|
|
Consultant
senior anti-virus Telindus |
|
Joachim
Krause
Une
politique anti-virale est nécessaire pour contrer un virus
comme myDoom
Consultant chez l'intégrateur-conseil en réseaux de communication
et en sécurité du système d'information Telindus,
Joachim Krause fait part des retours de ses clients pendant
la propagation de myDoom. Il détaille par ailleurs
les conséquences indirectes que ce virus a pu avoir
sur eux tout en insistant sur la nécessité
de créer une politique anti-virale dans l'entreprise,
les anti-virus ne pouvant contrecarrer tous les types
de codes malveillants, surtout quand l'ingéniérie
sociale est utilisée.
05
février 2004 |
|
|
|
JDNet
Solutions. Quels ont été les retours du
"terrain" pendant l'épidémie myDoom
?
Joachim Krause.
Ce que j'ai trouvé impressionnant avec myDoom,
ce n'est pas le nombre de postes impactés - car il subsiste
finalement beaucoup d'inconnues sur leur nombre réel
-, mais plutôt la manière dont nos clients
ont été touchés de manière
indirecte (et non directe, car le virus était vraiment
basique, donc facilement identifiable).
Tout d'abord par la surcharge de leur messagerie (myDoom
est en effet un mass mailer plutôt encombrant),
mais aussi par la technique de spoofing utilisée,
qui a généré beaucoup de messages
erronés. Cela a eu des impacts sur l'image de marque des
entreprises - accusées d'envoyer des virus à d'autres
entreprises - et a généré une forte
inquiétude de la part des utilisateurs, qui se posaient
des questions sur la santé de leur système. De
très nombreux appels ont donc convergé vers
notre hot line, provoquant une sorte de deni de
service de notre support technique !
Un autre aspect des choses est que le virus générait
aléatoirement des adresses de courrier électronique
et quand celles-ci n'existaient pas, les mails de retour
pour non délivrance du message ont engorgé,
eux aussi, les serveurs de messagerie.
Comment
un virus aussi basique peut-il générer autant
de perturbations ?
Malgré la qualité des produits disponibles
sur le marché, il faut bien avouer qu'un anti-virus ne
suffit pas aujourd'hui pour contrer un virus comme myDoom,
ce qui est paradoxal d'ailleurs. En fait, les entreprises
qui avaient une politique anti-virale s'en sont mieux
sorties que les autres.
Elles ont tout d'abord pu réagir sur le front de
la communication, ayant préalablement défini des
processus de communication à destination de leurs
partenaires, de leurs clients et de leur personnel. Le
message était : "Le virus sévit
actuellement, il n'est pas rentré chez nous mais
il est dangereux. Il peut utiliser nos adresses de courriers
électroniques à notre insu, soyez donc vigilants".
Côté utilisateurs, il fallait aussi les prévenir
des retards que le serveur de messagerie allait immanquablement
subir.
Pour minorer cet engorgement du serveur par les messages
de non remise des courriers, la politique anti-virale
de ces entreprises prévoyait des moyens de lutte simples
comme les règles de filtrage. On filtre habituellement
des fichiers et des extensions. Ici, il pouvait aussi
être décidé d'envoyer systématiquement
les messages de non remise à la poubelle. Il fallait
pour cela avoir en interne une personne habituée
à faire de la veille virale, afin qu'elle puisse
alerter les responsables de la messagerie rapidement.
Quels
conseils donnez-vous aux entreprises ?
Pour les PME, je reprendrais certains poncifs,
qu'il faut répéter malgré leur simplicité
: de la rigueur, des mises à jour régulières,
des abonnements à des services de veille et des
procédures pour couper ou isoler temporairement
la messagerie.
Pour les grands comptes, une politique anti-virale - qui
vient compléter la politique sécurité de l'entreprise
- est nécessaire. Cela signifie que des procédures
et des moyens techniques prêts à l'emploi
doivent avoir été réfléchis
bien avant qu'une alerte ne surgisse, de sorte qu'on n'ait
plus qu'à appuyer sur un bouton le moment venu.
La décision doit pouvoir se prendre en quelques dizaines
de minutes : couper le serveur de messagerie, mettre en
place un filtrage... Mais le "qui fait quoi, avec
l'autorisation de qui" doit être parfaitement
huilé.
Auriez-vous un exemple concret
?
Chez un de nos clients, un grand
compte du secteur bancaire, on utilise beaucoup les extensions
".exe". Au fil des attaques ces dernières
années, certaines extensions ont été
supprimées, comme les ".bat" ou les".scr",
mais les ".exe" sont restés. Or, myDoom
utilisait des ".exe". L'important dans ce cas
précis est de recenser avec précision les
règles en vigueur et, en connaissance de cause,
de prendre les décisions (en mesurant les risques).
En cas de crise, une cellule doit pouvoir se réunir
immédiatement, entre des personnes pouvant apprécier techniquement
les données et des personnes aptes à prendre les
décisions.
Microsoft a de ce point de vue parfaitement réagi
à la menace de déni de service qui pesait
sur son site Web. Des procédures préétablies
de changement de l'adresse IP (côté DNS) ont permis au
site microsoft.com de s'en prémunir. SCO, en revanche,
n'est visiblement pas préparé à ce
genre de procédures, le changement de nom du site
en témoigne.
|
|
Propos recueillis
par Fabrice Deblock |
|
PARCOURS
|
|
|
|
Titulaire
d'un DEA de micro-électronique et de micro-informatique,
option architecture, à Paris VI, Joachim Krause est, de
1988 à 1994, développeur puis responsable du SAV chez
un constructeur de systèmes informatiques. De 1994 à 1997,
il est responsable technique chez Winners, intégrateur
de solutions de sécurité et de 1997 à 2000, il travaille
chez différents éditeurs antivirus comme directeur technique
ou responsable d'un centre de compétence. Depuis 2000,
il est consultant sécurité senior chez CF6 puis Telindus
|
|
|
|