Les
virus attendus dans les six prochains mois, les meilleures parades,
le danger des pièces jointes, les hoax... Une heure durant, le "Virus
Doctor" de Trend Micro a dû traiter des maux bien concrets.
Prochain
JDNet Chat : mercredi 13 février, de 18h à 19h (GMT
+ 1)
JDNet
Chat
|
|
Invité
: Marc Blanchard, Directeur des Laboratoires Européens
de recherche Trend Micro (voir
sa fiche Carnet) |
Date
: mercredi 6 février, 18h-19h |
Nombre
de questions posées : 119 |
Nombre
de questions retenues : 27 |
|
Marc
Blanchard : Bonjour à Tous.
Comment
devient-on "chercheur" en anti-virus ?
On
devient chercheur en antivirus en cumulant des connaissances dans
les systèmes d'informations et surtout en électronique
et mathématiques appliquées. Après, c'est la
curiosité qui compte...
Que
pensez-vous de l'affaire Goodluck ?
TrendMicro
ne se sent pas du tout concerné par ce document, car nos
techniques d'analyses pourront, de toutes facons, stopper de nouvelles
technologies arrivant par le biais d'un ou de plusieurs fichiers,
et ce quelles que soient leurs structures de développement
interne, cryptées ou non. En ce qui concerne les attaques
de plus bas niveaux, sur les routeurs et firewalls, les éditeurs
respectifs seront à même de réagir à
des activités malicieuses, comme celles décrites dans
ce soi-disant dossier confidentiel. Lequel ne fait que décrire
des technologies connues depuis 1988, et d'autres plus récentes.
Le
pire virus de l'histoire, c'était quoi ?
Pour
être franc je n'en connais pas encore. Par contre, certains
virus m'ont donné du fil à retordre. Je pense à
XM_LAPAIX qui était logé dans une cellule Excel et
non pas dans une table OLE2, ou encore à Bolzano qui est
un des premier virus métamorphe.
Quels
sont pour vous les risques viraux les plus importants actuellement
?
De
plus en plus de trojans (chevaux de Troie, ndlr) et de worms (vers,
ndlr) apparaissent avec des techniques de propagation de type spammers
car les trous de sécurité sont comblés rapidement
par les éditeurs de systèmes d'exploitayion ou de
logiciels tel SMTP ou FTP, sans oublier les éditeurs de firewall.
Quel
est le meilleur moyen de se protéger au niveau viral quand on a
une connexion ADSL ?
Tout
dépend des services que vous utilisez. Le mieux serait de
ne pas ouvrir de port du réseau vers l'interne. Ensuite faîtes
du NAT et protégez-vous sur les serveurs de fichiers et sur
les postes. Si vous avez un serveur de messagerie interne, utilisez
une protection antivirus gateway ou de messagerie.
Sincèrement,
est-ce que les éditeurs fabriquent eux-mêmes des virus ?
Les
"Virus Docteurs" des éditeurs d'antivirus ont une
déontologie. S'ils se risquent à ce petit jeu, ils
mettent en péril leur situation professionnelle car les contrats
de travail sont très stricts à ce sujet.
Peut-on
recevoir un virus par chat ?
Oui,
via le DCC en général ou en recevant un script malicieux
qui modifiera le fichier ".ini" et qui ouvrira alors un
éventuel trou de sécurité pour accepter un
code non sollicité.
C'est
quoi un virus métamorphe au juste ?
C'est
une technique d'imbrication de code chiffré dans un code
existant sans avoir, en fait, de point d'entrée. En effet,
en général, lorsque un fichier est appelé,
il a un point d'entrée. Lorsqu'un code vient s'y loger, il
se crée alors un 2ème point d'entrée. Avec
le métamorphe, ce n'est pas la technique utilisée,
mais plutôt un reroutage via des JMP existants mais modifiés
dans une zone libre du fichier.
Quel
est le profil des concepteurs de virus ?
En
fait, généralement, il y en a deux sortes : primo,
les concepteurs de nouvelles technologies (proveoftheconcept) qui
ont la vocation de faire découvrir au monde que leurs possibilités
de développement est illimitée. La seconde catégorie,
elle, s'appuie sur les techniques de la première catégorie,
mais a pour but de détruire et de créer un cyberdésordre
destructif appelé "PAYLOAD".
Le
développement de l'échange de fichiers de type Divx ou Mp3 n'est
-il pas un facteur de propagation particulièrement inquiétant ?
Attention
aux usurpations d'identités de fichiers : En fait, un virus
a besoin d'être exécuté pour s'imbriquer dans
un système. Il concatenera alors avec un mp3, par exemple,
mais avec une structure d'un exécutable qui prendra soin
de se renommer en .mp3.pif ou mp3.lnk ou autre. Mais ces types de
fichiers ne véhiculent pas, pour le moment, de facon native,
des codes malicieux...Restons toutefois en veille technologique
à ce niveau.
J'ai
été infecté pas un virus nommé PE_MAGISTR.B, après un scan trendmicro.
Il m'a fallu effacer certains fichiers système avant de les réinstaller
; depuis je n'ai plus de problème. Est-ce que cela suffit ?
Le
problème de Magistr.B est qu'il est extrêmement dangereux
car il a des payloads de CIH sur la destruction du Bios et MBR (zones
de boot des disques, ndlr) et, de plus, il a la faculté de
s'imbriquer dans les fichiers systèmes qui, lorsqu'ils sont
utilisés, sont difficilement nettoyables, parce que le système
d'exploitation nous l'interdit. D'où la nécessité
d'appliquer des cleaners (nettoyeurs logiciels, ndlr) ou de remplacer
purement et simplement ces fichiers.
Faut-il
combiner plusieurs anti-virus pour se protéger ?
Les
éditeurs d'antivirus sont certifiés auprès
d'un organisme (l'ICSA) et doivent détecter 100% des virus
dans la nature. Si tel n'est pas le cas, ils ont 2 mois pour se
mettre à jour, sinon ils perdent leur certification. Par
conséquent, les anti-virus les plus représentatifs
sont efficaces pour les virus connus. Par contre, la réactivité
est importante quant à l'apport d'un antidote. Elle doit
être fournie le plus rapidement possible.
Peut-on
théoriquement envoyer des virus qui se propageraient sur des "appliances"
comme les distributeurs de tickets par exemple ?
Certainement,
je n'en ai pas encore rencontré, mais cela est possible si
cette "appliance" est connecté à un réseau
informatique utilise des OS où les virus où les codes
malicieux se propagent.
Je
n'ouvre jamais de fichiers joints, suis-je à l'abri des principaux
risques d'infection ?
Oui
et non. Il existe des codes malicieux que l'on nomme "embedded",
comme KAKWORM ou TAM, qui remplacent votre signature d'Outlook pour
y concaténer un script html générant l'infection...et
ce, sans attachement. Mais les grands spammeurs, en général,
sont en attachement.
Peut-on
toujours arriver à retrouver la trace de la personne qui a lancé
un virus ?
Tracer
une personne qui a lancé un virus, c'est possible, car les
services antifraudes peuvent demander des traces aux fournisseurs
d'accès Internet, mais il est surtout demandé dans
les cas de grands spammeurs comme loveletter ou nimda.
Est-il
vrai que les facs sont des incubateurs de virus ?
Je
ne suis pas convaincu, mais il se peut, comme dans tout corps de
formation, qu'il y en ait.
Quelles
attaques nouvelles pensez-vous voir arriver en 2002 ?
Tout
comme les 6 derniers mois, les usurpations d'identité de
mail, de nature de fichier ou bien d'infection de pages web, le
tout en méthodologie de spam, sont et resteront les vecteurs
majeurs de propagation. Avant, les supports étaient les disquettes
; aujourd'hui, les supports sont autour de TCP-IP c'est à
dire le réseau.
Y
a-t-il des virus sous Linux ?
Oui,
ils s'appellent des "ELF". Ils arrivent via le net, essaient
de scanner la plage d'adresses IP de la victime, font des tentatives
d'intrusion via des trous de sécurité, s'y connectent
en tant qu'utilisateur ou administrateur, copient leur code là
ou ils peuvent, et ce code contient des backdoors (littéralement,
"portes dérobées") afin de pénétrer
par rebond d'autres machines, notamment des postes sous Windows
pour y symphoner le maximum d'informations de l'entreprise.
Je
me suis fais pirater mon ordinateur (mes dossiers , mes business-plan...).
J'ai vu, dans ma base Outlook, 20 envois sur un mail que je ne connaissais
pas et ce n'est pas moi qui l'ai fait. Comment me prémunir de ce
genre de piratage industriel ?
D'abord,
il faut se munir d'un firewall et d'un antivirus. Veillez également
à mettre très régulièrement ces 2 produits
à jour. De plus, éviter de communiquer vos adresses
aux mailing list ou à tout autre site web ; utilisez une
mail-adresse autre que celle que vous utilisez professionnellement.
Scannez, contre les virus, régulièrement vos disques
et optez pour un scan temps réel et intégral. Certes,
un petit ralentissement sera constaté, mais mieux vaut un
ralentissement qu'un CRASH de machine qui vous coûtera, en
temps et en moyen, plus cher...
Quelle
est la fréquence idéale des mises à jour de la base de virus ?
Tout
dépend. Si vous ëtes un particulier, chaque fois que
vous allez sur Internet, votre anti-virus doit aller chercher son
site pour vérifier de nouvelles signatures. Si vous êtes
en entreprise, une fois par heure et ce 24/24.
Avez-vous
déjà été émerveillé par un virus d'une sophistication particulière
? Si oui, lequel ?
Non,
rien ne m'émerveille en ce qui concerne un type de code.
Mon travail consiste à les contrer et non à m'émerveiller.
Travaillez-vous
avec le gouvernement en matière de veille technologique ?
Cela
nous arrive fréquemment et nous échangeons assez régulièrement
des informations.
Quel
est, pour vous, le coût d'une protection efficace par poste de travail
salarié ?
Ouuuu...
n'étant pas dans la finance, je ne peux répondre à
votre demande. Désolé.
J'avais
les anti-virus les plus performants : check point et une mise à
jour temps réel avec un système cisco + un administrateur
réseau du CNET qui fait des scan all files regulièrement. Comment
être sêr de ma sécurité ?
Il
ne suffit pas d'avoir les meilleurs produits du monde. Veillez simplement
à ce que ces produits soient bien paramétrés....et
surtout bien suivis. Un administrateur système et sécurité
est indispensable en entreprise et doit avoir une veille technologique
importante.
Je
recherche un anti-spam qui soit aussi efficace qu'un anti-virus,
vous avez une idée ?
Allez
faire un tour chez Trend Micro... :-) avec un plug in nommé
e-Manager qui est un anti-spammer.
Bonsoir,
que pensez-vous des Virus Flash ?
SWF_LFM
infecte des shockwaves via des scripts. Le premier a été
TROJ_SHOCKWAVE, lancé le 30 novembre 2000. Logique, les entreprises
s'envoient leurs bons voeux en décembre. Pour être
le plus transparent possible, son propagateur l'a lancé à
cette période...Méfiance avec cette technologie.
Les
hoax (faux virus) , ça gène votre travail ou pas ?
Cela
peut, mais communiquons entre "Virus Docteurs" et établissons
des statistiques. Généralement, les hoax se présentent
comme des virus non détectables, même par les éditeurs
d'antivirus les plus connus, ce qui nous incite à penser
aux hoax. C'est une technique de "social engineering"
assez fréquente. Par contre, lorsque vous suspectez des codes
de ce type, n'allez JAMAIS sur les url concernées (eg WORM_COUPLE
de la semaine dernière) et envoyez-nous le mail. Nous analyserons
le mail, son url, les pages html et, éventuellement, le fichier
associé.
Marc
Blanchard :
Merci pour vos
questions et votre participation. Comme je le dis souvent, soyez
vigilant, soumettez-nous, à maito:viruslab@trendmicro.fr,
des mails ou fichiers suspects. Votre réactivité est
également notre proactivité. Donc votre sécurité.
A Bientôt.
|