Mettre un terme à la profusion des appellations de noms de virus. Tel est l'objectif de la Common Malware Enumeration, procédure d'uniformisation des noms de virus.
Née en octobre 2005, cette tentative de normalisation a été initiée par deux organismes américains à but non lucratif (US-CERT et Mitre), chargés notamment de mettre en place des plans d'action dans le domaine de la sécurité et des technologies de l'information.
D'autres
actions de normalisation ont par ailleurs précédé
la CME, au premier rang duquel, la CVE (Common vulnerabilities
and Exposures) -apparue dès 1999-, et proposant une
uniformisation des vulnérabilités, ensuite complétée
par CVSS (Common Vulnerability Scoring System) -en février
2005-, (lire l'article
du 22/02/2005), ayant elle pour objectif d'uniformiser le
niveau de leur dangerosité déclarée.
Avoir une connaissance immédiate du type d'attaque et proposer une mesure de défense adaptée préoccupera davantage les entreprises que les particuliers, plus fréquemment confrontées à des attaques récurrentes au travers des canaux de diffusion de plus en plus variés (messagerie instantanée, téléphones mobiles...).
"La dénomination CME procure une meilleure réactivité de la part des équipes d'exploitation qui ne sont plus confrontées à d'éventuelles erreurs d'interprétation des noms de virus" lance Philippe Bourgeois, expert sécurité au Cert-IST, centre d'alerte et de réaction aux attaques informatiques destiné aux entreprises françaises.
"Nous privilégions l'information des utilisateurs plutôt que la conformité avec la CME" - Stéphane Pacalet - BitDefender |
Aujourd'hui, si la grande majorité des éditeurs de solutions anti-virus a adhéré au projet d'uniformisation des noms de virus, d'autres, comme Editions-Profil -éditeur de la solution BitDefender- ont tardé à s'adapter. Deux raisons sont avancées, comme la relative lenteur du parcours de normalisation du virus avec l'organisme de normalisation CME, ainsi que des contraintes budgétaires.
"La soumission des menaces auprès de l'organisme CME et l'obtention d'un identifiant idoine implique un processus à la fois long et complexe ; nous préférons que les utilisateurs soient au courant des
menaces et des antidotes sans nécessairement avoir obtenu une
dénomination CME", fait savoir Stéphane Pacalet, Directeur Commercial d'Editions Profil, éditeur de
l'anti-virus BitDefender
qui adoptera cependant la normalisation CME au début de l'année 2006.
Et le directeur de poursuivre : "notre attentisme par rapport à l'adoption de la normalisation CME provient
également d'un impact loin d'être négligeable en termes de coûts de
formation supplémentaires des équipes de nos laboratoires".
François Paget, secrétaire général du CLUSIF (Club de la Sécurité des
Systèmes d'Information Français), met aussi en garde les éditeurs du risque qu'engendrerait la non uniformisation des noms de virus : "si certains éditeurs ne peuvent pas ou ne veulent pas utiliser la norme CME, ils doivent cependant faire preuve de plus de cohérence en éditant des TOP-10 mensuels se
limitant aux familles virales, sans référence à un rang de variante qui a
pour unique effet d'embrouiller les entreprises et le grand public".
Avant de poursuivre : "le nom qu'attribue un éditeur à un virus peut être parfois considéré comme
une action marketing ; la norme CME n'implique pas qu'un virus soit
référencé puis annoncé en même temps par tous les éditeurs. Être le premier
à faire son annonce est un jeu qu'affectionne les éditeurs".
L'adoption de la normalisation CME ne constitue pas une obligation |
Les virus bénéficiant d'une dénomination CME sont cependant peu nombreux -une trentaine à ce jour sur les 3 000 menaces en moyenne recensées par mois.
Pour autant, toutes les menaces n'ont pas pour vocation à être l'objet d'une uniformisation CME. D'une part, certaines peuvent n'être que virtuelles dans la mesure où elles sont découvertes en laboratoire, et que seules celles présentant les risques les plus élevés sont prises en considération.
Par ailleurs, l'adoption de la normalisation CME ne constitue en rien une obligation pour les éditeurs dans la mesure où "l'effort réalisé par les éditeurs de solutions est basé sur le volontariat, sachant que l'organisme CME les invitent à communiquer sur l'identifiant unique autant que possible", remarque David Kopp, directeur de la recherche et du développement chez Trend Micro.
Et le directeur de préciser : "les éditeurs vont
continuer à nommer les menaces comme ils le font actuellement,
d'autant qu'un identifiant CME fait référence à une menace dans
son ensemble sans toutefois considérer sa nature comme
un downloader, exploit, ver, cheval de Troie ou
backdoor".
Cependant : "la dénomination CME est loin d'être arrivée à maturité et nous pensons qu'elle est actuellement en phase de montée en puissance, alors que tous les virus sont loin d'être référencés sous une dénomination CME", analyse Philippe Bourgeois.
"Si la norme CME était attendue depuis 10 ans, un temps d'adaptation sera
nécessaire pour que son utilisation se démocratise à l'image de ce qui a été
fait pour les vulnérabilités et la normalisation CVE", conclut François Paget.
|