Content
Perspectives McAfee sur la sécurité
Point de vue d'expert : Le blocage des logiciels espions
Les postes de travail des utilisateurs d'entreprise sont littéralement pollués par des programmes potentiellement indésirables de tous types, qu'il s'agisse de pop-ups publicitaires consommant inutilement les ressources informatiques, ou d'enregistreurs de frappe capables de dérober les numéros de carte de crédit et autres données personnelles. La plupart des responsables informatiques des entreprises ont grandement sous-estimé la gravité de la situation. Quelle est l'ampleur du problème posé par les logiciels espions (spywares) et publicitaires ? Et surtout, que peuvent faire les entreprises pour les empêcher d'infiltrer les portables et les postes de travail de leurs utilisateurs ? Nous nous sommes adressés à Joe Telafici, responsable des opérations du centre de recherche McAfee® AVERT® Labs pour tenter de faire le point sur la question et sur les solutions possibles.
La rédaction : Quelle est l'ampleur du problème posé par les logiciels espions (spywares) ? Et pourquoi la situation s'aggrave-t-elle ?
Joe Telafici : Le problème est énorme. La situation était déjà inquiétante par le passé, mais elle a connu une nette aggravation au cours des deux dernières années. Elle est franchement plus préoccupante qu'en ce qui concerne les virus. Les programmes potentiellement indésirables, et surtout les logiciels publicitaires, sont présents sur un nombre nettement plus élevé d'ordinateurs que n'importe quelle autre menace. En général, chaque mois, dix à quinze des vingt principales attaques virales concernent les logiciels espions et publicitaires. Dans les environnements d'entreprise, certains des rapports qui nous ont été communiqués montrent que le premier virus détecté arrive parfois à la 200e place dans les menaces identifiées. Pour le reste, il s'agit de logiciels espions (spywares), de logiciels publicitaires (adwares) et d'autres programmes indésirables.
Deux raisons expliquent cette prolifération. D'une part, le logiciel concerné présente un intérêt légitime. Certaines personnes souhaitent utiliser ces programmes. Ainsi, lorsque vous vous procurez Kazaa, vous obtenez en même temps deux ou trois autres programmes. S'ils vous intéressent, c'est votre droit de les avoir. Si vous travaillez dans le secteur informatique, il arrivera sans doute que vous deviez employer un analyseur de paquets ou un programme de contrôle à distance. Le problème se pose toutefois lorsque ces logiciels, en soi très utiles, sont installés là où leur présence n'est ni prévue ni souhaitée.
D'autre part, les outils destinés à identifier et à supprimer les logiciels espions ne sont pas accessibles au plus grand nombre, particulièrement en entreprise. Tant que le personnel informatique ne dispose pas d'outils déployés à grande échelle et gérés de façon centralisée, il ne peut pas prendre pleinement conscience du problème ni le résoudre.
Le mot « logiciel espion » (spyware) présente de fortes connotations négatives. Un grand nombre des logiciels véritablement malveillants sont des chevaux de Troie qui, par exemple, dérobent des mots de passe, enregistrent les saisies au clavier ou contrôlent des ordinateurs à distance dans le but de voler des données d'identité.
Une nouvelle motivation : l'appât du gain
La rédaction : Selon vous, l'objet premier des logiciels espions est-il principalement financier, comme dans le cas de fraudes et d'usurpations d'identité ?
Joe Telafici : 2003 et 2004 ont vu une évolution au niveau des programmes malveillants. Ce qui n'était au départ qu'une simple action politique, l'équivalent électronique d'un graffiti contestataire, s'est transformé en une recherche de profit financier. Difficile de déterminer si les auteurs de programmes malveillants s'inspirent des fournisseurs de logiciels publicitaires ou l'inverse.
Les robots espions (spybots) et les vers déposent des logiciels publicitaires, vraisemblablement parce que l'auteur du ver est payé pour le faire et que son profit dépend du nombre de programmes publicitaires installés. Parmi les fournisseurs de programmes potentiellement indésirables, les moins scrupuleux injectent leurs produits par l'intermédiaire d'exploits et utilisent les mêmes techniques d'ingénierie sociale que celles habituellement employées par des auteurs de programmes malveillants.
Le panel de comportements des auteurs de programmes potentiellement indésirables est large. Les plus malhonnêtes n'hésitent à combiner les techniques tandis que certains auteurs de programmes publicitaires, au contraire, essaient d'adopter un comportement éthique et d'agir avec plus de visibilité. En effet, certains d'entre eux sont financés par du capital-risque et s'efforcent de montrer patte blanche auprès de leurs investisseurs.
La rédaction : Cette évolution dans le chef des auteurs de logiciels espions les rend-elle plus difficiles ou plus faciles à arrêter ?
Joe Telafici : C'est à la fois plus simple et plus difficile. Les auteurs de programmes potentiellement indésirables sont plus professionnels et plus rigoureux qu'il y a deux ans. Il ne s'agit plus d'étudiants. Ils ont généralement 10 ans d'expérience dans l'écriture de code. Ils testent leurs créations. Ils sont payés pour le travail accompli.
L'avantage est qu'ils sont un peu plus prévisibles. Des programmes de désinstallation accompagnent de nombreux logiciels. Cela dit, si les utilisateurs ignorent au départ comment ils les ont reçus, le programme de désinstallation ne leur est d'aucune utilité. Les auteurs sont plus scrupuleux dans leur libellé du logiciel et incluent des informations de version et le véritable nom de la société.
En revanche, d'autres auteurs, nettement moins soucieux de leur réputation, ont recours à des moyens détournés et à des techniques de furtivité afin de dissimuler la présence de leurs logiciels.
Une simple question de politique
La rédaction : Disposez-vous d'estimations quant au nombre de postes de travail infectés par des logiciels espions dans les entreprises américaines ?
Joe Telafici : C'est très difficile à évaluer, notamment en raison du manque d'outils appropriés. La plupart des organisations, même si elles ont fait des progrès et exigent désormais la présence d'antivirus sur les postes de travail, ne verrouillent pas les configurations de ceux-ci.
Nombreuses sont les personnes, spécialement aux Etats-Unis, qui font leurs achats et d'autres opérations non professionnelles au bureau. Certaines entreprises prennent des mesures pour interdire toute utilisation non professionnelle de l'ordinateur au bureau, mais c'est encore loin d'être le cas partout. L'application de stratégies efficaces est la meilleure façon de se préserver de l'installation de programmes potentiellement indésirables sur les postes de travail.
La rédaction : Quels sont les moyens dont disposent les entreprises pour empêcher de tels programmes d'infiltrer leurs systèmes ?
Joe Telafici : La première mesure à prendre consiste à contrôler les droits et privilèges dont disposent les utilisateurs sur leur ordinateur. Sous Windows, tout le monde est administrateur par défaut, et les administrateurs bénéficient de privilèges complets sur leur ordinateur. Chaque fois que vous visitez une page web, vous disposez de droits complets.
Les entreprises doivent élaborer une politique de sécurité qui couvre tous les logiciels utilisés par le personnel dans le cadre de son travail, qu'il s'agisse de Microsoft Office ou d'un environnement de développement logiciel. Le service informatique doit verrouiller les applications installées sur les postes de travail des utilisateurs afin que ces derniers puissent uniquement exécuter des applications approuvées.
Cela dit, il est parfois difficile de résister à l'envie de télécharger des logiciels pratiques ou distrayants. Au lieu d'octroyer automatiquement des droits de téléchargement, il faudrait pouvoir les accorder temporairement et à la demande, pour laisser au service informatique le temps d'examiner le logiciel dont il s'agit et d'approuver ou de refuser le téléchargement.
La rédaction : Quelles autres mesures les entreprises peuvent-elles prendre ?
Joe Telafici : Le service informatique doit mettre en oeuvre une stratégie d'application de patchs, afin que les mises à jour soient automatiquement distribuées et que les ordinateurs non conformes soient mis en quarantaine.
Un grand nombre d'organisations continuent d'autoriser le trafic IRC sur leurs réseaux, alors qu'un nombre considérable de robots espions utilisent ce moyen de propagation. Même s'il n'est pas forcément lié aux programmes potentiellement indésirables, les sociétés devraient interdire ce type de trafic. Elles devraient en outre verrouiller des ports spécifiques. Pour ce qui est des logiciels publicitaires, il existe des listes libres de domaines susceptibles d'abriter du contenu répréhensible. Utilisez un pare-feu pour bloquer l'accès à ces domaines.
Certaines entreprises peuvent associer McAfee® Secure Content Management, le logiciel de gestion des vulnérabilités McAfee® Foundstone® et McAfee® Desktop Firewall pour éviter le problème. McAfee® AntiSpyware Enterprise offre, quant à lui une protection contre les logiciels espions, les logiciels publicitaires, les enregistreurs de frappe, les cookies et les programmes de contrôle à distance.
La rédaction : Quel est le meilleur moyen de sensibiliser les utilisateurs sur les dangers d'installer des logiciels susceptibles d'amener des logiciels publicitaires et espions dans leur entreprise ?
Joe Telafici : L'information et la sensibilisation sont absolument essentielles. La plupart des utilisateurs considèrent qu'ils ont le droit d'installer des logiciels sur leurs ordinateurs d'entreprise. Ils ne voient pas le rapport entre l'installation d'une barre d'outils de navigateur et celle d'un logiciel espion. Ce type de logiciel fait généralement partie intégrante de sites de jeux et de commerce en ligne. Les utilisateurs doivent être conscients et responsables de leur acte lorsqu'ils le téléchargent.
Le rôle de la législation
La rédaction : Que penser des mesures prises par les pouvoirs publics pour barrer la route aux logiciels espions ? Aux Etats-Unis, on peut dire que la loi CAN-SPAM a été inefficace et n'a pas pu empêcher la prolifération du spam. Peut-on espérer un meilleur résultat en ce qui concerne les logiciels espions ?
Joe Telafici : L'Utah a passé une loi visant à enrayer la multiplication des logiciels espions et la Californie y pense elle aussi. La loi exige que les éditeurs de logiciels et les sites web avertissent les utilisateurs si leurs logiciels ou leurs sites installent des logiciels espions, en plus de préciser l'objet de ces logiciels et les informations qu'ils sont censés recueillir. Au niveau fédéral américain, deux projets de loi sont actuellement débattus à la Chambre et un autre au Sénat.
La loi CAN-SPAM a offert une certaine légitimité à une toute nouvelle approche du spam. Elle n'a rien fait pour enrayer le phénomène et a sans doute aggravé la situation. Nous ne pouvons nous empêcher d'être inquiets lorsqu'une législation nationale déclare réprouver ou interdire telle ou telle pratique.
En effet, les instances législatives sont incapables de suivre les progrès technologiques. Une nouvelle technique est mise au point chaque jour ou chaque semaine. Déclarer que telle pratique ou technique est interdite est une approche vouée à l'échec, à moins qu'une liste de comportements illicites soit établie et mise constamment à jour, à l'instar de ce que fait la FDA (Food and Drug Administration) en matière de médicaments. Il doit y avoir un véritable effort de la part du pouvoir législatif pour s'adapter aux évolutions technologiques.
La situation peut changer si des organismes comme l'autorité de concurrence américaine, la Federal Trade Commission (FTC), impose des réglementations aux éditeurs de ce type de logiciels. La FTC a récemment mis un terme aux activités de Sanford Wallace, le roi du spam, pour ses pratiques commerciales. Elle commence à s'intéresser au problème, mais l'efficacité de son action dépendra du temps et du budget qu'elle pourra consacrer au contrôle et à la réglementation de ces activités.
La rédaction : Quelle est la solution, dans ce cas ?
Joe Telafici : Nous nous sommes mis autour de la table pour en débattre avec les autres acteurs de la communauté antivirus et antispyware. Plusieurs groupes de travail réunissant divers fournisseurs de solutions de sécurité ont été créés, afin d'élaborer des réglementations et des conventions en matière d'appellations et de comportements.
La solution viendra en grande partie de la communauté de la sécurisation informatique et des fournisseurs de programmes potentiellement indésirables plus légitimes, plus soucieux de l'opinion publique. McAfee fait ce que lui demandent ses clients, tandis que les autres entreprises font ce que réclament leurs investisseurs ou leurs annonceurs, lesquels déterminent leur valeur.
Les fournisseurs de technologies et la communauté doivent s'allier pour répondre à la situation. Internet étant par nature mondial, il est probable que toute initiative réglementaire restera inefficace.
Depuis la rédaction de cet article, McAfee a introduit de nouveaux produits qui offrent des fonctionnalités similaires. Consultez la section relative aux produits pour en savoir plus.
Ressources
