|
|
Expert
en sécurité INTRINsec
(Neurones) |
|
Christophe
Tommasini
Les
anti-virus ont bien joué leur rôle contre myDoom
Filiale du groupe Neurones, INTRINsec
est spécialisée dans la sécurité des systèmes d'information.
Christophe Tommasini revient sur la diffusion du virus
myDoom et donne quelques conseils aux entreprises, insistant
notamment sur l'indispensable formation qu'il faut dispenser
aux utilisateurs. Il aborde également les détails
techniques relatifs à une architecture pouvant
résister à certaines attaques en déni
de service, globalement difficiles à contrer.
05
février 2004 |
|
|
|
JDNet
Solutions. Pendant la diffusion du virus myDoom, comment
ont réagi vos clients ?
Christophe Tommasini.
D'une manière générale, on a constaté lors de cette
épidémie que les anti-virus ont bien fait
leur travail. Les bases anti-virales ont été
mises à jour rapidement. Nos clients ont reçu
beaucoup d'alertes de la part de leur anti-virus et certains
nous ont appelés pour nous poser des questions
sur ce nouveau code malveillant. De notre côté,
nous étions au courant par des alertes et par les
messages échangés sur les listes de discussion
traditionnelles.
Certains
pensent que ce virus n'est finalement pas si dangereux
que cela...
Tout dépend de quel point de vue
on se place. Chez nos clients, ce virus a coûté en bande
passante, en productivité et en hot line, les dégâts
n'ont pas été véritablement importants. Les anti-virus
ont été réactifs et les systèmes de mises
à jour rapides. De plus, les anti-virus de passerelle
ont parfaitement joué leur rôle, qui est
de supprimer le virus avant qu'il n'arrive sur le poste
de travail. Certes, les serveurs de messagerie ont été
poussés à leurs limites, ils ont travaillé plus que d'habitude
mais s'ils sont bien dimensionnés, ils doivent normalement
pouvoir encaisser ce genre de charge.
Chez les particuliers, en revanche, c'est plus ennuyeux,
car ils n'ont pas forcément d'anti-virus, ni de pare-feu
contre la porte dérobée (backdoor)
et n'ont pas conscience qu'il ne faut pas ouvrir les mails
suspects...
C'est toujours la même chose, c'est une question de niveau
d'information. Les utilisateurs professionnels sont de
plus en plus éduqués, mais il y reste de fortes disparités
dans les niveaux d'information. Les ruses de base ne passent
plus mais quand c'est particulièrement bien pensé - comme
c'est le cas avec myDoom qui utilise l'ingénierie
sociale à plein -, les gens se font prendre au
piège.
Quels
conseils donneriez-vous aux entreprises ?
Il faut parler, faire des démonstrations
ou faire lire l'abondante documentation disponible sur
Internet au sujet de la sécurité, afin que
les utilisateurs finaux soient toujours mieux avertis.
Mais on constate qu'il n'y a pas forcément l'envie, le
temps ou l'argent pour cela. Ce sont plutôt les grands
groupes qui prennent les mesures adéquates et font
appel à des formations externes. Pour les PME, la question
du budget se pose souvent. Même si cela doit se
faire autour de la machine à café, il faut pourtant
sensibiliser les gens...
Que
peut-on craindre pour le futur ?
J'ai le sentiment qu'on a affaire ici à
des gens revendicateurs, ou qui veulent se faire passer
pour tels. Ce qui pourrait être plus grave, c'est bien
évidemment que ces gens là soient animés
d'une volonté de faire des dégats. Avec
myDoom, un seul site a été atteint, celui
de SCO, qui est d'ailleurs toujours inaccessible à
ce jour.
Le site de Microsoft, visé par la version B, n'a
pas été gravement atteint. Il faut dire
que Microsoft utilise les services d'hébergement
de la société Akamaï, très gros
hébergeur disposant d'une bande passante très
importante. De plus, ils utilisent des techniques de reverse
proxy, de sites miroirs, de fail over et de
load balancing. Le reverse proxy permet
d'éviter que le site ne soit touché directement,
le load balancing répartit la charge et
si l'un des serveurs tombe, le fail over reporte
la charge sur les autres.
Ce genre d'architecture est-elle
accessible aux PME ?
Il nous est arrivé de monter ce type d'architecture
chez des clients bien plus modestes que Microsoft. Au
lieu d'en avoir quarante, deux reverse proxy peuvent suffire
dans un premier temps. Pour une entreprise qui souhaite
avoir son site ou un applicatif sur le Web, il est à
mon sens important de disposer d'au moins deux reverse
proxy, notamment pour pouvoir faire de la réécriture
d'URL.
Aujourd'hui, suite à
myDoom, des milliers de portes dérobées
sont ouvertes, qu'est-ce que cela signifie ?
Il est bien entendu très
difficile de recenser le nombre de portes dérobées
ouvertes par le virus mais on peut imaginer que des scans
de ports massifs sur le port TCP ouvert par le virus vont
avoir lieu dans les semaines prochaines.
A partir du moment où
les pirates auront identifié plusieurs de ces machines,
il sera possible de faire télécharger à
ces dernières un programme donné et, par
la suite, de lancer d'autres attaques en déni de
service distribué. On peut aussi imaginer qu'un
nouveau virus soit créé pour faire le tour
de ces machines infectées... Mais globalement,
l'attaque en déni de service est plutôt difficile
à contrer si elle est faite à grande échelle.
|
|
Propos recueillis
par Fabrice Deblock |
|
PARCOURS
|
|
|
|
Ingénieur, diplômé de l'Ecole Centrale
d'Electronique, Christophe Tommasini a travaillé
un an aux Etats-Unis dans le secteur de la sécurité
réseau et applicative, en environnement Web, pour
le compte d'une SSII francaise, avant de rentrer chez
INTRINsec en 2001. Expert sécurité au sein
de la cellule "solutions de défense", il conseille
ses clients et met en place des architectures d'interconnexion
hautement sécurisées (pare-feu, passerelles
VPN, proxy, reverse-proxy, PKI, relais de messagerie et
antivirus de passerelle). |
|
|
|