Fernando Rynne (Trend Micro) : "La réputation Web permet une réaction en temps réel"

En quoi consiste exactement la protection par la réputation Web ?

La réputation Web se caractérise par plusieurs éléments. Dans son mode de fonctionnement tout d'abord. On s'éloigne ici des systèmes traditionnels faisant appel à des bases de données et à des fichiers de signatures. La protection va en effet se faire sur Internet directement, puisque les informations de sécurité nécessaires sont centralisées sur des serveurs maintenus par Trend Micro.

Le temps de réaction, en temps réel, face aux menaces, est ainsi garanti par la disparition des habituels fichiers de mise à jour à télécharger.

La deuxième source, c'est la réputation des domaines. La première était donc le contenu, ici c'est le contenant que l'on va examiner. Pour cela, on va contrôler plusieurs paramètres de nature à révéler que le domaine est malveillant, comme la durée de vie d'un domaine ou la durée d'hébergement sur une adresse IP donnée. Un domaine qui changerait d'hébergement tous les jours ou de localisation géographique a un comportement clairement suspect.

Enfin la troisième source exploitée dans cette technologie, c'est notre plate-forme antispam qui tourne quant à elle depuis 2 ans. L'ensemble des URL insérées dans des spams, comme ceux concernant la pharmacopée, ira enrichir notre base mettant en corrélation ces différentes sources.

Comment sont générées les données sur les domaines Internet ?

Elles nous sont communiquées par ceux qui gèrent les domaines, les registrars eux-mêmes, à chaque fois qu'ils effectuent une modification de leur base. Au lancement du service, nous allons ainsi pouvoir traquer tous les .com, .net, .us et .info.

Il n'existe pas de registrar global pour Internet, ce qui nous oblige à étoffer progressivement notre base au travers d'accords pays par pays. Pour le moment, nous nous concentrons sur les domaines pour lesquels le risque est le plus fort. Pour la France, la réputation est donc basée sur les deux autres sources.

Si vous prenez l'exemple d'un site de phishing, il se caractérise par une durée de vie très courte. Après 48 heures, l'URL mène souvent à une page d'erreur. Nous nous sommes aperçu qu'il était très simple de déposer un domaine en ".com" et qu'il n'existait aucun véritable contrôle. De plus, des registrars accordent un délai de paiement de 8 jours.

C'est un délai largement suffisant pour un pirate de créer des sites de phishing à la volée pour le temps d'une attaque, sans même avoir à payer quoi que ce soit. Le domaine une fois déposé, les informations nous sont communiquées par le registrar. La propagation DNS peut prendre quelques heures, mais généralement cela va assez vite.

La technologie fonctionne-t-elle sur passerelle ou sur poste de travail ?

L'offre passerelle d'OfficeScan 8.0 qui intègre la fonction de réputation de sites Web arrivera courant troisième trimestre. L'offre poste de travail est elle en revanche disponible et peut fonctionner derrière ou pas un firewall. L'intérêt de ce service est que lorsque qu'utilisateur va lui-même cliquer sur un lien, la vérification va s'effectuer en temps réel avec un appel de type DNS qui va retourner un scoring, une mesure.

Ensuite, en fonction du paramétrage de l'administrateur, le site sera ou non autorisé à s'ouvrir dans le navigateur sur le poste de travail. La configuration se fait au travers de 4 options, en fait de définition d'un niveau de sévérité. Une politique de sécurité restrictive bloquera ainsi tout site dont le scoring aura révélé un risque potentiel. En mode plus permissif, seuls les sites comportant des codes malveillants connus seront bloqués. Les deux autres niveaux sont intermédiaires.

Mais le système de réputation Web est également destiné à bloquer les transactions en aveugle qui s'exécutent aux dépens de l'utilisateur. Classiquement, ce sont les codes malveillants déjà installés sur un poste et qui chercheraient à télécharger d'autres programmes depuis une autre adresse ou à envoyer des données sensibles vers un serveur dans le cas d'un keylogger par exemple.