Voir
aussi
Dossier: Virus,
l'actualité de la menace
Le
fin mot de l'histoire:
Catastrophisme,
"hoax" et sécurité ne font pas bon ménage
A propos des chevaux de Troie, quelques idées reçues ont
besoin d'être dépoussiérées sans vergogne.
Si vous n'avez pas lu notre questions/réponses
sur les virus, les vers et les trojans, c'est le moment. En attendant,
il convient d'insister sur un point : les chevaux de Troie ne se
répliquent pas, et ont pour objectif principal de se faire les
plus discrets possible. Un aspect important de la question, en particulier
pour ce qui va suivre. Forts de cette invisibilité, ils en profitent
pour expédier vers l'extérieur des données confidentielles,
voire parfois pour se réveiller à l'heure programmée
en vue de massacrer le système.
Jeudi 24 janvier dernier, nous recevons un e-mail d'un éditeur
d'antivirus français plus connu sous le nom de Tegam
International, faisant mention d'un document "adressé
[...] aux autorités nationales et internationales, dans un but
préventif". Pour continuer de citer le contenu de ce message,
il s'agit de "la faisabilité des chevaux de Troie de nouvelle
génération, qui peuvent passer totalement inaperçus.
Le document est confidentiel..." Evidemment, puisqu'il "décrit
dans le détail les techniques de ces formes d'attaques." Et
l'éditeur d'indiquer qu'il a transféré ce rapport
à "plusieurs ministères concernés en France,
ainsi qu'à Interpol." Les grands comptes doivent en être
les prochains bénéficiaires.
Des chevaux de Troie
très, très confidentiels
Nous n'avons pas pu répondre à l'invitation de
nous déplacer
pour
jeter un coup d'oeil sur ledit rapport. Ceci dit, nous avons pu nous entretenir
avec le P-D.G. de Tegam, Marc Dotan, pour qui "il vaut mieux ne pas
en parler par téléphone. Personne ne doit donner des détails.
Les autres éditeurs s'y intéressent, mais ne peuvent pas
fabriquer un antidote. Il est possible de prendre des mesures préventives
mais c'est trop tard une fois qu'il a été activé.
C'est la fin du système, à moins de tout réinstaller
et encore. Notre document explique les mesures face à ce genre
d'attaques. Et notre produit a une solution contre cela."
A la différence de la plupart des antivirus, Viguard de Tegam possède
la particularité de ne pas avoir besoin d'un fichier de signatures.
Sa force réside dans un moteur d'analyse approfondie qui observe
le comportement du système en temps réel, et donne la possibilité
à l'utilisateur de réagir si un fichier d'attitude suspecte
a été découvert. Tous les répertoires du disque
dur sont signés, et tout modification non volontaire d'un fichier
est signalée. Testé par nos soins, l'outil prévient
en effet de l'arrivée de scripts jugés non sûrs, et
propose de les bloquer sans donner plus d'indications sur le pourquoi
du comment. "Nous n'allons pas livrer nos secrets de fabrication"
rétorque Marc Dotan. Gage de sûreté, "Viguard
est certifié par la DGA" (Direction générale
de l'armement). Il aurait même permis à ses utilisateurs
de se protéger du virus I Love You avant même que les mises
à jour d'autres antivirus ne soient disponibles.
D'hypothèses en hypothèses...
Ceci dit, ne nous égarons pas... Quelle peut donc être
cette nouvelle génération de chevaux de Troie dont nous
parle
si
généreusement le P-D.G. ? Serait-ce un genre de Magistr,
le sombre ver qui flashe le Bios et rend inutilisable le PC de façon
quasi-matérielle ? D'après Marc Dotan, celui-ci "est
un autre problème dont il est difficile de se débarrasser
au niveau du parc mondial. Magistr est polymorphe ; il n'est pas effacé
même après avoir assaini le disque dur ; tous les systèmes
qui ont essayé de s'en débarrasser l'on retrouvé
; et il se rééxécute aléatoirement".
Bref, Magistr est une vraie teigne, mais ce n'est pas le fameux Trojan.
Celui-ci se situe-t-il dans un logiciel du commerce ? "Ceux qui mettent
en place une backdoor (porte de derrière) ont toujours été
découverts" répond-il. Une vulnérabilité
comme celles de JavaScript, alors ? "Il est possible d'exploiter
une faille, mais que l'on ne peut pas corriger. Car une ouverture est
une faille. Et JavaScript en est un exemple." Nous ne réussirons
pas à lui soutirer davantage de détails.
"C'est une chose très simple", explique-t-il. "Si
vous faites un cheval de Troie très spécifique, et que vous
l'introduisez sur un ordinateur avec une disquette dans une entreprise,
il n'est pas possible de le découvrir. Et ceci, s'il est conçu
de la façon spécifique que nous avons décrit dans
le rapport."
L'electronic warfare s'appuie sur l'information
warfare
Malgré l'absence
de données techniques, nous pouvons déjà tirer quelques
enseignements utiles sur ce cheval de Troie. S'il ne passe pas par Internet,
difficile de l'intercepter au niveau du firewall. S'il est spécifique
et ne ressemble pas à un de ses confrères, un antivirus
classique ne saura le reconnaître avec sa base de signatures. Qui
plus est, LockDown,
un américain sur le modèle de Tegam, souligne les capacités
de mutation de certains trojans qui changent de forme, de location ou
même de taille afin de se rendre encore plus invisibles. Un exemple
est même apporté de mimétisme
avec un fichier texte. Pour le repérer de façon ultime,
il faut surveiller s'il tente d'établir une connexion vers l'extérieur.
Car observer les flux de données envoyées ne suffirait pas.
"Si les données sont transmises en même temps que d'autres,
cela ne se verra pas", insiste Marc Dotan, pour qui "il faut
faire faire des formations à tout le monde." Ce qu'aucun expert
en sécurité digne de ce nom ne pourrait contredire par les
temps qui courent.
De son côté, le vice-président du Clusif
(Club de la sécurité des systèmes d'informations
français) et responsable de sa commission "Menaces"
Pascal Lointier, indique avoir eu entre ses mains le fameux rapport. Selon
lui, "des chevaux de Troie, on peut en concevoir à façon
mais il n'y a rien de nouveau à cela. Par exemple, il a fallu un
mois pour découvrir le premier back-orifice. Un mois pendant lequel
il était possible aux hackers de s'en servir sans être repérés.
D'autre part, le problème est le même dans le cas des failles
qui n'ont pas été découvertes et rendues publiques,
les 'zéro-day flaws' que s'échangent certains hackers."
Trojan ou pas, il livre aussi d'autres éclaircissements sur des
tactiques de pirates voire d'espions industriels: "un scénario
très performant et l'un des plus courants consiste à banaliser
une attaque. Pour s'emparer de données sur un site sensible, il
faut encourager un maximum d'autres personnes à l'attaquer. Cela
crée un bruit, et dans la confusion il suffit de lancer sa propre
attaque au milieu d'une pseudo-normalité." Lors de la dernière
conférence du Clusif mardi 15 janvier dernier, "Panorama de la
cyber-criminalité, année 2001", un autre thème à rattacher
aux méthodes de l'ingénierie sociale se démarquait
des procédés techniques : la fouille des poubelles, "et
l'envoi de faux analystes financiers" complète Pascal Lointier.
Face à cela, une politique de sécurité globale (physique,
logique et humaine) apparaît adaptée. "Politique globale,
mais aussi dynamique et réactive", conclut-il.
Le
fin mot de l'histoire:
Catastrophisme,
"hoax" et sécurité ne font pas bon ménage
[François Morel, JDNet] |