 |
|
| |
 |
Thomas Gayet
Responsable veille sécurité
Lexsi |
|
Thomas Gayet
"Pour réagir à l'incident, les entreprises créent des cellules de crise"
Face à une sophistication des attaques, les chantiers sont multiples pour sécuriser un périmètre de plus en plus extensible. Nouveaux usages et engouement pour les applications Web engendrent de nouveaux défis.
16/10/2006 |
| |
|
|
JDN
Solutions. Qu'elle est l'évolution la plus significative dans la nature des menaces ?
Thomas Gayet. Une certitude aujourd'hui, une évolution majeure constatée durant ces trois dernières années, c'est le passage dans le monde de la cybercriminalité. Aujourd'hui on a affaire à des groupes de pirates structurés à échelle internationale, qui se radicalisent et dont les modes de fonctionnement se complexifient.
On le voit notamment dans la conception des codes malveillants. On parle d'ailleurs souvent à tort de virus, mais aujourd'hui le terme de "malwares" ou programmes malveillants est plus représentatif de la diversité des codes malveillants.
Ces programmes malveillants, comme les bots ou Chevaux de Troie, ont des objectifs multiples, mais toujours tournés vers le profit, à savoir collecter de l'information (données bancaires, personnelles, adresses de courriels, etc.), faire de l'intelligence économique ou mener des attaques en déni de service distribué.
Avec un gain à la clef, les attaquants peuvent désormais se permettre, en quelque sorte, d'investir du temps dans de la recherche et le développement. Qui plus est, il y a un phénomène de spécialisation des métiers au sein des cybercriminels. Vous avez par exemple des gens qui vont développer les codes, d'autres qui infecteront les ordinateurs, d'autres encore qui récupéreront l'argent en bout de chaine ou vendront sur des forums de pirates, des adresses électroniques collectées.
La recherche de gains affecte-t-elle également les programmes malicieux ?
Tout à fait et cela se vérifie à la hausse du volume de codes qui sont créés chaque mois. On en dénombre de plus en plus de variantes. Et ce phénomène est directement lié aux intérêts des cybercriminels, pour assurer la propagation du phishing, du vol de données et autres menaces qui désormais font très souvent appel à des programmes malveillants.
Vous pouvez d'ailleurs acheter sur Internet des kits de création de programmes malveillants pour créer votre cheval de Troie personalisé, afin de mettre au point des Troyen bancaires par exemple, du vol de données confidentielles, et bien d'autres formes d'attaques encore.
Quels autres changements connaissent les codes malveillants ?
|
|
 Une autre tendance est l'utilisation plus fréquente de vulnérabilités de type O-day" |
|
Les techniques de dissimulation, ou rootkits, autrefois réservées à des attaques unitaires et historiquement issues du monde Unix, sont de plus en plus intégrées par défaut dans des programmes malveillants pour les systèmes Microsoft Windows.
Une autre tendance clairement relevée est l'utilisation croissante de techniques de chiffrement pour se dérober à l'analyse. L'objectif est ainsi d'échapper le plus longtemps possible à la détection par les solutions antivirus.
Quel est désormais le profil de l'attaquant ?
On est de plus en plus confronté à des mercenaires, des gens payés pour faire un travail et surtout arriver à leurs fins. Nous avons affaire à de pirates attaquant des entreprises et les particuliers par ingénierie sociale, qui font de l'usurpation et de l'espionnage. Dans cette logique de cybercriminalité, des actions telles que la contrefaçon et le racket se sont développées.
Quelles autres tendances dans les modes d'attaque sont les plus significatives ?
Plus un indicateur qu'une tendance, le temps écoulé relativement court entre l'apparition d'une vulnérabilité et son exploitation ou son intégration dans un programme malicieux. Nous sommes passés de quelques jours à parfois seulement quelques heures.
Par ailleurs, une autre tendance est l'utilisation plus fréquente de vulnérabilités de type O-day, c'est-à-dire inconnues par l'éditeur du produit concerné avant qu'elles soient utilisées pour propager des malwares. Dans le même ordre d'idée, une vulnérabilité 0-day peut se vendre aujourd'hui sur Internet.
Pour les attaques de phishing, elles sont souvent accompagnées d'autres attaques, cette fois sur les serveurs DNS. Les pirates vont par exemple s'en prendre à des serveurs d'entreprise, voire de fournisseurs d'accès afin de détourner ou faire de l'interception de trafic.
Une tendance qui se confirme, c'est l'utilisation des vulnérabilités applicatives. Ces dernières prennent une part plus importante dans les intrusions que l'on peut constater sur le terrain.
Quant au social engineering, c'est une constante. On va le retrouver appliqué à presque l'ensemble des nouvelles technologies. Cela reste la manière la plus simple de parvenir à ses fins.
Les pirates colonisent-ils aussi les technologies plus récentes comme la
VoIP ?
|
|
Il faut désormais tenir compte des périphériques et des utilisateurs nomades" |
|
Tout à fait. La banalisation de l'usage des technologies de téléphonie sur IP va s'accompagner du développement de nouveaux risques et menaces auxquels les entreprises ne sont pas familiarisées.
La VoIP expose en effet à des risques de déni de service, d'écoute, d'interception ou d'utilisation frauduleuse. Différents types de scénarios peuvent se produire. Et on commence d'ores et déjà à les voir de manière concrète.
Les interceptions d'appels par exemple sont beaucoup plus simples. Dans la plupart des cas, le réseau de VoIP est le même que le réseau de données, ce qui ouvre la possibilité de mettre un outil en place pour intercepter des communications.
C'est nettement moins complexe que d'aller poser un micro sur un téléphone.
Il s'agit donc surtout de mener une importante réflexion afin de sécuriser dès le départ l'architecture des solutions de VoIP.
Les virus sur mobiles sont-ils eux aussi amenés à faire parler d'eux à l'avenir ?
Le développement des codes malveillants sur objets nomades de type mobile est effectivement une problématique qui va s'amplifier. Il n'y a toutefois pas pour l'heure de concrétisation massive de la menace.
Mais avec les fonctionnalités de plus en plus nombreuses offertes par les équipements mobiles, on peut soupçonner que ce mouvement va être amené à se concrétiser.
Les périmètres des entreprises sont en effet de plus en plus à géométrie variable. Des parties du système d'information, tels que les portables, les mobiles, ou encore les clefs USB, partent à l'extérieur du réseau et sont donc confrontées directement aux menaces, car habituellement protégées par les sécurités du système d'information de l'entreprise.
En termes de protection des postes de travail, il faut désormais tenir compte des périphériques et des utilisateurs nomades. Ce sera un défi à relever dans les années, notamment avec les solutions de contrôle d'accès au réseau local et de mise en conformité des postes de travail avant leurs accès sur le réseau de l'entreprise.
Nouveaux usages Internet riment avec nouvelles menaces ? L'engouement pour le Web 2.0 ouvre-t-il des brèches ?
|
|
Dans les grands projets, il y a la gestion des accès, des identités, des vulnérabilités et la mise en conformité légale" |
|
Le navigateur devient un outil de travail et plus seulement un support à la navigation sur Internet. De part la généralisation des usages du client Web en tant qu'outil de production, pour des applications déportées sur des serveurs Web, tel que le traitement de texte ou la messagerie, le risque est plus élevé en cas de failles dans ces applications.
Avec l'usage des flux XML et RSS traités dans les navigateurs, déjà dans Firefox et bientôt dans Internet Explorer, on risque de voir ces systèmes subir des attaques et des recherches de vulnérabilités sur le plan applicatif. Sur les flux RSS, c'est quelque chose qui a commencé fin 2006 et qui va s'amplifier surtout en 2007.
Pour les entreprises qui mettent en place des Web services, il va falloir penser, dès la phase de conception, à adopter des démarches sécurisées et à procéder à des audits. De plus en plus de clients nous adressent des demandes à ce niveau.
Quels sont les chantiers à entreprendre pour renforcer la sécurité ?
Dans les grands projets, il y a la gestion des accès, des identités, des vulnérabilités et la mise en conformité légale. Le filtrage des flux ne peut plus se limiter aux couches basses, mais doit au contraire monter jusqu'à la couche applicative.
La protection des postes de travail passe par le contrôle d'accès, leur mise en conformité, notamment par l'application des correctifs, mais aussi par la bonne organisation de la sécurité. Les entreprises sont plus nombreuses, lorsque ce n'est pas encore fait, à organiser la sécurité au travers une définition de plan de sécurité, de PSSI ou de chartes utilisateurs. Et pour réagir face à l'incident, elles créent ou définissent des cellules de crise.
Il y a également tout un volet à consacrer à l'archivage des informations. En raison des exigences légales, loi de sécurité financière, Sarbanes-Oxley, les entreprises sont tenues de respecter une logique de sauvegarde, d'archivage et de tracabilité de plus en plus conséquente. Se sont autant d'obligations avec lesquelles elles vont devoir se mettre en conformité.
Les utilisateurs ne sont-ils pas oubliés ?
Non et ces derniers ont véritablement pris conscience des risques et du fait qu'ils étaient à présent les plus exposés en raison des méthodes de social engineering utilisées par les attaquants. Ils ont intégré le fait que la sécurité était l'affaire de tous et non pas uniquement des équipes techniques.
Les utilisateurs font partie intégrante du dispositif de sécurité de l'entreprise. Il est primordial que les entreprises continuent de sensibiliser leurs utilisateurs afin de les faire participer au maintien du niveau de sécurité de l'entreprise.
|
| |
Propos recueillis par Christophe AUFFRAY, JDN Solutions |
|
|
PARCOURS
|
|
|
| |
Thomas Gayet est responsable du service de veille technologique au sein de LEXSI (Laboratoire d'EXpertise en Sécurité Informatique), cabinet indépendant d'audit et de conseil en sécurité informatique. Il intervient également en qualité de consultant sécurité.
|
|
|
|
|
|
|
