La réputation, avenir de la sécurité informatique ?

La course lancée ces dernières années entre les pirates et les fabricants de solutions de sécurité est de plus en plus féroce. Ainsi, les technologies reposant uniquement sur du filtrage traditionnel à base de signatures sont sans cesse dépassées.

Nous protégeons les entreprises au moyen d’outils de contrôle d’accès aux bâtiments ou d’équipes de sécurité qui autorisent les entrées dans le bâtiment. N’est-il pas temps désormais de le faire systématiquement au niveau des systèmes d’information des entreprises ?

Face aux nouvelles techniques de filtre anti-virus ou anti-spam des éditeurs de solutions, les spammeurs sont de plus en plus inventifs et technologiquement innovants.

De la difficulté à contrer les nouvelles formes de spam

Nous pouvons prendre par exemple l'apparition du « spam image » en 2006. Cette technique consiste à insérer le contenu du spam non pas dans le texte du corps du message mais dans une image attachée à celui-ci. L'image échappait ainsi aux filtres anti-spam qui se bornaient à analyser le texte inclus dans le corps du message.  Les éditeurs ont réagi en classant ces images comme spam en éditant des signatures anti-spam pour chaque image.

Les spammeurs ont alors immédiatement réagi en générant pour la même attaque spam des centaines de milliers d'images différentes, soit en insérant aléatoirement de minuscules points dans l'image, soit en faisant varier subtilement la bordure de celle-ci au niveau couleur ou épaisseur, soit encore en découpant aléatoirement l'image en une multitude de sous-images qui apparaissent au destinataire comme une seule image.

Les filtres traditionnels à base de signatures étaient ainsi complètement dépassés : en effet, une règle publiée pour bloquer un spam en fonction d'une image particulère ne permet pas de bloquer les autres messages d'une attaque similaire.

Avec le temps les fournisseurs d'anti-spam ont appris à mieux gérer ce spam image, mais d'autres techniques de spam sont apparues au 1er semestre 2007 comme le spam « lien-image » (le message ne contient qu'un lien renvoyant vers une image stockée sur un serveur en ligne, et n'est donc pas bloqué par les filtres traditionnels de contenu), ou encore le spam PDF ou le spam Excel (l'image envoyée par le spammeur n'est pas dans le message mais dans un fichier attaché au format PDF ou Excel).

Les technologies à base de réputation sont nécessaires face à des menaces floues

On le voit, les pirates innovent sans cesse, et les technologies reposant uniquement sur du filtrage traditionnel à base de signatures sont sans cesse dépassées. Cela est vrai pour le spam mais également pour les virus ou les logiciels espions en général : de nouvelles attaques avec de nouvelles formes de codes malveillants ou des variantes d'anciens dont lancées régulièrement et mettent en échec les filtres à bases de signatures par définition réactifs.

Protéger son réseau informatique uniquement avec des solutions de ce type reviendrait en quelque sorte dans la vie quotidienne à laisser un inconnu rentrer chez vous en vous disant qu'il sera possible de le fouiller ensuite. Cependant, serez-vous de taille à le fouiller ? Connaissez-vous les dernières technologies d'armes qu'il peut porter sur lui ? Que pourrez-vous faire face à un nouveau type d'arme que vous ne connaissez pas encore ? Reconnaitrez-vous même que c'est une arme, ou prendrez-vous cet objet comme parfaitement inoffensif ?

Nous apprenons à nos enfants dès le plus jeune âge à ne pas suivre n'importe qui dans la rue et surtout à ne pas ouvrir la porte à des inconnus. Nous protégeons également les entreprises au moyen d'outils de contrôle d'accès aux bâtiments ou d'équipes de sécurité qui autorisent les entrées dans le bâtiment.

N'est-il pas temps désormais de le faire systématiquement au niveau des systèmes d'information des entreprises ? Pour ce faire, des solutions capables d'évaluer la réputation d'un serveur e-mail qui vous demande d'établir une connexion avec lui pour vous envoyer des messages, ou la réputation d'un site web sur lequel un utilisateur veut se connecter sont extrêmement efficaces.

Elles vous permettront de bloquer l'écrasante majorité des menaces avant même qu'elles ne puissent pénétrer le réseau de l'entreprise. Ces solutions se basent sur des centaines de paramètres objectifs, tels que l'historique d'une adresse, son volume de messages ou de connexions, le pays d'origine, le nom de domaine, sa présence ou non dans des listes noires, etc. Chaque critère est noté et la pondération de tous les paramètres permet d'obtenir une note de réputation finale amenant à accepter ou rejeter la connexion demandée.

Couplé à des filtres d'analyse contextuelle avancés, ces systèmes évaluant la réputation des serveurs e-mails ou des sites Web ont ainsi de beaux jours devant eux.