Les
virus attendus dans les six prochains mois, les
meilleures parades, le danger des pièces jointes,
les hoax... Une heure durant, le "Virus Doctor"
de Trend Micro a dû traiter des maux bien concrets.
Prochain
JDNet Chat : mercredi 13 février, de 18h
à 19h (GMT + 1)
JDNet
Chat
|
|
Invité
: Marc Blanchard, Directeur des
Laboratoires Européens de recherche
Trend Micro (voir
sa fiche Carnet) |
Date
: mercredi 6 février, 18h-19h |
Nombre
de questions posées : 119 |
Nombre
de questions retenues : 27 |
|
Marc Blanchard :
Bonjour à Tous.
Comment
devient-on "chercheur" en anti-virus ?
On devient chercheur en antivirus en cumulant
des connaissances dans les systèmes d'informations
et surtout en électronique et mathématiques
appliquées. Après, c'est la curiosité
qui compte...
Que
pensez-vous de l'affaire Goodluck ?
TrendMicro ne se sent pas du tout concerné
par ce document, car nos techniques d'analyses
pourront, de toutes facons, stopper de nouvelles
technologies arrivant par le biais d'un ou de
plusieurs fichiers, et ce quelles que soient leurs
structures de développement interne, cryptées
ou non. En ce qui concerne les attaques de plus
bas niveaux, sur les routeurs et firewalls, les
éditeurs respectifs seront à même
de réagir à des activités
malicieuses, comme celles décrites dans
ce soi-disant dossier confidentiel. Lequel ne
fait que décrire des technologies connues
depuis 1988, et d'autres plus récentes.
Le
pire virus de l'histoire, c'était quoi ?
Pour être franc je n'en connais pas
encore. Par contre, certains virus m'ont donné
du fil à retordre. Je pense à XM_LAPAIX
qui était logé dans une cellule
Excel et non pas dans une table OLE2, ou encore
à Bolzano qui est un des premier virus
métamorphe.
Quels
sont pour vous les risques viraux les plus importants
actuellement ?
De plus en plus de trojans (chevaux de Troie,
ndlr) et de worms (vers, ndlr) apparaissent avec
des techniques de propagation de type spammers
car les trous de sécurité sont comblés
rapidement par les éditeurs de systèmes
d'exploitayion ou de logiciels tel SMTP ou FTP,
sans oublier les éditeurs de firewall.
Quel
est le meilleur moyen de se protéger au niveau
viral quand on a une connexion ADSL ?
Tout dépend des services que vous utilisez.
Le mieux serait de ne pas ouvrir de port du réseau
vers l'interne. Ensuite faîtes du NAT et
protégez-vous sur les serveurs de fichiers
et sur les postes. Si vous avez un serveur de
messagerie interne, utilisez une protection antivirus
gateway ou de messagerie.
Sincèrement,
est-ce que les éditeurs fabriquent eux-mêmes des
virus ?
Les "Virus Docteurs" des éditeurs
d'antivirus ont une déontologie. S'ils
se risquent à ce petit jeu, ils mettent
en péril leur situation professionnelle
car les contrats de travail sont très stricts
à ce sujet.
Peut-on
recevoir un virus par chat ?
Oui, via le DCC en général ou
en recevant un script malicieux qui modifiera
le fichier ".ini" et qui ouvrira alors
un éventuel trou de sécurité
pour accepter un code non sollicité.
C'est
quoi un virus métamorphe au juste ?
C'est une technique d'imbrication de code
chiffré dans un code existant sans avoir,
en fait, de point d'entrée. En effet, en
général, lorsque un fichier est
appelé, il a un point d'entrée.
Lorsqu'un code vient s'y loger, il se crée
alors un 2ème point d'entrée. Avec
le métamorphe, ce n'est pas la technique
utilisée, mais plutôt un reroutage
via des JMP existants mais modifiés dans
une zone libre du fichier.
Quel
est le profil des concepteurs de virus ?
En fait, généralement, il y
en a deux sortes : primo, les concepteurs de nouvelles
technologies (proveoftheconcept) qui ont la vocation
de faire découvrir au monde que leurs possibilités
de développement est illimitée.
La seconde catégorie, elle, s'appuie sur
les techniques de la première catégorie,
mais a pour but de détruire et de créer
un cyberdésordre destructif appelé
"PAYLOAD".
Le
développement de l'échange de fichiers de type
Divx ou Mp3 n'est -il pas un facteur de propagation
particulièrement inquiétant ?
Attention aux usurpations d'identités
de fichiers : En fait, un virus a besoin d'être
exécuté pour s'imbriquer dans un
système. Il concatenera alors avec un mp3,
par exemple, mais avec une structure d'un exécutable
qui prendra soin de se renommer en .mp3.pif ou
mp3.lnk ou autre. Mais ces types de fichiers ne
véhiculent pas, pour le moment, de facon
native, des codes malicieux...Restons toutefois
en veille technologique à ce niveau.
J'ai
été infecté pas un virus nommé PE_MAGISTR.B, après
un scan trendmicro. Il m'a fallu effacer certains
fichiers système avant de les réinstaller ; depuis
je n'ai plus de problème. Est-ce que cela suffit ?
Le problème de Magistr.B est qu'il
est extrêmement dangereux car il a des payloads
de CIH sur la destruction du Bios et MBR (zones
de boot des disques, ndlr) et, de plus, il a la
faculté de s'imbriquer dans les fichiers
systèmes qui, lorsqu'ils sont utilisés,
sont difficilement nettoyables, parce que le système
d'exploitation nous l'interdit. D'où la
nécessité d'appliquer des cleaners
(nettoyeurs logiciels, ndlr) ou de remplacer purement
et simplement ces fichiers.
Faut-il
combiner plusieurs anti-virus pour se protéger ?
Les éditeurs d'antivirus sont certifiés
auprès d'un organisme (l'ICSA) et doivent
détecter 100% des virus dans la nature.
Si tel n'est pas le cas, ils ont 2 mois pour se
mettre à jour, sinon ils perdent leur certification.
Par conséquent, les anti-virus les plus
représentatifs sont efficaces pour les
virus connus. Par contre, la réactivité
est importante quant à l'apport d'un antidote.
Elle doit être fournie le plus rapidement
possible.
Peut-on
théoriquement envoyer des virus qui se propageraient
sur des "appliances" comme les distributeurs de
tickets par exemple ?
Certainement, je n'en ai pas encore rencontré,
mais cela est possible si cette "appliance"
est connecté à un réseau
informatique utilise des OS où les virus
où les codes malicieux se propagent.
Je
n'ouvre jamais de fichiers joints, suis-je à l'abri
des principaux risques d'infection ?
Oui et non. Il existe des codes malicieux
que l'on nomme "embedded", comme KAKWORM
ou TAM, qui remplacent votre signature d'Outlook
pour y concaténer un script html générant
l'infection...et ce, sans attachement. Mais les
grands spammeurs, en général, sont
en attachement.
Peut-on
toujours arriver à retrouver la trace de la personne
qui a lancé un virus ?
Tracer une personne qui a lancé un
virus, c'est possible, car les services antifraudes
peuvent demander des traces aux fournisseurs d'accès
Internet, mais il est surtout demandé dans
les cas de grands spammeurs comme loveletter ou
nimda.
Est-il
vrai que les facs sont des incubateurs de virus
?
Je ne suis pas convaincu, mais il se peut,
comme dans tout corps de formation, qu'il y en
ait.
Quelles
attaques nouvelles pensez-vous voir arriver en
2002 ?
Tout comme les 6 derniers mois, les usurpations
d'identité de mail, de nature de fichier
ou bien d'infection de pages web, le tout en méthodologie
de spam, sont et resteront les vecteurs majeurs
de propagation. Avant, les supports étaient
les disquettes ; aujourd'hui, les supports sont
autour de TCP-IP c'est à dire le réseau.
Y
a-t-il des virus sous Linux ?
Oui, ils s'appellent des "ELF".
Ils arrivent via le net, essaient de scanner la
plage d'adresses IP de la victime, font des tentatives
d'intrusion via des trous de sécurité,
s'y connectent en tant qu'utilisateur ou administrateur,
copient leur code là ou ils peuvent, et
ce code contient des backdoors (littéralement,
"portes dérobées") afin
de pénétrer par rebond d'autres
machines, notamment des postes sous Windows pour
y symphoner le maximum d'informations de l'entreprise.
Je
me suis fais pirater mon ordinateur (mes dossiers
, mes business-plan...). J'ai vu, dans ma base
Outlook, 20 envois sur un mail que je ne connaissais
pas et ce n'est pas moi qui l'ai fait. Comment
me prémunir de ce genre de piratage industriel ?
D'abord, il faut se munir d'un firewall et
d'un antivirus. Veillez également à
mettre très régulièrement
ces 2 produits à jour. De plus, éviter
de communiquer vos adresses aux mailing list ou
à tout autre site web ; utilisez une mail-adresse
autre que celle que vous utilisez professionnellement.
Scannez, contre les virus, régulièrement
vos disques et optez pour un scan temps réel
et intégral. Certes, un petit ralentissement
sera constaté, mais mieux vaut un ralentissement
qu'un CRASH de machine qui vous coûtera,
en temps et en moyen, plus cher...
Quelle
est la fréquence idéale des mises à jour de la
base de virus ?
Tout dépend. Si vous ëtes un particulier,
chaque fois que vous allez sur Internet, votre
anti-virus doit aller chercher son site pour vérifier
de nouvelles signatures. Si vous êtes en
entreprise, une fois par heure et ce 24/24.
Avez-vous
déjà été émerveillé par un virus d'une sophistication
particulière ? Si oui, lequel ?
Non, rien ne m'émerveille en ce qui
concerne un type de code. Mon travail consiste
à les contrer et non à m'émerveiller.
Travaillez-vous
avec le gouvernement en matière de veille technologique
?
Cela nous arrive fréquemment et nous
échangeons assez régulièrement
des informations.
Quel
est, pour vous, le coût d'une protection efficace
par poste de travail salarié ?
Ouuuu... n'étant pas dans la finance,
je ne peux répondre à votre demande.
Désolé.
J'avais
les anti-virus les plus performants : check point
et une mise à jour temps réel avec un système
cisco + un administrateur réseau du CNET qui fait
des scan all files regulièrement. Comment être
sêr de ma sécurité ?
Il ne suffit pas d'avoir les meilleurs produits
du monde. Veillez simplement à ce que ces
produits soient bien paramétrés....et
surtout bien suivis. Un administrateur système
et sécurité est indispensable en
entreprise et doit avoir une veille technologique
importante.
Je
recherche un anti-spam qui soit aussi efficace
qu'un anti-virus, vous avez une idée ?
Allez faire un tour chez Trend Micro... :-)
avec un plug in nommé e-Manager qui est
un anti-spammer.
Bonsoir,
que pensez-vous des Virus Flash ?
SWF_LFM infecte des shockwaves via des scripts.
Le premier a été TROJ_SHOCKWAVE,
lancé le 30 novembre 2000. Logique, les
entreprises s'envoient leurs bons voeux en décembre.
Pour être le plus transparent possible,
son propagateur l'a lancé à cette
période...Méfiance avec cette technologie.
Les
hoax (faux virus) , ça gène votre travail
ou pas ?
Cela peut, mais communiquons entre "Virus
Docteurs" et établissons des statistiques.
Généralement, les hoax se présentent
comme des virus non détectables, même
par les éditeurs d'antivirus les plus connus,
ce qui nous incite à penser aux hoax. C'est
une technique de "social engineering"
assez fréquente. Par contre, lorsque vous
suspectez des codes de ce type, n'allez JAMAIS
sur les url concernées (eg WORM_COUPLE
de la semaine dernière) et envoyez-nous
le mail. Nous analyserons le mail, son url, les
pages html et, éventuellement, le fichier
associé.
Marc Blanchard
:
Merci
pour vos questions et votre participation. Comme
je le dis souvent, soyez vigilant, soumettez-nous,
à maito:viruslab@trendmicro.fr, des mails
ou fichiers suspects. Votre réactivité
est également notre proactivité.
Donc votre sécurité. A Bientôt.
|