Simulation d'attaques virales : le nouveau service salvateur signé CF6

Mai 2000, le virus ILoveYou fait des ravages dans les entreprises avec près de 45 millions de micro-ordinateurs infectés au bout d'un mois (lire article du 05/06/2000). Et au vu des pertes, l'on aurait pu croire que le nécessaire avait été fait dans presque toutes les organisations. Mais il y a à peine quatre mois, un autre ver se propageant par mail, Anna Kournikova, reproduit en partie le syndrôme (lire article du 14/02/2001). Or, face à la recrudescence de ces codes malicieux à la propriété presque magique de propagation ultra-rapide, nombre d'antivirus restent inefficaces. D'abord parce qu'il faut les mettre à jour, mais aussi en raison d'une complexité accrue des nouveaux virus.

"Si les relais de messagerie éjectaient toutes les pièces jointes à l'extension .VBS, près de 90 % des attaques virales seraient éliminées", déclare Joachim Krause, consultant sécurité senior chez CF6, la filiale sécurité et tests d'intrusion de la société de services réseaux Groupe Telindus. "Mais l'entreprise ne doit pas dire 'une fois que les attaques ont été arrêtées, tout va bien'. Nous devons répéter les tests en fonction d'une actualité virale qui évolue. Car certains virus utilisent de nouvelles techniques comme le cryptage. Et d'autres emploient des extensions propres comme .OCX qui ne sont pas ou peu vérifiées par les antivirus installés."

Une demande qui évolue vers plus de réalisme
Le ton est donné. Et voici qui souligne également l'utilité du nouveau service lancé officiellement par CF6 à l'issue du dernier salon Infosec de la fin du mois de mai. "Depuis un an, nous constations une forte demande sur le sujet et nous intervenions le plus souvent dans le cadre d'autres prestations", raconte Joachim Krause. "Les entreprises voulaient savoir par quel endroit et comment le virus était rentré. Puis, après Anna Kournikova, la demande a évolué vers la qualification de produits antivirus. Et à présent, l'entreprise veut à la fois un point complet sur la sécurité antivirale, et réclame une étude de robustesse sur toute la chaîne de protection."

Ainsi tiré par la demande, le nouveau service de simulation s'attaques virales lancé par CF6 comprend au moins quatre types de prestations accompagnées de tests spécifiques. L'offre s'étend ainsi de la définition de la politique antivirale de l'entreprise, à la recherche des failles qui ont conduit à l'infection, en passant par le choix de la solution appropriée. D'après Joachim Krause, elle serait la première du genre, car "elle nécessite une forte expertise sur les virus et leur fonctionnement."

CF6/Telindus adopte une méthodologie sans risques
De cette expertise naît inévitablement une méthodologie stricte. Car en effet, il arrive que certaines entreprises de sécurité non conventionnées provoquent des dégâts dans le système à cause de tests mal maîtrisés. "Il faut poser les jalons et limiter le périmètre physique et logique des tests", rassure Joachim Krause. "Pour des vers de type mass mailing comme Iloveyou et Anna Kournikova, par exemple, nous envoyons sur un seul poste utilisateur identifié un mail qui a le goût et la couleur d'un virus mais ne provoque pas de dégâts. Ce faisant, nous traversons toutes les barrières de l'entreprise, d'abord l'antivirus sur le firewall, celui de la passerelle, puis la messagerie Notes ou Exchange, et en dernier lieu le poste de travail." Au terme de ces tests, les différentes protections de la chaîne ont été passées au crible.

Qu'elles soient réalisées dans le cadre précis de la nouvelle offre ou dans un contexte plus global, les prestations sont facturées en jours/homme. A titre indicatif, un "test lourd" correspondant à la qualification d'une protection antivirale peut durer en moyenne une dizaine de jours. Des prestations plus importantes peuvent être facturées sur ce point précis si le client hésite entre deux produits.