"Les FAI ont conscience du spam mais gèrent plutôt leur réputation"

Arnaud Kopp (IronPort) : "Les FAI ont conscience du spam mais gèrent plutôt leur réputation" Filtrage du spam, menaces des contenus Web 2.0, pillage d'annuaire, PC zombies : le directeur technique d'IronPort présente ses méthodes pour contrer ces dangers.

Quel est votre secteur d'activité et quels produits proposez-vous ?
IronPort est orienté sur la sécurité des flux principalement transmis par Internet. Il s'agit de fait principalement des échanges de messagerie et de la navigation Web des utilisateurs. L'offre en termes de produits est composée d'appliances pour la sécurité email : IronPort Série C, plusieurs modèles sont capables de traiter les flux d'emails des PME jusqu'à ceux des ISP. Et pour la sécurité Web, il s'agit de la Série S. Ces produits intègrent tout ce qu'il faut pour répondre aux menaces actuelles et sont prêts pour les prochaines attaques.

Quelles sont pour vous les principales menaces sur la messagerie ? Et sur le Web en général ?
Sur la messagerie, la volumétrie à traiter est une menace en soi. Il y a de plus en plus de spams, mais pas forcément beaucoup plus d'emails business. Il faut donc une solution qui sache répondre à la menace sans devoir arriver à une course à l'armement. Les derniers spams à la mode sont plus nombreux, plus petits en taille que leurs prédécesseurs (type attachement image, fichiers office, etc).

Ces nouveaux spams contiennent en réalité plutôt des liens URLs vers des sites diffusant des contenus à risque. Ce n'est pas le texte d'un message qui est dangereux, c'est ce que l'on essaie de faire faire à l'utilisateur.

Et pour le web, les menaces sont de type spyware, malware, c'est-à-dire tous les logiciels qui font surtout perdre de la productivité, soit du poste de travail, soit de l'utilisateur lui-même. En réalité, les virus tels que l'on en avait l'habitude sur des supports amovibles, ou par emails restent surtout sur ces supports. La majorité des virus sur le Web sont dans des sites de Webmail. Le problème d'un utilisateur sur le Web est qu'il ne sait jamais très bien avec quel site il est en contact. Il lui faut une solution qui s'assure de la sécurité du site avec lequel il va entrer en communication, c'est tout l'objectif de la solution de sécurité IronPort.

arnaud kopp debise 009
"Les nouveaux spams contiennent en réalité plutôt des liens URLs vers des sites diffusant des contenus à risque" © Cécile Debise - Benchmark Group

Les gros FAI prennent-ils aujourd'hui vraiment conscience du problème du spam, et comment font-ils pour traiter le volume de plus en plus gros ?
Les FAI ont conscience du problème du spam mais doivent plutôt gérer leur réputation. Ils essaient de segmenter le traitement et l'expédition des emails de façon différenciée selon la qualité des messages. Leur réputation de "relai de spammeur" a des conséquences sur leur activité commerciale.

Or le choix de bloquer un message doit être prévu dans les conditions générales, ce qui n'est pas toujours le cas. Certains ISP, même français, considèrent par contre que le service d'email n'est qu'un complément à l'accès Internet, et ne cherchent pas à rendre un service de qualité. Leur réputation dans le monde de l'Internet baisse alors sensiblement.

Et que proposez-vous contre les risques internes qui représentent la plus grosses partie des failles de sécurité en entreprise ? (Je pense aux appels téléphoniques avec usurpation d'identité). Faut-il mettre en place une politique de sécurité au-delà des logiciels ?
Le point faible en entreprise, cela reste l'utilisateur final. En entreprise, vous savez quoi faire en cas d'incendie, pourquoi ne pas savoir quoi faire dès qu'il s'agit d'informatique ? Il s'agit d'un secteur à prévoir dans la formation continue.

En 2004, Bill Gates prophétisait la fin du spam 2 ans plus tard. Le spam est toujours là... existe-t-il un remède ?
Le spam restera un problème de par la nature ouverte d'Internet. Il est illusoire de penser contrôler tous les flux d'emails à leur source. De tous les moyens de communication, il y a toujours eu des campagnes de spams, dans le monde réel, votre boite aux lettres, par les télécommunications (fax, emails, ...), et même dans les chats :)

Avez-vous des techniques pour contrer les attaques dites de pillage d'annuaires ?
Une attaque de type "Directory Harvest" a souvent été utilisée par les spammeurs pour récupérer et qualifier un annuaire, avant de pouvoir cibler efficacement une campagne de spam. Dans les solutions IronPort, cette attaque est bloquée par l'analyse de la réputation d'un expéditeur, pour lui apporter d'un retour approprié, et donc une visibilité sur seulement une partie de l'annuaire. Cette fonction a pour nom "DHAP : directory harvest attack protection".

Pour déjà sécuriser sa messagerie au niveau du serveur de messagerie, type Exchange, quelles recommandations pourriez-vous faire à des DSI et RSSI ?
La protection d'un serveur de messagerie doit se faire à plusieurs niveaux. D'une part, sur les flux en provenance et à destination d'Internet. Il s'agit des produits IronPort. Et d'autre part, sur les flux depuis les postes internes, ou les autres serveurs de messagerie qui n'utilisent pas Internet. Cette partie doit être considérée avec des experts de la technologie employée. Je vous conseille de contacter un intégrateur expert dans la sécurité informatique, qui pourra vous accompagner dans la vie d'une solution de sécurité globale de la messagerie.

arnaud kopp debise 004
"Il ne peut pas y avoir de garantie à 100%, mais s'approcher des 100% au moyen de plusieurs technologies est certainement la meilleure solution" © Cécile Debise - Benchmark Group

Comment vos produits répondent-ils aux évolutions constantes des virus ? Quelles garanties ?
Les nouveaux virus transmis par email sont généralement diffusés massivement sur Internet et sont de fait détectés par les sondes IronPort SenderBase. De nouvelles alertes de volumétries sont alors reçues par les IronPort qui peuvent alors mettre en attente les nouveaux virus en attendant une signature de la part des éditeurs Sophos et McAfee pour enfin les analyser. Il faut éviter que de nouveaux codes malveillants se retrouvent trop au cœur de l'entreprise. Il ne peut pas y avoir de garantie à 100%, mais s'approcher des 100% au moyen de plusieurs technologies est certainement la meilleure solution.

A quoi peut servir un filtre par réputation de l'adresse IP si celle-ci n'est pas encore connue ?
Ne pas avoir de réputation est en soit une information. Quand vous ne connaissez pas quelqu'un, ni en bien, ni en mal, vous avez tendance à faire plus attention. Et après un premier échange, le système de réputation devrait associer une valeur de réputation.

J'ai lu ce matin les résultats d'une étude laissant entendre que Storm Botnet était probablement mort. Vous y croyez ?
Les réseaux de Botnet ont une rentabilité économique certaine. Peu importe son nom, un nouveau réseau en cours de constitution est certainement déjà présent sur Internet. Les prochains Botnet qui risquent de se déclencher sont déjà analysés par SenderBase, et certains rapports "outbreak reports" sont publiés ici : http://www.ironport.com/toc/

Des attaques par des botnets contre des Etats, ça vous parait un scénario plausible ? Y-a-t-il des parades si cela se produisait effectivement ?
L'utilisation d'un réseau de Botnet pour ce genre d'activité est tout à fait possible, et a certainement déjà été réalisée. Pour utiliser un réseau Botnet, il faut juste payer. Pour se protéger, il faut pouvoir identifier les réseaux, ce que SenderBase cherche à faire, et il faut aller jusqu'à laisser fonctionner des botnets pour pouvoir se prémunir de ce qu'ils seront capables de faire.

La réputation sert, dans ses notes les plus négatives, à clairement identifier un risque. L'utilisation de la réputation sur d'autres solutions que la messagerie et le Web est certainement un axe de développement d'une parade contre les réseaux botnet.

J'ai lu dans un article l'expression : attaques piggyback. Pouvez-vous m'expliquer de quoi il s'agit ?
Les malware de type piggyback sont des morceaux de codes malicieux intégrés dans des logiciels tout à fait normaux. L'utilisation de code Open Source permet facilement de modifier un logiciel. Il suffit alors de diffuser cette version "modifiée" pour faire exécuter des contenus malveillants. Il est alors important de pouvoir filtrer les logiciels et de vérifier leur contenu ou vérifier des signatures. Ce sont surtout des malware diffusés sur des sites Web dont les contenus sont peu surveillés.

arnaud kopp debise 012
"La vérification à votre place de l'origine de contenu, par une solution de sécurité Web, est clairement un besoin" © Cécile Debise - Benchmark Group

Web 2.0, Web 2.0, etc... une litanie et soi-disant des menaces associées. Y-a-t-il un risque réel ou est-ce juste une forme d'opportunisme en profitant du buzz attaché au Web 2.0 ?
Le Web 2.0 lie beaucoup de contenus avec des sources différentes. Lorsque vous visitez un site avec des publicités, vous n'avez même pas idée de l'origine des données de ces espaces publicitaires. La vérification à votre place de l'origine de contenu, par une solution de sécurité Web, est clairement un besoin.

Et du DLP, en faites-vous sur vos passerelles ?
Oui, le DLP (Data Leakage Prevention) est clairement un axe de développement d'IronPort. Sur la messagerie, il est important pour les entreprises de savoir quel genre de contenu s'échange entre des utilisateurs. Peu sont celles qui savent combien de fichiers Word sont envoyés et reçus d'Internet. Pour au moins une visibilité, il faut pouvoir mettre en place une politique d'entreprise.

Et c'est cette politique qu'il est alors possible d'appliquer sur les flux d'emails. Par exemple, IronPort a intégré une solution de chiffrement qui est une réponse très satisfaisante aux problèmes de DLP. Enfin, sur les flux Web, il est également important de le considérer comme un canal d'échange de fichiers, qu'il faut pouvoir contrôler avec finesse. Des solutions dans cette direction devraient voir le jour en 2009.

La tendance en sécurité semble être au SaaS. Etes-vous présent dans ce domaine ? Si non, pourquoi ?
Les produits IronPort sont à mi-chemin entre le SaaS (Security as a Service) et une solution "Built In House". Il s'agit bien de matériels physiquement dans le réseau de l'entreprise, dans le pays de l'Entreprise, et donc sous le contrôle de la DSI et de personne d'autre, mais utilisant des informations en temps réel d'une tierce partie : SenderBase. Le modèle d'IronPort est de faire la sécurité dans la zone de contrôle de l'entreprise, mais avec une charge d'administration similaire à celle du SaaS. Un peu le meilleur des deux mondes...

Cela a-t-il changé la vie de votre entreprise d'être racheté par Cisco ?
Non, l'esprit d'IronPort est clairement toujours présent. La direction d'IronPort a pris en charge les produits de sécurité Cisco et cherche à développer encore plus l'esprit sécurité dans Cisco. La voie Cisco est clairement une opportunité pour encore plus développer les solutions de réputation telles que commencé par SenderBase sur la messagerie et le Web.

Merci pour toutes vos questions. J'espère avoir su répondre à vos attentes.

Arnaud.

Serveurs / Spam