Voir
aussi le dossier: Virus,
l'actualité de la menace
"Présenter Good Luck comme 'l'arme
absolue des cyberterroristes', c'est tout simplement n'importe quoi".
Voilà en substance les propos des pros de la sécurité
anti-virus que l'on pouvait lire hier dans des mailing lists et des groupes
de discussions comme fr.comp.securite.virus. Des propos tenus en réaction
à l'habile communication d'un éditeur français d'anti-virus,
à savoir Tegam, concernant un "nouveau" cheval de Troie.
Nous avons nous-même cité cet éditeur dans notre article
sur son "rapport confidentiel" à propos d'un cheval de
Troie de "nouvelle génération", document auquel
nous n'avons pu accéder et sur le contenu duquel Marc Dotan, son
P-D.G. a savamment entretenu le mystère. Interrogé par nos
soins, Pascal Lointier, vice-président et responsable de la commission
"Menaces" du Clusif
(Club de la sécurité des systèmes d'informations
français), avait ramené le débat à sa juste
proportion : "des chevaux de Troie, on peut en concevoir à façon
mais il n'y a rien de nouveau à cela".
Trojan de "nouvelle génération"
ou "hoax" fantôme ?
"Good Luck", le nom donné donc à ce cheval de
Troie par l'éditeur français dans son rapport selon notre
confrère de la presse écrite repris à la radio, reste
tout à fait mystérieux.
Qui
plus est, une incertitude subsiste quant à la mise en pratique
réelle de ce trojan fantôme, puisqu'il s'agit de "faisabilité"
selon l'effet d'annonce que nous avions reçu la semaine dernière.
"Je trouve lamentable de faire circuler des informations de ce type",
nous a affirmé mercredi matin François Paget, expert en
sécurité anti-virus au sein des laboratoires Avert de McAfee,
filiale de Network Associates. "Je n'ai pas eu accès à
ce document qui est en liste fermée, mais à la lecture de
la presse, je vois là tous les ingrédients du hoax."
En d'autres termes, un hoax est une fausse nouvelle qui se propage en
se servant d'une vulnérabilité humaine bien connue : la
peur de la menace. Cette fois-ci, elle se trouve diffusée à
l'aide de pratiques marketing plutôt douteuses cherchant à
susciter la curiosité. Le fait de laisser planer un doute sur un
secret qu'il n'est pas possible d'évoquer par téléphone
en est un exemple.
La
position de Tegam ? Une politique dangereuse...
Or, selon nos sources depuis
la publication de notre précédent article, ledit rapport
se décomposerait en deux chapîtres : 1. l'état de
l'art des vers, des virus et des chevaux de Troie, et 2. Viguard comme
solution à tous les problèmes. Bref, de la publicité,
mensongère de surcroît.
En
effet, en sécurité - qu'elle soit logique ou physique -,
il n'existe pas de solution à tous les problèmes. Sinon,
cela se saurait probablement et constituerait un véritable frein
au piratage, mais aussi au marché des solutions de sécurité
qui ne s'arrêtent pas à l'antivirus. De fil en aiguille,
le slogan est éminemment discutable, puisqu'il revient à
dire qu'il suffit d'installer un logiciel pour se protéger de tous
les maux. Or, une politique de sécurité s'avère beaucoup
plus complexe que cela. Ce que ne niait pas par ailleurs Marc Dotan lors
de notre entretien téléphonique, mais qui ne transparaît
pas à travers certains écrits de sa société.
Si hier, nous avons cherché
à produire quelques pistes quant aux tactiques employées
par des auteurs de certains chevaux de Troie, aujourd'hui la problématique
est un peu différente. Il s'agit de traduire le tort causé
par ces fausses nouvelles à la sécurité, et à
la crédibilité de l'information en matière de sécurité.
Sur ce dernier point, le risque est aussi très clair. Se détournant
par dépit des sources officielles suite à une erreur médiatisée,
des utilisateurs peuvent prêter le flanc à de nouvelles vagues
d'attaques. Or, chacun sait que la sécurité est aussi affaire
de veille continue sur des sources fiables. Pour les professionnels, les
médias ne sont qu'un moyen d'alerter une population plus vaste
d'utilisateurs.
Réactions en chaîne de la communauté
des experts
Nous avons contacté
plusieurs RSSI et spécialistes de la sécurité français
pour les confronter aux "informations" diffusées, et
recueillir leur position officielle en tant que personnes. Peu ont eu
le fameux document entre les mains, mais beaucoup ont été
indignés de la tournure prise par les événements.
Voici, dans le désordre, quelques réactions que nous avons
obtenues :
Dans le même esprit que Pascal Lointier du Clusif, "la vraie
question porte sur un trojan que vous et moi ne pourrions pas détecter
sur nos machines pendant suffisamment longtemps pour qu'il fasse son travail.
Et ça, il en sort tous les jours", rappelle un ingénieur en
sécurité d'un grand industriel français. Qui ajoute
à propos de Tegam que "en interdisant à l'utilisateur d'installer
des programmes, [...] on interdit aussi à un intrus de cacher son Super-Trojan
sur votre disque à votre insu. C'est ce qu'on peut obtenir aussi avec
une politique de sécurité très sévère, relayée par exemple par l'OS (Windows
2000 et plus) ou des outils comme Poledit. Mais on est loin de la protection
anti-virus, car protéger un système isolé n'est pas franchement une prouesse."
L'un des trois Cert (Computer emergency response team) français
nous transfère ce qu'il nous dit avoir fait parvenir à ses
clients : "Les médias (journaux nationaux et radios) ont annoncé
aujourd'hui l'arrivée d'un nouveau type de virus 'totalement invisible'
et 'très destructeur', appelé 'Good Luck'. En fait, ce virus n'existe
pas, ou plus exactement, il s'agit d'une étude 'prospective' d'un éditeur
anti-virus qui veut mettre en avant les dangers du virus 'parfait', issu
d'études purement théoriques, qui s'appellerait 'Good Luck'. Inutile donc,
dans l'immédiat, de s'inquiéter à propos de ce nouveau virus."
Un expert apparaîssant souvent dans les mailing lists, très
remonté, nous fait savoir que sa position officielle est que "Tegam
avait déjà l'habitude de faire de la publicité mensongère et du dénigrement
des produits concurrents, dans le cas présent il fait un coup publicitaire.
Je peux vous assurer que le dernier antivirus capable de détecter un cheval
de Troie est bien un antivirus tout générique."
Et puis, nous avons déjà cité en introduction François
Paget, qui nous rappelle au passage que "McAfee est aussi pourvu
d'un moteur de détection heuristique
pour l'analyse en temps réel", en plus de sa base de signatures.
Et il n'est pas le seul, puisque aujourd'hui, aussi bien F-Secure qui
intègre trois moteurs dont celui d'AVP, que Trend Micro et Symantec
ont complété leurs offres de la sorte. Et, de fait, il paraît
bien plus efficace d'avoir plusieurs méthodes de détection
qu'une seule, même poussée à l'extrême.
[François Morel, JDNet] |