Voir
aussi
Dossier: Virus,
l'actualité de la menace
Le
fin mot de l'histoire:
Catastrophisme,
"hoax" et sécurité ne font pas
bon ménage
A propos des chevaux de Troie, quelques idées
reçues ont besoin d'être dépoussiérées
sans vergogne. Si vous n'avez pas lu notre questions/réponses
sur les virus, les vers et les trojans, c'est le
moment. En attendant, il convient d'insister sur un
point : les chevaux de Troie ne se répliquent
pas, et ont pour objectif principal de se faire les
plus discrets possible. Un aspect important de la question,
en particulier pour ce qui va suivre. Forts de cette
invisibilité, ils en profitent pour expédier
vers l'extérieur des données confidentielles,
voire parfois pour se réveiller à l'heure
programmée en vue de massacrer le système.
Jeudi 24 janvier dernier, nous recevons un e-mail d'un
éditeur d'antivirus français plus connu
sous le nom de Tegam
International, faisant mention d'un document "adressé
[...] aux autorités nationales et internationales,
dans un but préventif". Pour continuer de
citer le contenu de ce message, il s'agit de "la
faisabilité des chevaux de Troie de nouvelle
génération, qui peuvent passer totalement
inaperçus. Le document est confidentiel..."
Evidemment, puisqu'il "décrit dans le détail
les techniques de ces formes d'attaques." Et l'éditeur
d'indiquer qu'il a transféré ce rapport
à "plusieurs ministères concernés
en France, ainsi qu'à Interpol." Les grands
comptes doivent en être les prochains bénéficiaires.
Des
chevaux de Troie très, très confidentiels
Nous n'avons pas pu répondre à
l'invitation de nous déplacer
pour
jeter un coup d'oeil sur ledit rapport. Ceci dit, nous
avons pu nous entretenir avec le P-D.G. de Tegam, Marc
Dotan, pour qui "il vaut mieux ne pas en parler
par téléphone. Personne ne doit donner
des détails. Les autres éditeurs s'y intéressent,
mais ne peuvent pas fabriquer un antidote. Il est possible
de prendre des mesures préventives mais c'est
trop tard une fois qu'il a été activé.
C'est la fin du système, à moins de tout
réinstaller et encore. Notre document explique
les mesures face à ce genre d'attaques. Et notre
produit a une solution contre cela."
A la différence de la plupart des antivirus,
Viguard de Tegam possède la particularité
de ne pas avoir besoin d'un fichier de signatures. Sa
force réside dans un moteur d'analyse approfondie
qui observe le comportement du système en temps
réel, et donne la possibilité à
l'utilisateur de réagir si un fichier d'attitude
suspecte a été découvert. Tous
les répertoires du disque dur sont signés,
et tout modification non volontaire d'un fichier est
signalée. Testé par nos soins, l'outil
prévient en effet de l'arrivée de scripts
jugés non sûrs, et propose de les bloquer
sans donner plus d'indications sur le pourquoi du comment.
"Nous n'allons pas livrer nos secrets de fabrication"
rétorque Marc Dotan. Gage de sûreté,
"Viguard est certifié par la DGA" (Direction
générale de l'armement). Il aurait même
permis à ses utilisateurs de se protéger
du virus I Love You avant même que les mises à
jour d'autres antivirus ne soient disponibles.
D'hypothèses en hypothèses...
Ceci dit, ne nous égarons pas...
Quelle peut donc être cette nouvelle génération
de chevaux de Troie dont nous parle
si
généreusement le P-D.G. ? Serait-ce
un genre de Magistr, le sombre ver qui flashe le Bios
et rend inutilisable le PC de façon quasi-matérielle ?
D'après Marc Dotan, celui-ci "est un autre
problème dont il est difficile de se débarrasser
au niveau du parc mondial. Magistr est polymorphe ;
il n'est pas effacé même après avoir
assaini le disque dur ; tous les systèmes qui
ont essayé de s'en débarrasser l'on retrouvé
; et il se rééxécute aléatoirement".
Bref, Magistr est une vraie teigne, mais ce n'est pas
le fameux Trojan.
Celui-ci se situe-t-il dans un logiciel du commerce
? "Ceux qui mettent en place une backdoor (porte
de derrière) ont toujours été découverts"
répond-il. Une vulnérabilité comme
celles de JavaScript, alors ? "Il est possible
d'exploiter une faille, mais que l'on ne peut pas corriger.
Car une ouverture est une faille. Et JavaScript en est
un exemple." Nous ne réussirons pas à
lui soutirer davantage de détails.
"C'est une chose très simple", explique-t-il.
"Si vous faites un cheval de Troie très
spécifique, et que vous l'introduisez sur un
ordinateur avec une disquette dans une entreprise, il
n'est pas possible de le découvrir. Et ceci,
s'il est conçu de la façon spécifique
que nous avons décrit dans le rapport."
L'electronic warfare s'appuie
sur l'information warfare
Malgré
l'absence de données techniques, nous pouvons
déjà tirer quelques enseignements utiles
sur ce cheval de Troie. S'il ne passe pas par Internet,
difficile de l'intercepter au niveau du firewall. S'il
est spécifique et ne ressemble pas à un
de ses confrères, un antivirus classique ne saura
le reconnaître avec sa base de signatures. Qui
plus est, LockDown,
un américain sur le modèle de Tegam, souligne
les capacités de mutation de certains trojans
qui changent de forme, de location ou même de
taille afin de se rendre encore plus invisibles. Un
exemple est même apporté de mimétisme
avec un fichier texte. Pour le repérer de
façon ultime, il faut surveiller s'il tente d'établir
une connexion vers l'extérieur. Car observer
les flux de données envoyées ne suffirait
pas. "Si les données sont transmises en
même temps que d'autres, cela ne se verra pas",
insiste Marc Dotan, pour qui "il faut faire faire
des formations à tout le monde." Ce qu'aucun
expert en sécurité digne de ce nom ne
pourrait contredire par les temps qui courent.
De son côté, le vice-président du
Clusif
(Club de la sécurité des systèmes
d'informations français) et responsable de
sa commission "Menaces" Pascal Lointier, indique
avoir eu entre ses mains le fameux rapport. Selon lui,
"des chevaux de Troie, on peut en concevoir à
façon mais il n'y a rien de nouveau à
cela. Par exemple, il a fallu un mois pour découvrir
le premier back-orifice. Un mois pendant lequel il était
possible aux hackers de s'en servir sans être
repérés. D'autre part, le problème
est le même dans le cas des failles qui n'ont
pas été découvertes et rendues
publiques, les 'zéro-day flaws' que s'échangent
certains hackers."
Trojan ou pas, il livre aussi d'autres éclaircissements
sur des tactiques de pirates voire d'espions industriels:
"un scénario très performant et l'un
des plus courants consiste à banaliser une attaque.
Pour s'emparer de données sur un site sensible,
il faut encourager un maximum d'autres personnes à
l'attaquer. Cela crée un bruit, et dans la confusion
il suffit de lancer sa propre attaque au milieu d'une
pseudo-normalité." Lors de la dernière
conférence du Clusif mardi 15 janvier dernier,
"Panorama de la cyber-criminalité, année 2001",
un autre thème à rattacher aux méthodes
de l'ingénierie sociale se démarquait
des procédés techniques : la fouille des
poubelles, "et l'envoi de faux analystes financiers"
complète Pascal Lointier. Face à cela,
une politique de sécurité globale (physique,
logique et humaine) apparaît adaptée. "Politique
globale, mais aussi dynamique et réactive",
conclut-il.
Le
fin mot de l'histoire:
Catastrophisme,
"hoax" et sécurité ne font pas
bon ménage
|