"Nous identifions 800 à 1300 nouveaux virus par heure"
Est-ce vrai que les attaques Web (XSS, injections SQL...) ont beaucoup augmenté en 2008 ? D'où vient ce phénomène ?
Elles ont augmenté en effet. Puisque ce sont ces attaques qui permettent aux pirates d'exploiter les vulnérabilités des sites et d'injecter leur propre code infectieux. C'est généralement la première étape du cycle d'infection qui mène a la constitution d'un botnet.
La croissance des piratages de sites Web a-t-elle engendré une prise de conscience des directeurs techniques ?
En partie. Disons que le piratage d'un site ne consiste plus vraiment à modifier le contenu d'un site Web... ce qui aurait un impact immédiat, mais plutôt à insérer des scripts qui ont pour vocation d'installer sur le PC du visiteur un trojan. Du coup, c'est assez transparent pour le webmaster qui ne s'en rend pas forcement compte immédiatement.
Comment faire face à cette menace ?
La première étape du côté du site Web est de "passer" des tests de vulnérabilités... puisque ce sont elles qui permettent l'injection du code. Dans un deuxième temps, suivre aussi les modifications éventuelles dans le code même du site en question.
Coté utilisateur (visiteur), il est préférable de désactiver les popups (ce qui se passe généralement). Mais ce que font les sites infectés, c'est de vous rediriger vers des serveurs tiers... et du coup, avec des outils de qualification et de réputation d'IP, on est capable d'empêcher la connexion à ces sites problématiques.
Que pensez-vous des outils de sécurité gratuits, comme les antivirus, antispams et autres ?
Ils sont généralement de plutôt de bonne qualité. Mais ils ne couvrent pas toujours le spectre complet des menaces du Web. Les fichiers de signature et moteur de détection sont bons, mais dans un contexte où l'on identifie plus de 800 nouvelles menaces par heure, les mécanismes de protection évoluent plus vers des services en ligne et en temps réel qui nécessitent de grosses infrastructures.
En outre, il existe de faux antivirus gratuits, qui donnent l'impression d'être protégés, mais qui sont en réalité des chevaux de Troie eux-mêmes. Donc il faut faire attention à leur provenance.
La crise a-t-elle déjà un impact sur la cybercriminalité, et si oui dans quel sens ?
La cybercriminalité, c'est de "l'argent facile". On recense plusieurs illustrations assez typiques : les mules qui "blanchissent" l'argent. Je reçois de l'argent et je le verse sur un autre compte tout en gardant ma commission. Des sites Web sont même spécialisés dans ce type d'activité. Autre phénomène : les webmasters complices, qui insèrent le code voulu par le pirate, et touchent quelques centimes à chaque visiteur infecté.
Quels sont les (nouveaux) risques de sécurité auxquels une entreprise doit s'attendre dans les prochains mois ?
D'une manière générale, les infections sont assez aléatoires, mais les techniques utilisées sont de plus en plus complexes. Au final, une entreprise infectée ne verra pas forcement ses données corrompues, ou une perte de productivité, mais son SI sera totalement ouvert du point de vu du botmaster. Aussi, ces systèmes d'information peuvent servir à relayer du spal, héberger des fichiers, voler des informations sensibles (pour chantage éventuel si le secteur est sensible aussi).
Il est important que les entreprises se rendent compte que l'objectif du botnet est de ne pas se faire remarquer. Exit donc les bons vieux virus qui cherchaient à détruire la productivité des utilisateurs. Il y a même des trojans très bien faits qui savent nettoyer une machine de ses virus pour qu'il soit tranquillement installé... et se mettre à disposition de son "botmaster".
On a beaucoup parlé de Conficker ces dernières semaines. Les grands virus n'ont donc pas totalement disparu ?
Conficker n'est pas un virus plus "méchant" qu'un autre, mais les techniques qu'il embarque pour se propager sont très avancées. Il se met à jour, exploite de nouvelles vulnérabilités... et l'on recense environ 10 millions de machines infectées. Ces machines font désormais partie d'un botnet... même si du point de vue utilisateur ça ne se voit pas forcement. Sa capacité à se propager aussi efficacement la rendu célèbre...
Face à tous les éléments que vous évoquez, à quoi faut-il faire le plus attention. Faut-il accentuer sa politique de sécurité sur des points particuliers ?
Il faut déjà se rendre compte que les menaces ont évolué... et que si l'on se protège de "symptômes" qui ne sont plus plutôt que les menaces elles mêmes, bien réelles, alors on risque de ne pas traiter un part du problème. Comme dit plus haut, on dénombre environ 800 à 1300 nouveaux virus par heure. Combien de fois votre antivirus se sera mis à jour durant ce chat ? La fenêtre d'exposition s'est donc élargie.
Le risque est surtout au niveau de l'utilisateur qui dans ses diverses activités Web peut se voir infecté. Du coup première chose a faire : appliquer les patchs de vulnérabilité. Ensuite, les méthodes de plus en plus employées en termes de sécurisation c'est de s'attaquer plus aux vecteurs de contamination qu'au virus lui même. Il faut identifier en amont les ressources du Web qui ont pour vocation de vous infecter, identifier les mails qui comportent une URL qui vous redirige vers un site de phishing , voire un site ordinaire, mais comportant des virus prêts à s'installer sur la machine du visiteur.
Qu'en est-il des menaces dans le domaine du phishing ? La crise ne constitue-t-elle pas un creuset pour ces attaques ?
En effet, tout les moyens sont bons, et en période de disette, les cybercriminels n'hésitent pas à tirer les ficelles de l'appât du gain ou celle de l'information "sensationnelle". A terme l'objectif est pour un pirate de vous attirer sur un site Web qu'il contrôle... Il pourra faire un email comportant une nouvelle du genre telle ou telle entreprise dépose son bilan ou d'autres choses d'aussi sensationnelles afin que visitiez ce site. Ensuite bien évidemment les fausses annonces d'emploi, etc.
Toutes ces techniques sont bonnes pour vous attirer sur un environnement que le pirate contrôle parfaitement : son site Web. Notons sur le phishing, que les menaces peuvent provenir d'un site factice, ou d'un site parfaitement légitime mais qui se serait fait pirater.
Que pensez-vous du phénomène 0day ?
Le 0day est un concept qui prétend pouvoir apporter une réponse immédiate et instantanée. C'est-à-dire, réduire la fenêtre d'exposition d'un virus ou d'une menace quelconque. Cela à toujours été l'objectif des éditeurs de solutions de sécurité : réduire cette fenêtre au minimum... Même vis-à-vis de virus qui ne sont pas encore connus. Pour ce faire, l'approche réputation est une bonne réponse puisque qu'elle permet - en s'appuyant sur une base de connaissances en ligne - de "caractériser" en temps réel la ressource que l'on est sur le point de visiter.
Que pensez-vous de la politique du gouvernement sur la lutte contre la cybercriminalité. Les mesures vont-elles assez loin ?
Il n'y a aujourd'hui pas de travail collaboratif avec le gouvernement. L'Internet est par essence une unité de temps et de lieu. Le législateur a beaucoup de mal à être efficace surtout quand il est difficile d'identifier les auteurs de méfaits... Si un pirate en Chine, prend la main sur une machine au Chili, qui elle donnera l'ordre à 100000 machines (réparties dans le monde) de réaliser un déni de service sur un serveur en France.... Le juge n'aura pas vraiment les outils à sa disposition. C'est la nature du Net : neutralité et décentralisation.
Seul un organisme totalement international pourrait vraiment avoir une action efficace en ce sens je pense.... en attendant, on met des serrures aux portes. Allez plus loin reviendrait à mettre des filtres de contenus un peu partout... bref des écoutes permanentes.... ce qui est pas forcément une bonne idée... mais ça c'est un autre sujet.
Comment faire face à l'imprévisible dans le domaine de la sécurité ? Puisqu'il s'agit bien de ça... Existe-t-il des solutions ?
Il y a un équilibre.... après avoir évalué les risques et les coûts. Pour évoquer une image, on ne met pas les mêmes portes à l'entrée d'une maison et qu'à l'entrée d'un coffre fort... et pas les mêmes non plus entre l'entrée et celle de la chambre. Aussi, le meilleur moyen est de rester aux faits des nouvelles menaces et de toute façon, appliquer aussi rapidement que possible et systématiquement les correctifs fournis par les éditeurs. Sans vulnérabilité, point d'accès, donc pas de portes nécessaires.
L'arrivée du cloud ne fait-elle pas émerger de nouveaux risques, en poussant à la concentration des applications au sein de datacenter ?
Les datacenters qui hébergent les applicatifs ou autres services font l'objet d'une surveillance approfondie 24/24 7/7. L'aspect sécurité sur ces datacenters est crucial. Ils sont du coup moins exposés.... Peu d'entreprises peuvent se prévaloir d'un équipe dédiée a la sécurité d'un application en particulier de cette nature. De plus, dans le pire des cas, si l'application est compromise, elle devient facile à isoler puisque qu'externe...
Nous avons déployé une flotte de Blackberry l'année dernière. Quels sont vos grands conseils pour sécuriser une telle infrastructure ?
La première menace liée aux terminaux mobiles est d'une banalité affligeante.... C'est le téléphone que l'on a oublié sur le fauteuil du taxi... avec tous les mails, les contacts et voire plus... accessible au premier venu. Il existe aujourd'hui des virus qui se propagent sur des téléphones mais il s'agit toujours d'un phénomène marginal en raison d'un défaut de dénominateur commun (l'OS).
Trop de marques, trop d'environnements, du coup une technologie virale représente une capacité de propagation limitée. Les derniers malwares rencontrés ceci dit consistaient à faire appeler le téléphone sur un numéro surtaxé, sans pour autant que l'appel soit visible sur l'écran du terminal...
Quelles sont les principales questions que vous posent les RSSI que vous rencontrez en ce moment ?
D'une part, l'état de l'art que ce soit en termes de menaces qu'en termes de protection... Ils sont très alertes car les menaces évoluent très vite. Ensuite ce sont aussi et surtout les moyens de mettre en place des outils qui permettent de concrétiser une stratégie de sécurisation globale du SI. Et c'est une question importante : comment fournir une console universelle qui permet de visualiser l'intégralité des menaces sur son SI, les vulnérabilités, les mises a jours les règles de firewall appliquées, les logiciels installés sur les machines des utilisateurs etc.
Avec un une population de plus en plus nomade... la problématique n'est pas vraiment "que dois-je faire", mais plutôt : "comment ?!". Et c'est pourquoi nous développons un outil dans ce sens (monitoring, administration et gestion des postes de travail - universel).