|
|
Sécurité |
Le
pire est à envisager si un ver de type Sapphire
devient destructeur |
Apporter une réponse locale, sensibiliser les particuliers et anticiper les menaces de demain : tel est le triple credo de l'AVERT, la cellule antivirus de Network Associates. (Jeudi 3 avril 2003) |
|
Apporter une réponse
locale, c'est-à-dire tenant compte de la langue
du pays concerné et de ses particularités
constitue une des premières priorités de
Vincent Gullotto, vice-président de la recherche et fondateur
de l'AntiVirus Emergency Response Team (AVERT), la cellule
antivirus de Network Associates.
Sensibiliser les particuliers aux dangers des virus ou
intrusions, collaborer plus qu'étroitement avec
les éditeurs de logiciels - Microsoft en tête
- et anticiper les menaces de demain font également
partie des objectifs qu'il a fixés à ses
équipes dans le monde entier.
Aider
localement, surtout pour les particuliers
"Si vous êtes
infecté par un virus, rien de sert d'avoir à
l'autre bout du support client un interlocuteur qui ne
parle pas votre langue. Vous devez obtenir une réponse
à la fois rapide et personnalisée"
déclare Vincent Gullotto. D'autant que l'augmentation
du nombre de connectés à haut débit
multiplie les occasions de confrontation avec un virus,
un cheval de Troie, un piratage, une intrusion...
Le
fondateur de la cellule AVERT insiste donc sur la nécessité
de se protéger à tous les niveaux : messagerie
classique ou instantanée, téléchargements,
disques partagés en synchronisation avec un agenda,
etc... Ce qui implique de s'équiper - au strict
minimum - d'un antivirus et d'un pare-feu. "Un jour
ou l'autre, vous serez hacké !" prévient
Vincent Gullotto.
Collaborer
avec les éditeurs, Microsoft en tête
"Quand il
s'agit de vers de type Slammer (NDLR : alias "Sapphire"),
l'éditeur, Microsoft en l'occurence, est hors de
cause car le patch est disponible depuis longtemps. Mais
quand le même Microsoft s'apprête à
sortir la nouvelle version d'Office 2003 - également
appelée Office 11 - qui utilise XML et peut, de
ce fait, véhiculer
du code malicieux très aisément, nous
nous devons de l'avertir des dangers potentiels et de
travailler avec ses équipes pour corriger le tir"
précise Vincent Gullotto.
Pour cela, réunions
de travail communes ou personnalisées et batteries
de tests sont de rigueur. Cela est d'autant plus vrai
que la crainte de voir se répandre un ver de type
Slammer / Sapphire qui serait accompagné d'un module
destructif est présente dans tous les esprits.
Sapphire "agressif" et virus à point
d'entrée obscur : bêtes noires du futur
Si Sapphire a pu se répandre en quelques minutes
sur des milliers de serveurs - sans les endommager autrement
qu'en les saturant - le pire reste en effet à venir
si le code malicieux devient "agressif" et destructeur.
C'est donc une préoccupation de tous les instants
pour les éditeurs d'anti-virus et leurs laboratoires
de recherche.
Autre menace de taille, selon
François Paget - chercheur chez Network Associates
- les virus à point d'entrée obscur : "98
% des virus ont un mode d'infection que nous pouvons détecter
facilement. Ils s'attaquent par exemple aux exécutables
de manière simpliste, souvent au même endroit,
en début ou en fin de fichier, ce qui nous permet
de les stopper aisément. Mais certains virus sont
polymorphes et utilisent des techniques de cryptage, ce
qui nous oblige à scanner l'intégralité
du fichier" explique le chercheur.
Dès lors, scanner un "word.exe" par exemple
qui fait 2 Mo prend 10 secondes au lieu d'une demi seconde
dans les cas classiques. Outre cet allongement du temps
de détection, ces virus sont d'autant plus difficiles
à localiser que leur polymorphie et leur cryptage
sont sophistiqués. Encore de belles années
à venir pour les éditeurs d'antivirus !
|
|
|