JDNet
Solutions: Selon vous, quelle est la plus grande menace aujourd'hui en
terme de virus et autres codes malicieux ?
Vincent Gullotto:
Je pense que le plus grand risque vient encore et toujours des virus de
type mass
mailing. Ce sont d'abord des menaces pour les utilisateurs finaux
puis les PMEs, et enfin pour les utilisateurs des grandes entreprises
qui sont déjà très protégées. La nouvelle
menace correspond à la prochaine génération de mass
mailers qui utilisent Internet, se mettent en veilleuse et continuent
de se propager. Et nous en sommes seulement au tout début de ces
attaques.
Que
pensez-vous des virus polymorphes et chiffrés ? Ne sont-ils pas
l'un des plus grands risques ?
V.G: Ils ne sont problématiques que dans la mesure où
ils demandent plus de temps pour développer un vaccin. Mais ces
menaces ne sont pas très nombreuses, car elles réclament
à leurs programmeurs du temps pour les développer, ainsi
que des habiletés particulières liées à un
savoir assez pointu. Je dirais qu'une majorité de ces auteurs de
codes malicieux ont un passé de programmation classique et sont
capables de mettre les mains dans du code macro ou d'élaborer facilement
de nouvelles variantes. Mais seul un tout petit pourcentage d'entre eux
a les capacités de rapprocher des moteurs molymorphiques et de
chiffrement.
|
François
Paget
Expert en sécurité "virus
et antivirus"
|
François Paget: Je dirais aussi
que ce n'est pas une nouvelle menace en tant que telle. Dans toutes les
familles de virus, nous avons vu des codes polymorphes chiffrés.
Et le moteur polymorphe est parfois plus costaud que tout le reste. J'ai
vu des virus où sur 50 Ko, il y avait 48 Ko de polymorphisme.
Bien sûr cela nous donne du travail, mais ce n'est pas cela qui
nous inquiète le plus. J'ai surtout l'impression que certains programmeurs
de virus créent une montagne de code polymorphique, et ne voient
pas une petite faille à côté que nous pouvons exploiter
en 5 minutes pour le mettre hors-circuit. Pour tout vous dire, j'aurais
dit en 1999 que c'était le problème numéro un. Aujourd'hui,
cela occupe encore presque 100 % de mon temps car c'est ma spécialité,
mais ce n'est plus vraiment l'une des principales menaces.
Les
codes malicieux qui mêlent vers, virus et chevaux de Troie sont-ils
en nette augmentation ?
V.G: Au cours des deux dernières années, les menaces
sont devenues multidimensionnelles. De fait, les chercheurs de vers et
de virus ont rencontré des codes qui se déplacent à
travers le réseau et sont en même temps capables de voler
des données. Il y a deux ans, nous avons intercepté un virus
appelé Caligula, qui infectait la machine sous forme de macro Word
et s'avérait capable de chercher les clefs PGP stockées
dans les fichiers .PGP et .ASC. Une fois trouvées, il pouvait les
renvoyer par e-mail. C'était un risque important mais les auteurs
du virus avaient oublié la question du mot de passe. Et comme ils
n'étaient pas capables de récupérer la clef publique,
leur tentative n'a servi à rien.
Code
Red et SirCam étaient-ils liés en quelque sorte d'un point
de vue tactique ? Existe-t-il des virus qui coopèrent aussi sur
la partie technique ?
V.G: Non je ne crois pas que Code Red et SirCam aient été
liés, et je pense qu'il s'agit simplement de coïncidence.
Maintenant, il existe 10 ou 12 de ces couples de virus dont
vous parlez, mais aucun n'a connu une telle prolifération comme
Code Red. En revanche, il existe une coopération entre les programmeurs
de virus, et nous pouvons le dire d'après des informations que
nous retrouvons à l'intérieur de codes sources. Dans la
plupart des cas, si une telle collaboration existe, nous en sommes avisés.
Et il ne faut pas oublier que les programmeurs de virus se connaissent
généralement. Dans le code de W95/Champaign, par exemple,
le programmeur saluait au passage les membres d'un groupe espagnol assez
actif, et il y avait une chance non négligeable qu'ils lui ait
apporté leur aide.
Pourquoi
ce groupe espagnol n'a-t-il pas été arrêté
?
Et pourquoi n'arrête-t-on pas plus souvent les auteurs de ces codes
malicieux ?
V.G: D'une part, il n'est pas toujours facile de les trouver. Et
d'autre part, dans beaucoup de pays comme les Etats-Unis, ce n'est pas
illégal d'écrire un virus. C'est le premier amendement à
la constitution américaine au sujet de la libre expression qui
veut cela.
F.P: En France, il n'est pas non plus interdit d'écrire
un virus, mais toutes les lois existent pour punir leurs auteurs. Ce ne
sont pas des lois qui ont été élaborées en
particulier à leur encontre mais qui peuvent être utilisées
dans ce cadre. Mais ce qui manque surtout, ce sont les plaintes des entreprises.
V.G: Oui, et je voudrais rajouter qu'établir la preuve est
rarement facile. Il faut donc trouver d'autres moyens pour empêcher
ces programmeurs de nuire. L'auteur de Melissa a pu être inculpé
pour détournement de l'usage du système téléphonique,
car il a pu être prouvé que ceci avait été
fait dans un objectif de destruction. Et quand quelqu'un envoit un mail
bomb (courrier explosif), ce qui permet des poursuites aux Etats-Unis
est l'usage détourné du système postal.
Quel
est le profil moyen (âge, motivations...) des auteurs de virus ?
Ceux qui travaillent pour le compte de sociétés ou de gouvernements
sont-ils plus nombreux qu'on ne le pense ?
V.G: Je pense que la grande majorité de ces programmeurs
ont entre 16 et 35 ans, mais la plupart d'entre eux se situent
plutôt entre 18 et 25 ans. Ce sont souvent des jeunes
qui ont de réelles capacités sociales. Maintenant, je crois
qu'il existe effectivement des hackers et des auteurs de virus qui travaillent
pour le compte d'organisations. Mais ils sont peut-être moins nombreux
que ceux qui sont en colère contre le gouvernement, contre leur
employeur qui les a renvoyé, ou dont ils estiment qu'ils sont sous-payés.
Ceci dit, je crois que ceux qui attaquent une société particulière
emploient plutôt de vraies méthodes de hacking spécifiques
au système cible.
Le
fait de connaître à l'avance l'existence des "concours
de virus" vous permet-il de mieux identifier les menaces ?
V.G: Nous ne savons pas toujours quand ces concours ont lieu. Et
souvent, ce ne sont pas eux qui créent les plus grandes menaces,
car le pire est souvent élaboré en privé. Si les
programmeurs annoncent seulement à l'avance la tenue prochaine
d'un concours, cela ne reste pas clair. Mais si nous connaissons l'historique
des personnes qui y participent, que nous disposons d'exemples de leurs
codes sources et que nous savons quel est le thème du concours,
alors nous pouvons éventuellement travailler dessus proactivement.
Comment
travaillez-vous avec les forces de l'ordre ?
V.G: Aux Etats-Unis, nous discutons avec les pouvoirs publics sous
une forme protocolaire au sujet de nombreux vers et virus différents.
S'ils le demandent, nous leur envoyons des éléments, et
nous faisons remonter beaucoup d'informations au FBI. De leur côté,
ils nous disent ce qu'ils ont trouvé et nous en envoient des parties
si nous le demandons. Il existe une équipe spécialisée
au sein du gouvernement.
F.P: En France, nous avons des relations moins formelles. Lorsque
le ministère de l'intérieur ou la gendarmerie ont des questions
à poser, nous échangeons des coups de téléphone
ou des e-mails sécurisés chiffrés à l'aide
de PGP (l'algorithme dont les droits sont détenus par Network Associates,
ndlr). Cela arrive en particulier quand une entreprise dépose une
plainte. Je n'échange jamais de virus avec l'administration, mais
parfois des informations.
Existe-t-il
des synergies entre les éditeurs d'antivirus ? Refusez-vous parfois
aussi de travailler avec certains que vous ne jugeriez pas assez sérieux
?
V.G: Nous échangeons des informations de recherche et sur
les quantités de virus observés avec d'autres responsables
antivirus. Mais évidemment, nous n'échangeons pas nos technologies
qui sont spécifiques d'un produit d'éditeur à un
autre. Par exemple, cela peut-être "j'ai trouvé un octet
chiffré et il se trouve à tel endroit dans le virus."
Maintenant, il y en a qui font le choix de ne pas participer à
ces échanges, et d'autres avec qui nous ne participons pas. Il
existe à l'heure actuelle plus de 1 000 produits antivirus
et seulement une dizaine d'éditeurs reconnus autour de 35 produits.
Concernant ces derniers, je crois qu'ils sont tous sérieux. Mais
j'ajouterais aussi que certains ne sont pas aussi sûrs lorsque l'on
parle de la qualité de leurs produits.
F.P: En France, nous collaborons avec Marc Blanchard de Trend Micro,
mais nous ne pouvons pas dire que nous travaillons avec Trend Micro. Les
relations sont établies entre chercheurs et sont basées
sur la confiance. Nous n'échangeons pas avec des personnes tant
qu'elles ne sont pas respectées et dignes de confiance.
Les
menaces touchant les utilisateurs mobiles sont-elles crédibles
?
V.G: Heureusement, il n'y en a pas beaucoup. C'est pourquoi nous
ne les voyons pas comme actuelles mais comme potentielles. Nous croyons
qu'il peut en exister de différentes formes, pour les téléphones
mobiles d'un côté, et pour les assistants personnels de l'autre.
En même temps, ces menaces ne seraient pas capables de s'étendre
d'un type de terminal à un autre. Sur les assistants personnels,
elles seraient plus similaires à ce que l'on peut rencontrer sur
PC en raison du rapprochement des technologies. Si les mobiles commencent
à s'appuyer sur des technologies similaires, comme le PalmPhone
distribué par Sprint aux Etats-Unis, le risque peut se propager
d'une plate-forme à une autre. Par exemple, les virus Palm peuvent
aussi infecter les PalmPhones puisqu'ils ont le même système
d'exploitation. Actuellement, les téléphones mobiles sont
beaucoup plus affectés par les développements des standards
de messages comme JS au Japon et SMS en Europe. Chez Network Associates,
nous avons un autre laboratoire, McAfeeLabs, qui effectue spécifiquement
des recherches sur les technologies mobiles et nous informe en terme de
nouveautés et de technologies futures. A partir de là, nous
développons proactivement chez Avert les éléments
nécessaires que nous intégrons dans nos produits.
Ne
croyez-vous pas qu'en installant des antivirus au niveau des backbones,
ceux-ci pourraient bloquer tout trafic malicieux ?
V.G: Les opérateurs utilisent beaucoup les produits que
nous développons aujourd'hui. Mais pour CodeRed par exemple, je
pense que le réseau est trop complexe et quand un virus bouge aussi
vite, ce n'est pas un antivirus au niveau des backbones qui pourrait stopper
l'infection. Un étudiant de l'université de Berkeley (USA)
a d'ailleurs écrit un article sur une menace potentielle de ver
intitulée Warhol qui pourrait mettre à mal tous les ordinateurs
reliés à Internet en seulement 15 minutes. Non seulement
cela ne pourrait pas fonctionner, mais en plus je ne suis pas forcément
d'accord avec ce type de papier qui pourrait inciter les personnes à
réfléchir sur la façon d'y arriver. Mais pour en
revenir aux antivirus au niveau des backbones, certains sont probablement
en train d'étudier le sujet.
Pour
les utilisateurs, quel est selon vous la meilleure protection possible
?
V.G: Evidemment, les éditeurs comme nous doivent commencer
par là avant de s'intéresser aux backbones. Pour Avert,
cela consiste à être capable
de développer des technologies qui comprennent les comportements
des virus sur les systèmes en veillant sur des événements
spécifiques. Par exemple, si un code malicieux attaque une page
web et lui envoit 6 500 ou 8 000 requêtes par jour,
l'ISP le saura mais rien ne change dans ses opérations. C'est pourquoi
la technologie doit être développée pour traquer les
éléments et les comportements qui peuvent être différents
de la normalité. D'un point de vue utilisateurs, enfin, ceux-ci
doivent enfin commencer à comprendre qu'il faut s'appuyer sur des
personnes qui ont prouvé leur sérieux et leurs compétences.
Mais en général, les utilisateurs n'ont pas assez d'informations
et ne sont pas suffisamment éduqués.
Depuis 4 ans,
Vincent Gullotto assume la fonction de directeur de McAfee Avert,
la division correspondant au laboratoire de recherche antivirale de Network
Associates. Fondateur de cette équipe, il est notamment à
l'origine de plusieurs services et solutions dont le scanner antivirus résident
sur l'Internet WebImmune.
Titulaire d'une licence de sciences de l'université de Phoenix, il
a occupé auparavant des postes à responsabilités chez
deux éditeurs de logiciels. Conférencier de renom, il est
également membre du conseil d'administration d'une société
pionnière sur le marché des logiciels de messagerie vocale.
Entré chez McAfee en 1993, François Paget est chargé
en Europe de l'analyse des nouveaux virus, de leur identification et de
la mise à disposition de modules de détection et d'éradication,
au titre d'expert en sécurité informatique "virus et
antivirus". En parallèle, il est membre de l'EICAR (European
institute of computer anti-virus research) et de la WildList qui compte
en tout 57 professionnels avec pour but de recenser tous les virus
dans la nature. En 1991, il animait le "Groupe Virus" au sein
du Clusif, puis fonde en 1992 l'association Recif (Recherches et études
sur la criminalité informatique française) dont il devient
président en 1994.
|