapidement de mises à jour adéquates.

Denis MaslennikovSenior Malware Analyst,

Mobile Research Group Manager

AvIS D’ EXPERT

Sécurité des smartphones Sécurité des smartphones

ANALySE |

www.secureviewmag.com22 | SECUREVIEW 4e trimestre 2010 4e trimestre 2010 SECUREVIEW | 23www.secureviewmag.com

| ANALySE

entendu, ce tableau indique des carences fictives dans les produits des sociétés légales ;

• une liste de faux prix récompensant les caractéristiques exceptionnelles d'« A&V » ;

• la confirmation des craintes de l'utilisateur quant aux infections du système par des déclarations telles que « Avertissements système fréquents » ou « Interruptions de la navigation en ligne par des messages d'avertissement ». Il est évident que les faux antivirus affichent de tels avertissements pour inciter les utilisateurs à réagir rapidement ;

• le site Web se divise en plusieurs sections, telles que les sections « Membres », « Support », « Téléchargement » et « Accueil », pour sembler plus crédible.

MENACE POUR LE SySTÈME

Les faux antivirus peuvent infecter un système de différentes manières. Cependant, chacune d'elles implique la manipulation d'êtres humains. La peur est souvent la meilleure motivation pour inciter les gens à agir. C'est généralement la peur que les faux antivirus exploitent avec tant de succès, d'où leur autre nom anglais, « scareware ».

Programmes, extensions, codecs La plus vieille méthode d'infection des

ordinateurs par un faux antivirus est le cheval de Troie. Une fois qu'il a infecté un système, le cheval de Troie télécharge des faux antivirus. Pour persuader l'utilisateur qu'il doit télécharger ce type de fichier, le cyber-délinquant propage un lien vers des sites Web proposant des films intéressants ou, par exemple, des extensions pour un navigateur. Lorsque l'utilisateur accède au site, il apparaît qu'il ne peut pas regarder le film parce

qu'un certain codec est absent de son ordinateur ou que la dernière version de Flash Player n'a pas été installée. Ce même site Web propose alors de télécharger un fichier qui résoudra le problème. Bien entendu, ce fichier n'est autre qu'un programme malveillant.

Le ver encore répandu Kido (Conficker) est un bon exemple de ce type de programme malveillant. Entre autres, il télécharge de faux antivirus supposés aider à supprimer les virus et les chevaux de Troie. L'utilisateur est informé de menaces en réalité inexistantes et de la nécessité de payer pour obtenir la version complète du programme.

Détecteurs de programmes malveillants en ligne

Cette forme d'infection du système est efficace dans les cas où l'utilisateur suspecte une infection de son ordinateur par un programme malveillant.

Lorsque votre système d'exploitation ralentit, la recherche de fichiers prend plus de temps que d'habitude tandis que l'activité du processeur est anormalement élevée. Vous savez alors que quelque chose cloche et vous vous mettez en quête d'une solution. L'une de ces solutions peut consister à analyser votre ordinateur au moyen d'un programme en ligne, afin de déterminer si la cause de vos problèmes est effectivement un virus. Internet regorge de sites Web offrant d'analyser votre disque dur. Hélas, un certain nombre affichent délibérément de faux résultats. Ils sont conçus pour persuader les utilisateurs de télécharger le programme conçu par des cyber-délinquants, censé « résoudre le problème ».

En conséquence, une fois que l'utilisateur accède au site Web, un script affiche la prétendue progression de l'analyse du disque dur. Il s'agit évidemment d'une fausse analyse, qui n'a rien à voir avec votre système d'exploitation (il n'est pas rare que le nom des dossiers et des partitions diffère des vôtres, ce qui devrait vous mettre la puce à l'oreille).

Pour supprimer tous les fichiers infectés, vous devez cliquer sur « Effacer les fichiers infectés », télécharger le programme puis payer 49,99 dollars pour obtenir la version complète. Tout le processus se déroule bien entendu dans la fenêtre du navigateur.

Optimisation des moteurs de rechercheDans les grandes lignes, cette méthode

s'apparente à la précédente et utilise même des mécanismes similaires. Je pense qu'il est toutefois préférable de les traiter séparément. Le SEO (Search Engine Optimization, optimisation des moteurs de recherche) est un système qui classe les sites Web dans les moteurs de recherche Internet en fonction de la pertinence des mots-clés. Aussi est-il souvent utilisé pour améliorer le positionnement de sites Web fournissant un faux analyseur antivirus, mais pas toujours. Comme on le constate de plus en plus souvent, les cyber-délinquants réagissent très rapidement

Aujourd'hui, l'antivirus est l'élément fondamental de toute politique de lutte contre les virus et les autres programmes malveillants les plus reconnus. Il constitue la première ligne de défense des utilisateurs contre des programmes malveillants de plus en plus sophistiqués conçus pour pénétrer leurs systèmes. Les éditeurs d'antivirus ont travaillé des années à asseoir leur réputation en acquérant la reconnaissance et la confiance des utilisateurs. Malgré cela, nous avons rencontré ces dernières années un nombre croissant d'attaques reposant sur l'exploitation de cette confiance, mais également sur la naïveté, la peur et l'ignorance de tout un chacun. Les faux antivirus, qui constituent l'objet de mon article, deviennent une plaie non seulement pour les entreprises, mais également, et surtout, pour les utilisateurs ignorants cette menace.

COMMENT DÉTRUIRE LES

FAUSSES SOLUTIONS ANTIvIRUS

Les fausses solutions antivirus sont des applications qui emploient différentes méthodes pour persuader un utilisateur que son système est infecté et que la seule manière d'y remédier consiste à acheter une licence. L'une des méthodes les plus fréquentes consiste à afficher des messages fictifs agaçants, à modifier une page d'accueil ou à changer le papier peint. Les raisons pour lesquelles les cyber-délinquants préfèrent cette méthode sont nombreuses. Premièrement, un utilisateur effrayé par des messages fréquents concernant la présence d'une menace sur son ordinateur sera plus enclin à payer pour que le problème soit résolu. Deuxièmement, s'il télécharge une application de ce type de son plein gré, il donnera certainement son accord pour l'installation, ce qui permettra de contourner plus facilement les systèmes de sécurité tels que Windows UAC (User Account Control, contrôle de compte d'utilisateur). Troisièmement, outre une fausse solution antivirus, un attaquant peut installer un logiciel espion, des intercepteurs de frappe et d'autres programmes malveillants sur le disque dur de sa victime. Ainsi, non seulement il perçoit de l'argent pour la licence, mais il peut s'emparer des données personnelles de la victime par la suite.

L'application proprement dite est très gênante. Elle submerge régulièrement l'utilisateur de messages concernant de nouvelles menaces et de la nécessité d'acheter une version complète de l'application pour y remédier. Craignant la perte de données, l'utilisateur désespéré saute le pas en pensant que, une fois qu'il aura acheté cette application, son système sera non seulement désinfecté mais protégé contre les autres menaces.

Pourquoi ces programmes ont-ils tant de succès ? Les raisons ne manquent pas, mais la plus importante de toutes est l' « ingénierie sociale », c'est-à-dire la manipulation. Tout repose sur ce procédé. Il consiste à manipuler les gens de manière à les rendre vulnérables aux suggestions des autres. Tout revient à faire une présentation convaincante des faits. Dans ce cas précis, il s'agit d'une prétendue infection et de contrôler un individu à des fins lucratives. Le résultat est que la victime est incitée à acheter une licence coûteuse.

Au début de l'article, j'ai mentionné le fait que les cyber-délinquants s'efforcent de donner à leurs « produits » une apparence similaire à celles des antivirus des géants du marché. Bien entendu, cette similitude commence par la copie du style de l'interface graphique d'un programme réel. Il n'y a aucun emprunt de fonctionnalités utiles des applications copiées. Le but est de tromper les utilisateurs, de les convaincre qu'ils possèdent un programme dont la réputation n'est plus à faire.

Il est facile de voir que le site Web d'un antivirus appelé « Antivirus and Security » a été entièrement calqué sur celui d'un produit Kaspersky Lab. Les similitudes sont nombreuses : encadré, logo, couleurs et même la fenêtre du programme installé apparaissant à l'écran. Kaspersky Lab n'est pas la seule société à se faire exploiter de la sorte. La même chose arrive pour Symantec, Avast, Avira, AVG et McAfee. Bien que les cyber-délinquants donnent à leurs programmes l'apparence des produits de ces sociétés, le nom de la fausse solution antivirus reste le même : « Antivirus and Security ».

Il est également intéressant de noter que la similitude avec les marques connues n'est pas la seule manière de convaincre les utilisateurs d'acheter un faux antivirus. Il existe d'autres méthodes : • un tableau permettant soi-disant à l'utilisateur de

comparer le niveau de protection offert par « Antivirus & Security » à celui des autres sociétés [légales]. Bien

L'ennemi à notre porte“Aujourd’hui, le FBI avertit le grand public d’une menace se présentant sous forme de messages de sécurité venant s’afficher pendant la navigation sur Internet. Ces messages peuvent renfermer un virus dommageable pour l’ordinateur, se traduisant par des réparations coûteuses ou, pire, une usurpation d’identité. Les messages contiennent un faux antivirus d’apparence authentique. Le FBI estime qu’il a déjà coûté plus de 150 millions de dollars aux victimes.” www.fbi.gov

Maciej est entré chez Kaspersky Lab en 2008. Auparavant, il était rédacteur sur des sites Internet et travaillait au Centre d’information de l’université Nicolas Copernic de Torun, en Pologne. C’est d’ailleurs à cette université qu’il a obtenu sa licence en Gestion d’archives et de documentation.Maciej étudie actuellement l’informatique à la Wyzsza Szkola Informatyki de Bydgoszcz, en Pologne. Ses principaux centres d’intérêt sont la cryptographie, la sécurité des réseaux sans fil et l’ingénierie sociale.

Article deMaciej ZiarekSecurity Evangelistchez Kaspersky Lab

Les faux antivirus peuvent infecter un système de différentes manières

Repérez les trois différences entre ces produits et une vraie fenêtre de l’antivirus Kaspersky

| Fausses solutions antivirus Fausses solutions antivirus


ANALySE |

4e trimestre 2010 SECUREVIEW | 25www.secureviewmag.com

| ANALySE

aux expressions cherchées fréquemment. Ils créent un site Web lié à des questions fréquentes et le positionnent de manière à ce qu'il apparaisse sur la première page des résultats du moteur de recherche. La visite d'un tel site Web entraîne le téléchargement d'un logiciel malveillant ou, comme dans l'exemple plus haut, une fausse analyse d'un disque dur.

Les cyber-délinquants profitent généralement de l'actualité. Par exemple, à la suite de l'accident d'avion dans lequel le président polonais a trouvé la mort de 10 avril 2010, des sites Web sont rapidement apparus, révélant des détails soi-disant inconnus sur la tragédie. Malheureusement, une fois sur le site un message apparaissait pour persuader l'utilisateur de la nécessité d'analyser son ordinateur.

Attaques au moyen de balise ‘iframe’

Il existe une méthode particulièrement difficile à détecter pour l'utilisateur : l'attaque au moyen de balises iframe masquées. Cela peut être effectué en ajoutant au site Web une instruction telle que celle-ci : <iframe src=www.exemple.xyz width=1 height=1 style="visibility: hidden"></iframe>

Cette balise iframe sera invisible et l'utilisateur sera redirigé vers www.exemple.xyz, d'où le téléchargement d'un programme malveillant pourra démarrer. Le plus souvent, l'utilisateur ne se rend compte de rien. Une fois que les identifiants de connexion et le compte FTP de l'ordinateur de la personne responsable du contenu d'un site Web ont été dérobés, le code peut être injecté.

STATISTIQUES PEU RÉJOUISSANTES

De nombreux programmes malveillants sont conçus pour faire peur et inciter les utilisateurs à acheter une licence pour un programme inutile. Le nom peut différer selon les fonctionnalités proposées et la méthode de compression/décompression des fichiers binaires. Ainsi, les faux antivirus peuvent se dissimuler, entre autres exemples, dans les signatures suivantes : not-a-virus:FraudTool (ce programme fait partie de la catégorie « n'est pas un virus » en l'absence d'instructions malveillantes, à ceci près qu'il cherche à inciter les utilisateurs à payer pour recevoir une application inopérante), Trojan.Win32.RogueAV, Trojan.Win32.FraudPack ou Trojan-Downloader.Win32.Agent.

Le schéma représente des signatures FraudTool et indique les 10 faux antivirus les plus répandus. Ces données ont été collectées entre mars 2010 et mi-juin 2010 par le KSN (Kaspersky Security Network). Compte tenu du grand nombre de signatures collectées, il est difficile d'affirmer catégoriquement si, d'après son nom, un programme malveillant particulier représente un groupe de faux antivirus ou non.

Un diagramme montrant les pays où les infections par FraudTool.Win32 ont été les plus fréquentes jusqu'en juin 2010 a été établi à partir des données ci-dessus. Le Vietnam arrive au premier rang avec 120 000 cas d'infection. Au total, 266 090 victimes de Fraudtool.Win32 ont été recensées dans tous les pays suivis.

Le dernier graphique montre le nombre de programmes malveillants détectés certains jours de la période entre mars et juin. Le nombre d'infections a diminué systématiquement à partir de la mi-mars. En mars, 192 000 infections ont été constatées au total, 150 000 en avril, 135 000 en mai et 58 000 entre le 1er et le 17 juin. Ainsi, le nombre d'infections en juin sera probablement encore inférieur à celui de mai. Cependant, cela prouve seulement que, comme partout, les cyber-délinquants aussi préfèrent prendre leurs congés en été. À l'instar des autres programmes malveillants, les scareware culminent au printemps, en automne et avant le Nouvel An.

SyNTHÈSE

Les faux antivirus fonctionnent plutôt bien, ce qui semble confirmé par le fait que les cyber-délinquants recherchent constamment de nouveaux moyens pour tromper les utilisateurs insouciants. Les cyber-délinquants affinent constamment la ressemblance de leurs produits avec celle d'applications de sécurité

connues. En conséquence, ces dernières perdent la confiance de leurs clients. Quant aux consommateurs, outre de l'argent, ils risquent de perdre les identifiants et les mots de passe de leurs comptes bancaires, de leur messagerie ou de leurs profils sur les réseaux sociaux, etc. Cela signifie que c'est l'identité de la victime qui est menacée. L'étape suivante est facile à prévoir. Muni d'un nouvel identifiant, un cyber-délinquant peut ouvrir un compte bancaire sous le nom de quelqu'un d'autre et l'utiliser impunément, sachant que c'est la victime qui sera tenue pour responsable des actes du cyber-délinquant.

En tant que premier éditeur mondial de logiciels, Microsoft a également lancé une campagne contre cette forme de fraude. Son site Web informe les visiteurs désireux de désinstaller un programme indésirable, ainsi que de la manière de distinguer une fausse version de Windows Defender d'une vraie, cette dernière étant intégrée dans le système Windows. RE

Classement KSN des 10 premiers faux antivirus de mars 2010 à mi-juin 2010. Informations communiquées par Kaspersky Lab

Nombre de programmes malveillants détectés certains jours au cours de la période allant de mars à juin 2010 Faux analyseur Javascript d’aspect suffisamment convaincant pour un utilisateur inexpérimenté

Faux site Web YouTube. Un faux message informe l’utilisateur qu’il doit mettre à jour son lecteur Flash Player. Les cyber-délinquants introduisent souvent des programmes malveillants dans le système d’un utilisateur par cette méthode. L’un de ces programmes peut être un faux antivirus.

Costin RaiuDirector of the Global

Research & Analysis Team chez Kaspersky Lab

Pourquoi les faux antivirus sont-ils si efficaces ?“Je pense qu’il y a un certain nombre de raisons à cela. Voici les trois plus importantes :Premièrement les ordinateurs dépourvus d’une solution de sécurité sont infectés rapidement. Lorsqu’ils se rendent compte de l’infection, les utilisateurs se mettent en quête de solutions et tombent souvent sur de faux résultats de recherche faisant la promotion de faux antivirus. Ensuite, bon nombre de ces faux antivirus sont transmis par des exploits 0 day. Ils peuvent même provenir de sites Web parfaitement licites, mais qui ont été contaminés par des balises iframe ou des procédés similaires. La principale raison réside dans le fait qu’il est aujourd’hui presque impossible d’être à jour avec tous les correctifs de tous les éditeurs sans un outil spécialisé. Enfin, de nombreux faux antivirus sont installés par d’autres programmes malveillants ayant infecté le système par manipulation. Après tout, l’humain reste l’un des maillons les plus faibles de la chaîne de la sécurité. C’est pourquoi le modèle du faux antivirus fonctionne si bien. Il repose sur le principe de vendre quelque chose qui n’est pas entièrement illégal dans tous les pays. De nombreux utilisateurs demandent à se faire rembourser dès qu’ils se rendent compte de la supercherie. Pourtant beaucoup ne se rendent pas compte qu’ils ont été victimes d’une fraude et en assument la culpabilité. Pour cette raison, je suis certain que les faux antivirus ont encore de beaux jours devant eux. Je dirais même que la manipulation liée aux faux antivirus est assez standard et repose sur deux principes : la peur et la récompense. Dans toutes ces attaques, les cyber-délinquants s’attachent à faire peur à l’utilisateur pour qu’il installe leurs produits ou à lui promettre une récompense s’il les installe. Le nombre de variantes de ces deux principes fondamentaux est presque infini et de nouvelles apparaissent quasiment chaque jour. Cependant, je pense que dans l’avenir, elles continueront à graviter autour de la peur et de la récompense.”

COMMENT ÉVITER CES MENACESPour commencer, vous devez avoir un antivirus à jour sur votre ordinateur, qui analyse régulièrement les disques. Si vous souhaitez télécharger des mises à jour de sécurité, faites-le uniquement à partir de sites Web connus et fiables, ou directement depuis le site Web de l'éditeur de votre solution. Si vous accédez à un site Web proposant une analyse de votre ordinateur, il est préférable d'utiliser la combinaison de touches Alt+F4 pour fermer la fenêtre. Si vous cliquez n'importe où dans cette fenêtre, cela aura souvent le même effet : lancer le téléchargement ou l'analyse du système. Windows n'avertit jamais de l'infection d'une manière voyante (changement de page d'accueil, de papier peint, etc.). Si de nouvelles icônes ou de nouvelles applications apparaissent, vous devez effectuer immédiatement une analyse complète de l'ordinateur au moyen d'un antivirus téléchargé depuis le site Web de l'un des grands éditeurs du marché. Il est également judicieux d'installer sur votre navigateur une extension qui bloque l'exécution de scripts.Ne cochez pas l'option proposant de mémoriser les mots de passe d'un compte FTP (surtout dans le cas des webmaster) ; activez la mise à jour automatique du système et des logiciels installés. Enfin, utilisez un compte utilisateur avec des droits limités aux tâches quotidiennes et activez l'UAC (contrôle de compte d'utilisateur).Toutefois, le plus important est de faire preuve de bon sens et de ne pas cliquer sur des liens sans réfléchir. Bien que la vitesse soit essentielle pour réagir face aux menaces, l'utilisateur doit y regarder à deux fois avant d'approuver une opération ou d'accéder à un site Web suspect.

AvIS D’EXPERT

| Fausses solutions antivirus Fausses solutions antivirus

26 | SECUREVIEW 4e trimestre 2010 www.secureviewmag.com

TECHNOLOGIE |

www.secureviewmag.com 4e trimestre 2010 SECUREVIEW | 27www.secureviewmag.com

• Lorsque les protocoles et les fichiers mis en quarantaine sont traités manuellement, le spécialiste des virus est confronté à des volumes énormes d’informations en perpétuelle évolution, qu’il doit absorber et parfaitement comprendre. Mais cela demande toujours du temps.

• Un être humain présente forcément des limites psychologiques et physiologiques naturelles. N’importe quel spécialiste peut être fatigué et commettre une erreur. Plus la tâche est complexe, plus ce risque est élevé. Par exemple, un expert surmené peut ne pas remarquer un programme malveillant, ou au contraire, supprimer une application légitime.

• L’analyse des fichiers mis en quarantaine est une opération extrêmement laborieuse car l’expert doit prendre en compte les caractéristiques propres à chaque échantillon, autrement dit l’endroit où il est apparu, le mode d’apparition et ce qui le rend suspect.

Ces problèmes ne peuvent être résolus que par l’automatisation complète de l’analyse et du traitement des programmes malveillants, mais les nombreuses tentatives mettant en œuvre des

algorithmes différents n’ont, jusqu’à présent, pas donné de résultat probant. La principale raison de cet échec tient au fait que les programmes malveillants évoluent en permanence : chaque jour, des dizaines de nouveaux virus font leur apparition sur Internet, avec des méthodes d’implantation et de dissimulation toujours plus sophistiquées. Pour cette raison, les algorithmes de détection doivent être extrêmement complexes. Ils sont surtout très vite dépassés et doivent être en permanence réactualisés et débogués. L’autre problème, bien évidemment, tient au fait que l’efficacité d’un algorithme est limitée par nature par les facultés de son créateur.

L’utilisation de systèmes experts dans la chasse aux virus semble s’avérer un peu plus efficace. Les développeurs de systèmes antivirus experts sont confrontés au même type de problèmes : l’efficacité du système dépend de la qualité des règles et des bases de connaissances qu’il emploie. Sans oublier que les bases de connaissances doivent être constamment actualisées, ce qui implique encore le recours à des ressources humaines coûteuses.

PRINCIPES GENERAUX DE FONCTIONNEMENT DU SySTÈME CyBER HELPER

Malgré ces difficultés, les expériences menées ont peu à peu abouti à quelques résultats, avec notamment la création du système Cyber Helper, dont le but, atteint, est de nous rapprocher de l’emploi d’un système d’IA réellement autonome dans la lutte contre les programmes malveillants. La plupart des sous-systèmes autonomes de Cyber Helper sont capables de se synchroniser, d’échanger des données et de travailler ensemble. Bien entendu, ils contiennent quelques algorithmes et règles stricts comme les programmes classiques, mais pour l’essentiel, ils emploient de la logique floue et définissent de façon autonome leur propre comportement à mesure qu’ils effectuent différentes tâches.

Le cœur du système Cyber Helper est un utilitaire appelé AVZ, créé en 2004 par l’auteur de cet article. AVZ a été spécialement conçu pour collecter automatiquement des données sur les ordinateurs suspects et les programmes malveillants, et les enregistrer dans un format lisible par des ordinateurs pour permettre à d’autres sous-systèmes de les utiliser. Après examen du système d’un ordinateur, cet utilitaire crée un rapport au format HTML destiné aux hommes et un autre, au format XML, qui pourra être analysé par un ordinateur. Depuis 2008, le programme AVZ de base est intégré aux solutions antivirus de Kaspersky Lab.

L’algorithme de fonctionnement de ce système compte six étapes. Au cours de la première étape, le programme AVZ de base effectue une analyse antivirus de l’ordinateur infecté et transfère les résultats au format XML aux autres sous-systèmes Cyber Helper chargés de leur analyse.

L’analyseur système étudie le protocole reçu en s’appuyant sur les énormes volumes de données dont il dispose sur les programmes malveillants connus, les mesures correctives prises dans des cas semblables et d’autres éléments. À cet égard, Cyber Helper est comparable à un cerveau humain qui, pour travailler efficacement, doit accumuler des connaissances sur son environnement, en particulier pendant sa période de construction. Pour se développer correctement, un enfant doit avoir en permanence conscience de ce qui se passe dans son univers et pouvoir communiquer facilement avec d’autres personnes. Ici, la machine a un avantage sur l’être humain, dans le sens où elle est capable de stocker, extraire et traiter des volumes d’informations bien plus importants que

L’expert du Web | TECHNOLOGIE

Actuellement, le principal objectif des chercheurs spécialisés dans l’intelligence artificielle (IA) est de créer un dispositif autonome doté d’une intelligence artificielle qui le rendrait parfaitement capable d’apprendre, de prendre des décisions avisées et de modifier ses propres schémas comportementaux en réponse à des stimuli externes. On sait créer des systèmes sur mesure extrêmement spécialisés ; on est aussi capable de concevoir une intelligence artificielle plus universelle et plus complexe, mais elle s’appuie toujours sur l’expérience et les connaissances humaines, sous la forme d’exemples comportementaux, de règles ou d’algorithmes.

Mais pourquoi est-il si difficile de créer une intelligence artificielle autonome ? Parce que la machine ne possède pas certaines qualités spécifiquement humaines, notamment la pensée animée, l’intuition, la capacité à distinguer l’important du futile et, surtout, la soif de nouvelles connaissances. Ce sont ces qualités qui permettent à l’être humain de trouver des solutions aux problèmes, y compris aux problèmes non linéaires. Pour le moment, pour être efficace, l’intelligence artificielle a besoin d’algorithmes prédéfinis par l’homme. Cela n’empêche pas les chercheurs de toujours tenter d’atteindre le but ultime, la véritable intelligence artificielle, et certaines de ces tentatives semblent porter leurs fruits.

TâCHES MANUELLES COûTEUSES

La détection de programmes malveillants sur un ordinateur et la restauration de paramètres d’exploitation

normaux passent essentiellement par trois étapes. Cette règle s’applique quel que soit l’initiateur (homme ou machine) de chacune de ces étapes. La première étape est la collecte de données objectives sur l’ordinateur examiné et les programmes qu’il exécute. Le meilleur moyen de réaliser cette tâche consiste à utiliser des équipements automatiques à haut rendement, capables de produire des rapports lisibles par des machines et ne nécessitant pas d’intervention humaine.

La seconde étape consiste à examiner soigneusement les données collectées. Si, par exemple, un rapport signale qu’un objet suspect a été détecté, cet objet doit être mis en quarantaine et entièrement analysé pour déterminer s’il représente une menace importante. Puis une décision doit être prise sur les mesures complémentaires qui s’imposent.

La troisième étape correspond au traitement proprement dit du problème, pour lequel on peut utiliser un langage de script spécial. Celui-ci contient les commandes nécessaires à la suppression de tous les fichiers malveillants et au rétablissement des paramètres normaux de fonctionnement de l’ordinateur.

Il y a quelques années à peine, les étapes 2 et 3 étaient généralement réalisées par des analystes travaillant pour des sociétés de sécurité informatique et par des experts, dans des forums spécialisés, qui n’utilisaient pratiquement aucun outil automatique. Mais la multiplication des utilisateurs victimes de programmes malveillants et demandant une aide a entraîné plusieurs types de problèmes :

L’intelligence Artificiellefait son entrée dans la sécurité informatique

Oleg a rejoint Kaspersky Lab en 2007 en tant que développeur au sein du groupe spécialisé dans l’analyse des cyber-menaces complexes. Passé au rang de spécialiste technologique en novembre 2008, il mène des recherches concernant les nouvelles technologies de détection et désinfection, l’analyse et la désinfection de systèmes distants, ainsi que l’analyse du comportement des programmes malveillants.

Article deOleg ZaitsevChief Technology Expertchez Kaspersky Lab

Est-il possible de définir l’intelligence humaine avec assez de précision pour pouvoir ensuite la simuler avec des machines ? La question continue de diviser la communauté scientifique. Les développeurs qui cherchent à créer une l’intelligence artificielle suivent des démarches très différentes. Certains pensent que l’avenir est dans les réseaux neuronaux artificiels, d’autres dans la manipulation des symboles. Dans l’état actuel des choses, aucun dispositif doté d’intelligence artificielle n’a encore passé avec succès le test de Turing. Pour Alan Turing, célèbre scientifique britannique spécialiste des ordinateurs, une machine ne peut être considérée comme réellement intelligente en soi que si la personne qui l’utilise est incapable de déterminer si elle dialogue avec une machine ou avec un autre être humain. La virologie informatique, avec la fourniture de services à distance de maintenance des ordinateurs, est l’une des applications possibles d’une intelligence artificielle autonome

Algorithme de fonctionnement général du système Cyber Helper, étapes 1 à 6

Lorsqu’une demande de traitement est formulée, il est important de fournir des réponses à toutes les questions qui concernent le système

Users' PC

Subsystem 1

System analyzer 1

Subsystem N

System analyzer N

System's AICyber Helper

Experts - analysts

System analyzers

1

2

5

43

6

6

L’expert du Web


TECHNOLOGIE |

www.secureviewmag.com 4e trimestre 2010 SECUREVIEW | 29www.secureviewmag.com

| TECHNOLOGIE

l’homme dans un laps de temps donné. L’autre point commun entre Cyber Helper et l’être

humain est que Cyber Helper peut entreprendre l’analyse du protocole, de façon indépendante et pratiquement autonome, et apprendre en permanence dans un environnement en perpétuel changement.

En matière d’auto-apprentissage, Cyber Helper est essentiellement confronté à trois difficultés : les erreurs commises par les experts humains, que l’intuition limitée de la machine ne permet pas de résoudre ; l’insuffisance et l’incohérence des informations sur le programme ; et les multiples retouches des données ainsi que les retards dans leur saisie. Examinons ces problèmes de plus près.

UNE RÉALISATION COMPLEXE

Les experts chargés de traiter les protocoles et les fichiers placés en quarantaine peuvent commettre des erreurs ou agir d’une façon que la machine ne peut expliquer logiquement. En voici un exemple classique : un spécialiste détecte dans un protocole un fichier inconnu présentant les caractéristiques d’un programme malveillant nommé %System32%\ntos.exe, et, se fiant à son expérience et à son intuition, il supprime ce fichier sans le mettre en quarantaine et sans

réaliser d’analyse plus poussée. Ainsi, les détails des actions accomplies par les spécialistes, et le cheminement qui les conduit à telle ou telle conclusion, ne peuvent être directement traduits en éléments que la machine puisse apprendre. Très souvent, on est confronté à des informations de traitement incomplètes et contradictoires. Prenons l’exemple d’un utilisateur qui, avant de demander l’assistance d’un expert, tente de réparer son ordinateur et efface une partie seulement d’un programme malveillant. Ce faisant, il rétablit les fichiers infectés et oublie de nettoyer le registre. Enfin, voici un troisième problème très fréquent : au cours de la procédure d’analyse du protocole, on dispose seulement des métadonnées provenant d’un objet suspect. En revanche, après analyse du fichier mis en quarantaine, seules les informations initiales concernant les objets suspects sont disponibles. Vient ensuite la catégorisation de l’objet, qui sera classé soit comme programme malveillant, soit comme programme « propre ». En général, cette information n’est disponible qu’après des mises au point répétées et un certain temps, qui peut aller de quelques minutes à plusieurs mois. Le processus de définition peut avoir lieu à l’extérieur, dans un laboratoire de services d’analyse, ou dans les sous-systèmes de Cyber Helper.

Prenons un exemple classique : un analyseur vérifie un fichier mais ne détecte aucun comportement dangereux et transmet l’information à Cyber Helper. Quelque temps plus tard, l’analyseur est mis à niveau et recommence l’analyse du fichier suspect examiné précédemment, mais cette fois, le verdict est différent. La même chose peut arriver aux analystes antivirus spécialisés, avec les programmes dont la classification est douteuse, par exemple les programmes pour les systèmes de gestion à distance ou les utilitaires couvrant la piste d’un utilisateur, dont la classification peut changer d’une version à l’autre. Pour cette raison (la volatilité et l’ambiguïté des paramètres des programmes analysés), toutes les décisions prises par Cyber Helper se basent sur plus de cinquante analyses indépendantes différentes. Pour chaque type de recherche, les priorités et la signification des résultats changent en permanence, tout comme le processus d’auto-apprentissage du système intelligent.

À partir des informations disponibles au temps T, l’analyseur de Cyber Helper émet un certain nombre d’hypothèses concernant les objets du protocole qui sont susceptibles de représenter une menace et ceux qui peuvent être ajoutés à la base de données des fichiers « propres ». À partir de ces hypothèses, AVZ écrit automatiquement des scripts de mise en quarantaine des objets suspects. Ces scripts sont ensuite transférés à l’ordinateur de l’utilisateur pour être exécutés. (Étape 2 de l’algorithme de fonctionnement général du système Cyber Helper).

Au moment de l’écriture du script, il se peut que le système intelligent ait détecté des données manifestement hostiles. Dans ce cas, le script peut inclure des commandes de suppression pour les programmes malveillants connus ou des appels de procédures spéciales visant à réparer les dommages connus sur le système. Cette situation est fréquente car Cyber Helper traite simultanément des centaines de demandes, notamment lorsque plusieurs ordinateurs ont été victimes du même programme malveillant et demandent une assistance. Après avoir reçu et analysé les échantillons requis envoyés par l’un des ordinateurs, Cyber Helper est en mesure de proposer aux autres utilisateurs des scripts de traitement sans passer par une mise en quarantaine, ce qui permet de faire gagner du temps aux utilisateurs et de réduire le trafic de données. Les objets reçus de l’utilisateur sont analysés sous le contrôle de Cyber Helper et les résultats obtenus, quels qu’ils soient, viennent compléter la base de connaissances du système. Ainsi, la machine intelligente peut vérifier toutes les hypothèses qui lui parviennent à l’étape 1 de l’algorithme de fonctionnement général puis confirmer (ou non) le résultat.

SOUS-SySTÈMES TECHNIQUES

DE CyBER HELPER

Les sous-systèmes principaux de Cyber Helper sont des entités autonomes chargées d’analyser le contenu et le comportement des fichiers des programmes. Grâce à eux, Cyber Helper peut analyser les programmes malveillants et faire son auto-apprentissage à partir des résultats de ses actions. Si l’analyse confirme sans ambiguïté qu’un objet est

malveillant, cet objet est transmis au laboratoire antivirus, avec la recommandation de l’inclure prioritairement aux bases de données antivirus. Un script de traitement destiné à l’utilisateur est alors rédigé (étape 5 de l’algorithme général). Il est important de noter que l’analyse de l’objet ne permet pas toujours à Cyber Helper d’en déterminer la nature avec certitude. Dans ce cas, toutes les données initiales et les résultats collectés sont transmis à un expert chargé de les analyser (étape 6). L’expert indique ensuite le traitement requis. Cyber Helper ne participe pas à ce processus, mais poursuit l’étude des fichiers placés en quarantaine et des protocoles reçus, génère des rapports destinés à l’expert et lui évite ainsi une grande partie du travail de routine.

Cependant, la « politique de non-intervention » des systèmes d’IA dans le travail de l’expert n’est pas systématiquement appliquée. On connaît des dizaines de cas dans lesquels la machine intelligente a découvert des erreurs commises par un humain en se référant à l’expérience qu’elle avait accumulée et aux résultats de sa propre analyse d’un objet. Dans de tels cas, la machine peut d’abord interrompre le processus d’analyse et de prise de décision, puis envoyer un avertissement à l’expert avant de procéder au blocage des scripts qui doivent être envoyés à l’utilisateur et qui pourraient, selon la machine intelligente, être néfastes à son système. La machine contrôle à peu près de la même façon ses propres opérations. En même temps que les scripts de traitement sont développés, un autre sous-système les évalue pour empêcher l’apparition d’erreurs. L’exemple d’erreur le plus simple survient lors du remplacement d’un composant système important par un programme malveillant. D’un côté, il faut détruire le programme malveillant,

mais de l’autre, cette destruction peut entraîner des dommages irréparables sur le système.

Aujourd’hui, Cyber Helper est parfaitement intégré au portail antivirus http://virusinfo.info/index.php?page=homeeng&langid=1 et constitue la base du système expérimental 911 http://virusinfo.info/911test/ . Dans ce « système 911 », Cyber Helper communique directement avec l’utilisateur : il demande les protocoles, les analyse, écrit des scripts d’analyse initiale et analyse les fichiers mis en quarantaine. Selon les résultats des analyses, la machine est autorisée ou non à traiter l’ordinateur infecté. De plus, Cyber Helper facilite le travail des experts en détectant et en éliminant toutes les erreurs dangereuses, en effectuant les analyses initiales de tous les fichiers mis en quarantaine par les experts et en traitant les données en quarantaine avant de les ajouter à la base de données des fichiers « propres ». La technologie sous-jacente de Cyber Helper et son principe de fonctionnement sont protégés par des brevets Kaspersky Lab.

CONCLUSION

Les programmes malveillants actuels agissent et se propagent avec une extrême rapidité. Pour réagir immédiatement, il faut pouvoir traiter de façon intelligente des volumes importants de données hors norme. L’intelligence artificielle est la solution idéale : elle est capable de traiter les données beaucoup plus rapidement que le cerveau humain. Très peu de projets de création d’une intelligence artificielle ont abouti à des résultats, Cyber Helper est l’un d’eux. Comme toute créature douée d’intelligence, Cyber Helper est capable d’apprendre par lui-même et de définir ses actions de façon autonome. Les analystes antivirus et les machines intelligentes se complètent parfaitement, et une collaboration plus efficace entre eux offre aux utilisateurs une protection plus sûre. RE

Lorsqu’une requête a été formulée, le système l’affiche une nouvelle fois pour que l’opérateur puisse vérifier que toutes les données saisies sont correctes

Les services 911 disponibles sur le site Web VirusInfo sont utilisables par toute personne le désirant

Exemple d’instruction et de script de traitement/quarantaine écrit par le système Cyber Helper sans intervention humaine

L’expert du Web L’expert du Web


TECHNOLOGIE | | TECHNOLOGIE


CONCLUSION

L’évolution constante des menaces exige de nouvelles méthodes de protection, toutes plus efficaces les unes que les autres. La surveillance des événements système représente une solution idéale car elle donne un maximum d’informations sur l’activité du système à des modules d’analyse capables

de déterminer, le cas échéant, les réponses à fournir.On pourrait comparer les méthodes classiques,

basées sur les signatures, à l’identification de criminels grâce à leurs empreintes digitales. Si la base de données des empreintes est incomplète, on peut utiliser la surveillance des systèmes. Celle-ci serait similaire à l’établissement d’un contrôle total sur un territoire protégé et à une surveillance si étroite que les criminels seraient forcément identifiés dès qu’ils tenteraient de commettre un méfait. RE

La méthode classique de protection contre les programmes malveillants consiste à analyser d’abord les caractéristiques spécifiques à chaque programme malveillant, à enregistrer ces caractéristiques dans la base de données pour qu’elle soit la plus complète possible, puis à bloquer tous les programmes présentant l’une ou l’autre des caractéristiques enregistrées. Le principal inconvénient de cette méthode basée sur les signatures est qu’elle n’offre de protection que contre les menaces connues et que les informations relatives à chaque menace doivent être collectées séparément. On ne peut donc avoir qu’une vision très limitée de ce qui se passe sur l’ensemble du système informatique, alors que pour bénéficier d’un niveau de sécurité correct il faut avoir l’idée la plus précise possible de l’évolution du paysage des menaces et des anomalies du système.

SURvEILLANCE DU SySTÈME : UN NOUvEAU NIvEAU DE PROTECTION

Les solutions de surveillance des systèmes enregistrent le moindre changement important qui intervient sur le système, notamment les changements destructeurs comme les entrées indésirables dans le registre système et les modifications non autorisées de fichiers. Un comportement destructeur est la principale caractéristique d’un programme malveillant, qu’il soit connu ou encore inconnu. C’est pourquoi ce type de surveillance constitue une solution universelle et efficace contre n’importe quel logiciel se comportant comme un programme malveillant.

Une fois que l’on a défini les paramètres et les événements légitimes pour un système donné, on peut détecter toute anomalie, même inconnue, qui n’entre pas dans ce cadre. Très souvent, cette méthode s’avère plus simple que de tenter d’imaginer à l’avance tous les types de menaces afin de concevoir et mettre en œuvre des stratégies de protection adaptées.

La surveillance des systèmes est particulièrement utile face au développement et au perfectionnement permanents de nouvelles attaques et de nouvelles menaces. Elle permet notamment de détecter les nouvelles menaces et anomalies

liées aux nouvelles méthodes d’implantation dans un système et au camouflage des programmes malveillants.

Cette solution offre aussi une protection d’une grande souplesse. On pourrait la comparer à l’utilisation de listes blanches et de listes noires pour les logiciels. Les listes noires contiennent les logiciels malveillants et détruisent tout ce qui figure dans la liste, tandis que les listes blanches contiennent les programmes légitimes et autorisent uniquement ces programmes à accéder aux ressources systèmes requises. Dans les deux cas, une protection fiable ne peut être obtenue que si les listes sont parfaitement tenues à jour. Or cela est impossible en raison du volume de nouveaux programmes malveillants et légitimes qui apparaissent chaque jour. C’est pourquoi la démarche la plus raisonnable et la plus souple consiste à associer les deux types de listes, blanches et noires.

Il est important de noter que la surveillance des systèmes, si elle est mise en œuvre correctement, permet d’annuler les effets des programmes malveillants et de rétablir les paramètres de fonctionnement normal de l’ordinateur.

ANALySE DES ÉvÉNEMENTS SySTÈME

Pour obtenir des fonctions de surveillance fiables, on peut associer le logiciel de surveillance des systèmes avec un système d’analyse des menaces intelligent et performant. Il ne suffit pas de collecter des informations sur les événements système. Il faut aussi définir correctement leur source, ainsi que leurs relations et leur influence sur la sécurité du système.

Les fonctionnalités de surveillance doivent être souples et leur méthodologie peut varier selon les objectifs. Lorsque des menaces sont détectées, le système les compare aux modèles connus de comportements malveillants. Lorsque des anomalies inconnues sont repérées, il doit analyser globalement les événements et les états système et identifier les écarts par rapport à la norme pour déclencher la réponse adaptée.

Pour que la protection obtenue soit complète, le logiciel de surveillance doit être capable d’analyser les événements en temps réel pour pouvoir bloquer et annuler immédiatement les opérations de destruction.

Sous contrôleLes systèmes de sécurité progressent en permanence et, si les technologies classiques basées sur les signatures ne peuvent traiter que les menaces connues, les nouvelles solutions de surveillance des événements système sont capables de détecter des menaces et des comportements anormaux que les analystes antivirus connaissent encore très mal

Elmar Török travaille dans les technologies de l’information depuis 1989. Il est devenu auteur et journaliste technique en 1993, pendant ses études d’ingénieur électricien à Munich et à Kempten. Depuis, il a écrit des centaines d’articles pour pratiquement tous les grands magazines allemands sur l’informatique et les réseaux. Elmar Török est spécialisé dans les problèmes de stockage et de sécurité informatique. Il possède de solides connaissances dans le domaine des serveurs et maîtrise bien les questions de virtualisation. Rédacteur en chef de la revue Infodienst IT-Grundschutz, il participe à la prise de décision finale concernant les nouveaux articles à paraître dans les catalogues IT-Grundschutz de l’Office fédéral de la sécurité des technologies de l’information.

Article deElmar Török

Analyse de l’activité des applications Analyse de l’activité des applications

La dernière version de Kaspersky Internet Security 2011 permet de contrôler l’activité des applications

Les nouvelles solutions antivirus doivent intégrer un

logiciel de surveillance des systèmes. Kaspersky Lab a été l’une des premières

sociétés à identifier les avantages qu’une telle

technologie apporterait aux utilisateurs et l’a incluse dans

Kaspersky Internet Security 2010. Depuis, elle a été

intégrée à la version 2011 de Kaspersky Anti-Virus et de Kaspersky Internet Security.

Dans les versions 2011, le logiciel de surveillance

constitue un module distinct appelé « System Watcher ».

Dans les produits Kaspersky Lab, System Watcher surveille et enregistre les informations

relatives à la création et à la modification de fichiers, aux

changements apportés au registre, aux appels système

et au transfert de données vers/depuis Internet. Le

processus de collecte des données est automatique, il se fait sans intervention de

l’utilisateur. Et par-dessus tout, System Watcher

permet d’annuler toutes les modifications provoquées par des programmes malveillants.

System Watcher n’a pas été simplement mis en œuvre,

mais intégré à plusieurs modules d’analyse. Il est capable, en fonction des

données collectées, de prendre une décision sur la dangerosité éventuelle d’un programme grâce au module « Behavior Stream Signatures ». Il peut aussi

échanger des informations de façon active avec les

autres modules servant à analyser le comportement

des programmes, notamment le module de protection

préventive, le système de prévention des attaques, le moteur antivirus et le filtre

Internet.

Nikolay GrebennikovChief Technology Officer

chez Kaspersky Lab

AvIS D’EXPERT

Présentation générale d’un système classique d’analyse de l’activité des applications


PRÉvISIONS | Evolution des méthodes d’attaque et des cibles


Evolution des méthodes d’attaque et des cibles | PRÉvISIONS

LA PRINCIPALE MENACE

Actuellement, la plupart des infections par des virus interviennent lorsque l’on utilise Internet. Devenue universelle, la technologie de propagation des virus par « téléchargement intempestif » a rendu la menace encore plus forte. Comme son nom ne l’indique pas, l’utilisateur n’a même pas besoin de télécharger des fichiers depuis Internet. Il lui suffit de consulter un site malveillant ou un site légitime victime d’un « exploit » pour se retrouver avec un ordinateur infecté. L’exploitation de failles de sécurité est devenue un moyen de prolifération des virus encore plus efficace que les techniques d’« ingénierie sociale ». Les professionnels de la sécurité informatique ne s’y sont d’ailleurs pas encore habitués.

De nombreux éditeurs de logiciels dont les programmes contiennent des vulnérabilités ont apparemment beaucoup de mal à revoir leurs processus, que ce soit pour réduire le nombre de vulnérabilités ou pour s’attaquer plus efficacement au problème. La prolifération sur Internet de menaces sans remède devient, et c’est inquiétant, la norme et non plus l’exception.

Au moment où j’écris cet article, je connais dans des produits courants au moins trois vulnérabilités critiques sur lesquelles les développeurs de ces produits ne se sont pas encore penchés. Et je ne serais pas vraiment surpris s’il fallait encore attendre un certain temps après la publication de cet article avant qu’ils ne réagissent.

La gestion de la sécurité par les créateurs d’autres ressources Internet en vogue, en particulier les réseaux sociaux, est tout aussi déplorable. Des vulnérabilités de type XSS (script de site à site) sont détectées avec une fréquence alarmante dans certaines des ressources les plus utilisées, ce qui rend le problème encore plus sérieux.

Loin d’être aussi rare qu’auparavant, l’exploitation de vulnérabilités pour diffuser des logiciels malveillants ou voler des informations est devenue extrêmement courante.

À présent, même des cyber-délinquants sans aucune connaissance en programmation peuvent utiliser des « packs d’exploitation » clés en main pour diffuser leurs chevaux de Troie. Ils peuvent ainsi atteindre un nombre d’ordinateurs bien plus important qu’à travers la seule ingénierie sociale.

Il faut le savoir, le danger que représentent les vulnérabilités logicielles augmente de jour en jour. Encore récemment, tous les éditeurs d’antivirus agissaient plutôt de façon réactive que proactive pour détecter les exploits et/ou informer leurs utilisateurs de la présence sur leur ordinateur d’applications présentant des risques. Depuis peu, ils développent des systèmes de protection multicouches destinés à lutter contre ce type de menaces, avec l’introduction d’outils de base capables d’identifier ces vulnérabilités et de protéger les systèmes.

Bien évidemment, ce n’est pas suffisant, mais la création de nouvelles technologies adaptées, leur développement et leur mise en œuvre prend du temps. Mais même si nous arrivons à inverser la tendance et à rendre l’exploitation de vulnérabilités aussi rare qu’elle l’était il y a une dizaine d’années, le tristement célèbre « facteur humain » demeurera.

ESPIONNAGE INDUSTRIEL

L’existence de multiples vulnérabilités de type « 0 day » ouvre un vaste champ de nouvelles possibilités pour les cyber-délinquants, avec notamment l’attaque de sociétés, d’instituts de recherche et d’organismes gouvernementaux. Alors que, jusqu’à présent, ces établissements étaient surtout confrontés au problème du facteur humain, qui impliquait le plus souvent des négligences du personnel ou l’acte d’un initié, les menaces actuelles ont obligé ces sociétés et organismes à revoir entièrement leur stratégie globale de protection.

Parmi ces nouvelles menaces, l’exemple le plus prolifique est le ver Stuxnet, détecté pour la première fois au cours de l’été 2010. Son but était d’accéder aux informations des systèmes chargés de gérer la production de Siemens Simatic WinCC et fonctionnant sur la plate-forme SCADA. Outre des fonctionnalités inhabituelles, ce ver était capable d’exploiter une vulnérabilité de type « 0 day » de Windows pour se multiplier. Cette vulnérabilité était connue des cyber-délinquants au moins six mois avant d’être détectée par les spécialistes de la sécurité et il n’est pas difficile de deviner qui a pu l‘exploiter et dans quel but. Encore plus inquiétant, il peut exister un conflit d’intérêt entre les cyber-délinquants et

Maillons faibles En général, pour prévoir l’évolution des menaces, nous nous intéressons de près aux nouveaux modes de prolifération des virus, aux nouvelles plates-formes sur lesquelles les menaces peuvent apparaître et aux revenus qui assurent l’existence des cyber-délinquants. Mais la principale source du problème est et restera le facteur humain.

Depuis 2008, Aleks a dirigé l’équipe internationale de recherche et d’analyse de Kaspersky Lab, avant de devenir, en 2010, le spécialiste de la sécurité au sein de cette équipe. Aleks Gostev est spécialisé dans tous les aspects de la sécurité informatique, y compris les programmes malveillants pour plates-formes mobiles. Il est notamment en charge de la détection et de l’analyse des nouveaux programmes malveillants. Aleks publie des articles de recherche et d’analyse aussi bien sur des sites spécialisés dans l’informatique que dans les médias généralistes.

Article deAleks GostevChief Security Expertchez Kaspersky Lab

les organismes gouvernementaux dans le domaine de l’espionnage industriel.

Auparavant, les attaques des cyber-délinquants avaient pour seul but de harceler un grand nombre d’utilisateurs lambda et rares étaient les attaques réussies contre des établissements financiers, des systèmes de paiement et des boutiques en ligne. À ce moment-là, le principal objectif des criminels était d’obtenir l’accès aux comptes d’utilisateurs. Mais la cyber-délinquance a évolué en spirale, pour revenir à son point de départ mais à un niveau plus élevé.

Ce point de départ est la prise de conscience de la valeur de l’information dans la société actuelle. Souvent, une attaque réussie contre l’infrastructure d’une société sera bien plus rentable pour les cyber-délinquants que l’infection en masse d’ordinateurs personnels par des virus.

Le développement de processus de traitement de l’information et l’intégration dans ce domaine de nouvelles activités humaines permettent aux pirates d’obtenir des informations qui leur étaient jusque-là inaccessibles. Parallèlement, l’éventail d’informations susceptibles d’intéresser les cyber-délinquants s’est encore élargi. Si, par le passé, les principales cibles des pirates étaient les informations financières et les données personnelles des utilisateurs, à présent ils recherchent plutôt des données techniques et des informations sur les recherches en cours.

DE NOUvELLES MÉTHODES D’INFILTRATION

Comme nous l’avons vu plus tôt, le moyen le plus courant d’infiltrer un ordinateur consiste à passer par le navigateur Web de l’utilisateur. Toutefois, il ne faut pas oublier qu’il existe bien d’autres

moyens d’accéder au système d’un utilisateur, des moyens auxquels les cyber-délinquants s’intéressent actuellement de près et qui évoluent en permanence.

La distribution de programmes malveillants par le biais des réseaux de partage de fichiers connaît une progression extrêmement rapide. Pour donner une idée de l’étendue du problème, rappelons la saga du botnet Mariposa, dont les auteurs et les propriétaires ont été arrêtés en Espagne et en Slovénie pas plus tard que cet été. Selon les informations figurant dans le rapport du FBI, au cours de son existence ce botnet a contenu quelques 12 millions d’ordinateurs infectés dispersés dans 190 pays. Le botnet se propageait essentiellement à travers les réseaux P2P.

Christopher Davis, PDG de Defense Intelligence, le premier à avoir découvert le botnet Mariposa, explique : « J’aurais moins de mal à fournir la liste des sociétés de la liste Fortune 1000 qui n’étaient pas infectées que la liste de celles qui l’étaient. »

Au cours du premier semestre 2010, pratiquement chaque nouvelle version pirate notable d’un jeu ou d’un logiciel en vogue contenait un cheval de Troie diffusé sur les réseaux de partage de fichiers. En juillet, la société Microsoft a annoncé qu’elle avait détecté plusieurs virus dans des copies pirates du jeu Star Craft 2.

Face à une protection de plus en plus performante contre les attaques via les navigateurs, le vecteur d’entrée risque de se déplacer encore davantage vers les réseaux de partage de fichiers.

ANTIvIRUS EN CLOUD COMPUTING

Pratiquement tous les grands éditeurs d’antivirus ont commencé à utiliser les technologies du cloud computing ou prévoient d’y passer rapidement. Malgré leur intérêt incontestable dans la lutte contre les virus, ces

technologies risquent elles-mêmes de devenir une cible majeure pour les cyber-délinquants.

Jusqu’à présent, l’éternel combat entre virus et antivirus s’est essentiellement joué au niveau des fichiers et des processus sur les ordinateurs des utilisateurs finaux. Les programmes malveillants tentaient de détruire le système antivirus par différents moyens ou de persuader l’utilisateur de le désactiver lui-même.

Avec le début de l’utilisation de technologies du cloud computing pour la détection et la catégorisation, le combat s’est déplacé sur un nouveau front. Les programmes malveillants, ou plus précisément, leurs auteurs, devront résoudre le problème de l’attaque du cloud computing. Si, du point de vue technique, il est pratiquement impossible de détruire ce style de structure, hormis directement par des attaques de déni de service distribué en masses, les fonctionnalités du cloud computing (réception, traitement et envoi d’informations vers/depuis les utilisateurs finaux) sont très vulnérables.

Les failles inhérentes à l’architecture même de la majorité de ces solutions antivirus seront activement exploitées par les cyber-délinquants. On en a d’ailleurs vu les premiers exemples. La méthode la plus répandue et la plus simple pour désactiver ces solutions consiste à en bloquer l’accès par les ordinateurs. Il existe aussi des méthodes plus complexes : substitution des données pour inonder le cloud computing d’informations fausses et modification des données en provenance d’internet.

Le déversement de fausses informations représente sans doute la menace la plus sérieuse. Si le blocage de l’accès à ces solutions ou la modification des réponses qui en proviennent ne touchent que les utilisateurs infectés, l’introduction de données fausses dans celles-ci, quant à elle, concernerait tous les utilisateurs. Cette méthode serait non seulement indétectable, mais s’accompagnerait aussi d’un problème plus grave sous la forme de faux positifs, qui conduirait à une baisse généralisée de la confiance accordée aux nuages et à la nécessité de revoir ou de modifier leurs algorithmes de performance.

Avec la multiplication des antivirus utilisant les technologies de l’informatique du cloud computing, on risque de voir augmenter de façon constante (en qualité et en quantité) le nombre d’attaques visant ces architectures depuis des programmes malveillants présents sur les ordinateurs des clients et même, grâce à des services spéciaux, pris en charge par les cyber-délinquants. RE

Pourcentage approximatif d’infections par des virus causées par le facteur humain (en bleu), par rapport aux vulnérabilités logicielles (en rouge) pour la période 2000-2005

Pourcentage approximatif d’infections par des virus causées par le facteur humain (en bleu), par rapport aux vulnérabilités logicielles (en rouge) pour la période 2009-2010

ENTRETIEN | Traitement des programmes malveillants


Sv : Depuis quelque temps, nous assistons à une croissance phénoménale de la quantité de programmes malveillants. À quoi est-ce dû ? À l'appât du gain des cyber-délinquants ?

N : Commençons par rappeler qu’il n’existe pas de système unique de comptabilisation des programmes malveillants. Nous savons tous que des solutions modernes sont développées en s’inspirant des analyseurs comportementaux avancés et que le modèle comportemental avancé HEUR:Worm.32.Generic bloque chaque jour des millions de fichiers différents. Alors, comment les compter ? Kaspersky Lab est passé depuis longtemps de l’évaluation abstraite du volume de virus détectés à des statistiques basées sur les chiffres réels d’infections par des virus et d’attaques évitées. Ces statistiques nous sont envoyées en ligne par les utilisateurs de nos produits. Nous connaissons chaque jour la quantité d’infections par des virus et le nombre de machines infectées, et nous pouvons donc suivre avec précision la propagation des épidémies. En chiffres absolus, nous obtenons chaque jour plusieurs millions d’attaques différentes, mais celles-ci sont causées toujours par les mêmes fichiers. Mais d’où viennent tous ces fichiers ? Aujourd’hui, les virus constituent un fonds de commerce important et le domaine de la programmation système, dont l’intérêt, il y a quelque temps encore, était de représenter une approche non banalisée, est devenu pour les cyber-délinquants un moyen de générer des revenus. Et comme dans n’importe quelle activité, les ateliers clandestins se sont transformés en usines parfaitement organisées, avec une séparation des tâches bien définie. Les clients sont généralement réticents à payer des dizaines de milliers de dollars pour la création d’une nouvelle version d'un botnet utilisant des chevaux de Troie. Il est bien plus simple d’acheter un pack développé pour vous, avec les services d’assistance correspondants. Ainsi, si le pack est détecté, on vous en fournit un autre. C’est l’une des principales raisons de la croissance des fichiers malveillants. Comme le dit l’un de nos collègues : « On fait du neuf avec du vieux, avec un nouvel emballage bien beau ».

Soit les développeurs de logiciels malveillants se sont montrés extrêmement paresseux, soit les éditeurs d'antivirus ont accéléré la création de signatures de protection. En tout cas, l'idée a été poussée encore plus loin.Les outils chargés de masquer les logiciels malveillants sont maintenant placés sur le serveur Web à partir duquel ces logiciels sont téléchargés. Lorsqu'un utilisateur suit le lien qui mène à un programme malveillant, le serveur propose un nouveau fichier unique. On parle dans ce cas de polymorphisme côté serveur. Chaque fois que le lien est utilisé, l’utilisateur reçoit un fichier différent doté de fonctionnalités identiques. Les projets de développement de virus à l’aide de code open source de type Pinch & Black Energy ont également joué un rôle important dans la multiplication des variantes détectées. Toute personne en marge de la loi peut trouver le texte d’origine de ces programmes, les personnaliser en fonction de ses objectifs et commencer à les diffuser.

Sv : À cet égard, comment la démarche de

traitement des programmes malveillants par les éditeurs d’antivirus a-t-elle évolué ?

N : Tout d’abord, l’afflux de données malveillantes a tellement augmenté que nous-mêmes, à notre siège, avons été confrontés à des problèmes de capacité d’alimentation électrique pour la connexion de nos nouveaux serveurs. Nous recevons des centaines de milliers de fichiers par jour et pour les traiter manuellement, il nous faudrait plus de 1 000 personnes. C’est pourquoi nous avons radicalement changé notre méthode. Notre objectif est de réduire au minimum le nombre de fichiers qui parviennent à nos analystes antivirus. Chacun devrait pouvoir faire ce qui lui plaît vraiment, en l’occurrence, réfléchir aux nouveaux échantillons et les analyser, ce qui ne peut pas être fait par des machines. Parallèlement, il faut laisser les tâches de routine aux robots. D’ailleurs, pour nous, le combat entre nos robots et ceux de nos adversaires est un sujet de plaisanterie. Nous renforçons également nos capacités régionales.

Pour commencer, nous avons ouvert un laboratoire antivirus à Beijing et nous nous préparons à en ouvrir un autre aux États-Unis, à Seattle. De cette façon, Kaspersky Lab pourra couvrir tous les fuseaux horaires, ce qui permettra peut-être, à terme, d'éviter aux analystes antivirus basés à Moscou de travailler en trois-huit.

Sv : Comment recevez-vous les nouvelles versions de programmes malveillants ?

N : Bien entendu, nous avons beaucoup changé nos méthodes d’obtention de nouveaux échantillons de programmes malveillants. Auparavant, nous recevions des fichiers suspects envoyés par les utilisateurs de nos produits et d'autres personnes sur notre boîte électronique [email protected]. À présent, nous tentons plutôt d’identifier précocement les fichiers malveillants. Nos robots parcourent les pages Internet, reçoivent et « lisent » les spams, et imitent les utilisateurs de clients de messagerie instantanée. Ils sont même capables de soutenir une conversation ! Tout cela est passionnant. Par ailleurs, nous partageons volontiers nos informations sur les menaces que nous avons détectées avec nos collègues d'autres sociétés et réciproquement.

Sv : À l’avenir, sera-t-il possible d’automatiser entièrement le processus et de se passer des analystes antivirus ?

N : Que nous puissions éliminer entièrement les humains du processus, en particulier les analystes antivirus, me semble très peu probable. Avec un tel système automatique, la qualité se dégraderait très vite. Plus vraisemblablement, les analystes antivirus auront pour rôle de configurer les différents robots et d’intégrer à leurs algorithmes les moyens de lutter contre les nouveaux vecteurs d’attaque. Et même ainsi, il existe toujours des données incomplètes ou contradictoires dont un robot ne peut se charger, ou des faux positifs que seuls des humains sont en mesure de traiter. RE

Evoluer au rythme des virus

De toute évidence, l’intention des créateurs de virus est de rentabiliser au mieux leurs activités. Pour ce faire, ils diffusent le plus grand nombre possible de programmes malveillants en utilisant différentes astuces pour les cacher aux détecteurs de virus. Nikita Shvetsov, responsable de la recherche sur les antivirus chez Kaspersky Lab, nous explique comment les analystes antivirus parviennent à traiter des quantités considérables d’échantillons de logiciels malveillants.

www.securelist.com

Kaspersky Lab France

Immeuble l’Européen - ZAC Rueil 20002, Rue Joseph MONIER - 92 500 Rueil Malmaison

www.kaspersky.fremail : [email protected]

Tél. : 0825 888 612

Russie - Royaume Uni - France - Allemagne - Pologne - Chine - Benelux - USA - Japon - Corée - Espagne - Italie - MalaisieSuède - Suisse - Autriche - Argentine - Canada - Brésil - Mexique - Ukraine - Kazakhstan

Dubaï - Roumanie - Turquie - Australie - Hong-Kong - Inde

LES ENTREPRISES EN ÉTAT DE SIÈGE -...

Documents

Transcript of LES ENTREPRISES EN ÉTAT DE SIÈGE -...