J.-P. Bichard et M. Blanchard (Kaspersky) : "La durée de vie d'un réseau botnet nouvelle génération est de plus en plus longue"

Attaques iFrame, complexité de la lutte contre les réseaux zombies, risques sur le NFC et le mobile, phishing contre les banques françaises, évolutions des codes malveillants... Les spécialistes de la sécurité ont répondu aux questions des lecteurs.

Vous pensez qu'un éditeur peut encore survivre en ne faisant que de l'antivirus ? McAfee, Symantec et Sophos élargissement le spectre, notamment avec du NAC, et vous ?

Nous faisons de la protection des données en général ainsi que des protections sur les smartphones (protection des cartes SIM).

La création d'un groupe composé d'éditeurs pour réaliser des tests d'antivirus, qu'en pensez-vous ? En faites-vous partie ?

Nous faisons actuellement et historiquement partie d'associations indépendantes de tests sur les codes malveillants, mais également sur les qualités de détection / éradication.

Savez-vous s'il y a eu des plus d'attaques le jour du 1er avril ?

Il y a eu effectivement des spams contenant des Storm Worms.

Quels sont les véritables risques auxquels sont confrontées les entreprises ?

Hum, la réponse est longue et nous allons essayer d'y répondre en quelques lignes :

1. Les attaques sur les OS des serveurs HTTP/FTP/SMTP au niveau des gateways. Il faut impérativement les protéger, pas seulement au niveau des OS mais également au niveau des applications (SQL/PHP, Administration) etc. Aujourd'hui les principales attaques sur ces serveurs se tournent sur des failles ou vulnérabilités PHP/SQL avec des defacing Java/VBScript

2. Les serveurs internes et stations de travail doivent impérativement être protégés pour une intégrité des données certes. Mais pour les itinérants/nomades qui se connectent de plus en plus via Wifi, il est nécessaire d'apporter une protection maximale

3. Le chantage des entreprises, qui subissent des DDOS via Storm Worm (pour plus d'info sur les Storm Worm et Storm botnet voir mon site : http://marc-blanchard.com ). Pour cela il est parfois difficile de prendre la décision de payer le cyber-délinquant ou porter plainte. Lorsque l'entreprise ne peut pas se permettre de couper son serveur d'achat en ligne par exemple, ce n'est pas évident. MAIS il ne faut jamais payer, car les cyber-délinquants communiquent entre eux et se passent l'information.

jean philippe bichard marc blanchard kaspersky
"Une attaque iframe implique que le site qui héberge celle-ci a été défacé" © Cécile Genest - BG

En quoi les logiciels antivirus peuvent-ils désormais protéger les internautes lorsque les attaques sont contenues dans des pages Web légitimes ?

Excellente question. En fait, je ne sais pas pour mes confrères, mais chez Kaspersky Lab notre produit embarque 3 protections. Une protection par base antivirale mise à jour toutes les 30 minutes. Une défense proactive qui agit au niveau comportemental des fichiers qui sont en cours de lancement ou d'installation. Une protection heuristique qui prend en charge la protection de l'OS.

Lorsque vous surfez et qu'une tentative d'exploit ou de push de code malveillant sur votre machine se produit, ces protections vous permettent une sécurité optimale.

ATTENTION : si vous êtes "gamer" ou surfeur, augmentez les niveaux heuristiques du module antivirus Internet dans notre produit.

A mon avis, les plus grandes menaces consistent dans l'organisation des entreprises et des centres informatiques qui ne sont pas à la hauteur des menaces. Les vrais risques informatiques viennent de l'intérieur des organisations (vol de données, données détruites, accès à des données confidentielles, etc.).

Effectivement, mais le sujet sur la protection des données internes des entreprises doit amener les entreprises à mettre en place des systèmes de chiffrement et d'authentification forte, tout en conservant une bonne protection antivirale interne.

Comment les pirates font-ils pour truquer les résultats des moteurs de recherche et vous envoyer sur un autre site que celui pour lequel vous aviez cliqué ?

C'est une méthode de pharming très utilisée actuellement, et même avec le cadenas SSL, vous avez un risque.

Quel est le principe d'une attaque iFrame ? Cela veut dire qu'une faille a été exploitée dans la page Web ?

Une attaque iFrame implique que le site qui héberge celle-ci a été "défacé" ! Par conséquent, ce site Web est dangereux. Le principe iFrame transparent consiste à modifier une page d'accueil ou une page du site afin de faire télécharger d'un autre site Web une attaque, un fichier malveillant, etc. Cette attaque est directement liée aux attaques actuelles appelées Storm Worm.

jean philippe bichard marc blanchard kaspersky2
"Ces réseaux botnet sont de plus en plus nombreux et de plus en plus stables et difficiles à détruire" © Cécile Genest - BG

Est-ce qu'on peut encore parler de cheval de Troie, de ver, de rootkit sachant que souvent les programmes malveillants combinent les trois ?

Technologiquement oui, les codes actuels combinent les 3 technos, soit de façon homogène (toutes les technos dans un seul fichier), soit sur plusieurs téléchargements différents (plusieurs fichiers).

Vous savez combien on dénombre d'attaques de phishing chaque mois en France ? Des phishing en langue française j'entends.

Non, pas exactement, mais en été, nous voyons une évolution des phishing sur les banques françaises. Je pense que, cet été, au vu des modes sur les casinos en ligne et pokers, nous aurons une très forte tendance à la hausse.

Comment qualifieriez-vous le niveau de la menace sur le mobile ? Les éditeurs ont souvent tendance à mon sens à jouer sur la peur en la matière.

Non, moi j'ai simplement peur sur les NFC (paiements à l'aide du téléphone). Cependant, toutes les technologies malicieuses sur téléphones mobiles sont d'ores et déjà prêtes pour le lancement de cyber-vols ou de spams vers des 0892xxxxx pour que le délinquant puisse capitaliser sur les appels surtaxés.

Les possesseurs de Mac sont (maladivement) persuadés de l'invulnérabilité de leur OS, ont-ils raison selon vous ?

Non, c'est la raison pour laquelle Kaspersky Lab est en train de sortir un antivirus Mac. Ceci dit, les attaques seront de plus en plus fréquentes car le succès de Mac engendrera forcément une foule de nouvelles technologies à exploiter sur ces plates-formes... Ce n'est qu'une question de temps, le temps de voir combien de futures victimes seraient touchées par une attaque.

Peut-on dire que Storm est mort ?

La technologie Storm inquiète les chercheurs. En effet, ces technologies essaient de constituer des réseaux parallèles de machines utilisateurs mais également de serveurs Web. Ces réseaux sont de plus en plus nombreux et de plus en plus stables et difficiles à détruire. Un peu comme si on voulait arrêter complètement Emule. La lutte contre la technologie Storm constitue notre priorité aujourd'hui.

En février, la Ministre de l'Intérieur a présenté un plan cybercriminalité, qu'en avez-vous pensé ? Vous n'avez pas quelques craintes pour les libertés individuelles ?

C'est un premier niveau de prise de conscience. Reste à voir dans les faits et notamment la résolution des problèmes au plan international. Internet étant par nature mondial.

jean philippe bichard marc blanchard kaspersky1
"Les FAI ne peuvent pas stopper ces réseaux zombies, car ils utilisent le HTTP pour se propager" © Cécile Genest - BG

Comment le réseau RBN peut-il continuer d'exister en tant qu'entreprise alors qu'il est notoirement mêlé à la cybercriminalité ?

Les hébergements offshore existent partout, même sur des hébergeurs publics. Par conséquent, notons qu'en France un hébergeur est responsable des données hébergées.

Pour les TPE et PME c'est souvent un souci de gérer la sécurité, proposez-vous des offres hébergées et administrées ?

Oui, absolument. Kaspersky Lab offre une solution d'hébergement KHSS qui met à disposition des PME et PMI une palette de services externalisés au niveau des mails, du Web... C'est une des solutions les plus performantes et avantageuses du marché. De nombreux acteurs du monde ASP s'inspirent de cette approche.

Croyez-vous que les pouvoirs publics, en France et dans les autres pays, s'engagent réellement pour lutter contre le spam ?

Pour les codes malveillants, ils sont très très réactifs en France. Pour le spam, c'est plus difficile, car la réelle question est : qu'est ce que l'on entend pas spam juridiquement ? Si on reçoit tous un spam sur un constructeur automobile par exemple, quelques personnes seront ravies, d'autres considéreront ce mail comme spam. Par conséquent, la procédure est longue et, en général, les jurisprudences sont nombreuses.

Est-il possible d'envisager l'installation du module antivol prévu dans la version mobile (kaspersky mobile security). Sur les workstations, l'idée serait de dire en cas de vol de mon ordinateur portable que je peux effacer bloquer ou réinitialiser mon PC à distance.

Fred, je t'ai reconnu ! Bonne question. Nous travaillons sur ce sujet pour les prochaines versions, notamment pour géolocaliser les portables volés.

Le FBI détectait l'année dernière 1 million de bots. Pourquoi n'ont-ils pas été désactivés aussitôt ? Et pourquoi déconnecter un botnet pose-t-il autant de souci ? Les FAI ne peuvent-ils rien détecter ?

Super question. La durée de vie d'un réseau botnet (nouvelle génération) devient de plus en plus longue. Les cyber-délinquants changent les codes toutes les 17-30 minutes, et les poussent sur les serveurs Web défacés afin que les machines des internautes se trouvent infectées sans aucune détection des antivirus.

Les FAI ne peuvent pas stopper ces réseaux, car ils utilisent le HTTP pour se propager. Aujourd'hui, nous rencontrons de plus en plus de machines des internautes touchées par Storm Worm et faisant partie intégrante d'un réseau Storm Botnet car ces machines sont en fait de faux serveurs de blog ou de faux serveurs Web référencés sur les moteurs de recherches (les biens connus).

Lorsqu'une faille est détectée dans vos logiciels, combien de temps vous faut-il en général pour la corriger ? Etes-vous engagé dans un processus de type SDL (Security Development Lifecycle) ?

Nous avons une team qui corrige en quasi-temps réel les vulnérabilités. Les produits se mettent à jour automatiquement lorsqu'un patch est proposé. Concernant le SDL nous avons notre propre SDL.

Finalement, si je comprends bien tout, la meilleure solution de sécurité, c'est encore de n'avoir pas d'ordinateur ?

Non, mais de plus en plus d'entreprises utilisent des serveurs virtuels pour une mise à disposition d'une machine quasi-contrôlée en permanence. Non, un ordinateur sans connexion Internet, c'est un peu comme une télévision sans électricité :)

Merci à toutes et tous pour votre participation et à vos questions très intéressantes. Désolé pour notre "aurtographe" qui parfois peut vous faire bondir ! Un grand merci à notre super Modérateur et à la rédaction pour cet accueil ! A bientôt.