Perspectives McAfee sur la sécurité

Point de vue d'expert : Rien ne vaut la prévention

Si la menace liée aux virus se fait moins aiguë, les risques associés au phishing et aux chevaux de Troie ne cessent quant à eux de s'intensifier. Monty Ijzerman, Responsable de la sécurité des contenus chez McAfee, fait partie d'une équipe de chercheurs d'élite qui identifient, analysent et évaluent les menaces posées aux serveurs. Monsieur Ijzerman nous donne son avis éclairé sur l'évolution des menaces et sur les mesures préventives que peuvent prendre les entreprises pour se protéger efficacement.

Question de la rédaction : Pouvez-vous nous dresser un bref état des lieux en ce qui concerne les attaques et les exploits visant les réseaux et les hôtes, tels les vers, les chevaux de Troie et les virus ?

Monty Ijzerman : Les virus ont une moindre prévalence, mais le phishing et les chevaux de Troie transportant des programmes malveillants (malwares) gagnent du terrain. Selon l'Anti-Phishing Working Group (APWG), les sites de phishing ont connu une augmentation de 24 % de juillet à décembre 2004, avec plus de 1 700 sites de phishing actifs recensés en décembre 2004.

En outre, les menaces combinées alliant plusieurs types d'exploits n'ont cessé de se multiplier au cours de l'année écoulée. Par le passé, les programmes malveillants étaient envoyés par e-mail et s'exécutaient lorsqu'un utilisateur ouvrait une pièce jointe. Aujourd'hui, ils exploitent plusieurs vulnérabilités à la fois. Ainsi, si votre machine est protégée contre la vulnérabilité A, le programme tente sa chance avec les vulnérabilités B et C.

Par exemple, la cible initiale peut être le serveur de messagerie de l'entreprise. Une fois celui-ci compromis, l'attaque se poursuit. L'attaquant tente de s'infiltrer au-delà du périmètre réseau et, une fois arrivé à ses fins, il installe un robot (c.-à-d. un outil commandé à distance), qui commence à attaquer des machines de différents types. Ainsi, il peut passer d'un serveur de messagerie à un ordinateur de bureau avant de cibler à nouveau des serveurs web. Il est donc essentiel pour une entreprise de disposer d'un système de protection capable de faire face à une attaque combinée.

La rédaction : Vous attendez-vous à voir une nouvelle attaque « jour zéro » d'envergure en 2005 ?

Monty Ijzerman : Ces trois ou quatre dernières années, chaque année, un ver exploitant une vulnérabilité unique s'est propagé dans le monde entier. Il est plus que probable que nous connaîtrons au moins une attaque de ce genre cette année.

Lorsque ces vers sont apparus, les vulnérabilités sous-jacentes étaient connues de Microsoft et des patchs étaient disponibles. Toutefois, si les utilisateurs n'installent pas ces patchs, les vers peuvent se propager très facilement.

La rédaction : La situation s'améliore-t-elle ?

Monty Ijzerman : Les clients se sont mieux protégés contre les virus au cours du second semestre 2004. Les services informatiques sont plus rigoureux dans l'application des patchs de Microsoft, en synchronisant leurs processus internes avec le jour de publication de ceux-ci, traditionnellement le mardi.

Une menace en constante évolution

La rédaction : En quoi la menace actuelle a-t-elle changé Quels types d'attaques sont désormais les plus courantes ?

Monty Ijzerman : Les attaques par logiciels espions (spywares), logiciels publicitaires (adwares) et phishing sont les plus virulentes. Se protéger contre le phishing exige que les utilisateurs soient informés des dangers liés aux programmes potentiellement indésirables. En outre, il faut également disposer des outils adéquats pour esquiver la menace. Certaines de ces arnaques sont très sophistiquées. Même un utilisateur prudent peut télécharger accidentellement un logiciel indésirable ou être berné par un escroc.

Les types d'attaques changent également. A l'heure actuelle, la plupart des attaques s'effectuent par le biais de fichiers multimédias tels que
des fichiers WAV ou des images, par exemple au format GIF. Récemment, il a été révélé que les téléchargements de listes de lecture dans le lecteur Windows Media pouvaient masquer des attaques. Bonne nouvelle : désormais, McAfee® VirusScan® 8.0i
protège vos ordinateurs de bureau contre les programmes malveillants dissimulés dans les images ou les fichiers multimédias.

Ces attaques tentent de provoquer un dépassement de la capacité de mémoire tampon (Buffer Overflow). Lorsque cela se produit, les données sont écrites ailleurs dans la mémoire, et si l'attaquant s'y prend bien, un code malveillant peut être exécuté. McAfee Entercept® protège les systèmes hôtes et les serveurs contre l'exécution de programmes malveillants à la suite d'un Buffer Overflow et il détecte les attaques, y compris si elles sont de type « jour zéro ».

La rédaction : Qui crée le code des attaques ou lance celles-ci ? Les créateurs de vers sont-ils différents des auteurs de logiciels publicitaires (adwares) ou de logiciels espions (spywares) ?

Monty Ijzerman : Seuls les créateurs des vers Sasser et Blaster ont été appréhendés. La plupart des auteurs de virus restent inconnus. Il n'existe pratiquement pas de littérature sur la cybercriminalité organisée. Les auteurs de logiciels espions et de logiciels publicitaires ont principalement des motivations financières.

A l'aide leurs créations, ils installent sur votre ordinateur des logiciels dont vous ne souhaitez pas forcément la présence. Ceux-ci sont appelés « logiciels potentiellement indésirables ». Il arrive que vous voyiez apparaître un message dont vous ignorez la provenance et qui vous demande « Acceptez-vous d'installer ce logiciel ? ». Si vous cliquez sur « OK » par erreur, cela signifie que vous consentez à installer le programme en question. Cette pratique n'est pas illégale.

D'autres entreprises installent des logiciels espions et publicitaires de manière plus sournoise. Elles rusent pour exploiter de manière conjuguée les vulnérabilités de Microsoft Internet Explorer afin de transférer du code sur votre ordinateur. Ces logiciels sont considérés comme des « logiciels espions » (spywares) à partir du moment où ils s'installent sans votre consentement. Certains peuvent être inoffensifs, comme les pop-ups publicitaires par exemple ; d'autres par contre extraient des informations telles que des numéros de carte de crédit et sont donc très dangereux.

Pour vous protéger, vous devez exécuter un logiciel antispyware (anti-espion) comme McAfee AntiSpyware. McAfee AntiSpyware détecte et élimine les applications qui peuvent servir à dérober des informations d'identité, telles que les enregistreurs de frappe, les programmes de contrôle à distance et les pirates de navigateur. Il bloque également les programmes publicitaires qui activent ces fenêtres pop-ups agaçantes et consomment inutilement les ressources de votre système.

Un périmètre perméable

La rédaction : Une défense multiniveau est-elle suffisante pour lutter contre ces attaques ? Comment la protection des informations de l'entreprise évolue-t-elle à mesure que la notion de périmètre du réseau de l'entreprise perd de son sens ?

Monty Ijzerman : Le périmètre du réseau d'entreprise tel qu'il existait il y a dix ans n'est plus d'actualité. Les employés connectent leurs portables à leur domicile ou à des points d'accès dans les aéroports avant de ramener la machine dans l'entreprise — autant d'occasions où le périmètre peut être violé. Voilà pourquoi un système de défense multiniveau est infiniment plus efficace qu'une simple solution alliant pare-feu et antivirus.

Le plus important consiste à assurer le blocage des attaques. Pour ce faire, il est possible d'utiliser des systèmes de prévention des intrusions sur le réseau, comme McAfee IntruShield®, ou sur l'hôte, comme McAfee Entercept. Quand IntruShied est mis en oeuvre dans une entreprise, les programmes malveillants sont interceptés et bloqués au niveau du réseau. Si une attaque parvient à se frayer un chemin sur le réseau et tente une action sur le serveur, ou si une attaque est lancée en local, Entercept joue le rôle de rempart.

Les services informatiques des entreprises doivent analyser leurs systèmes à la recherche d'éventuelles vulnérabilités. De même, les responsables informatiques sont tenus de connaître parfaitement leur propre réseau ainsi que les applications qui tournent sur leurs serveurs et postes de travail. Ils doivent s'assurer que leurs systèmes sont dotés des patchs requis. McAfee Foundstone est l'une des meilleures solutions disponibles pour garantir l'exécution de toutes ces tâches. Ainsi, Foundstone permet aux responsables informatiques de mesurer en permanence et de protéger activement les précieux actifs de l'entreprise, leur laissant toute latitude pour concentrer leurs ressources limitées sur la protection des éléments les plus importants.

Les entreprises devraient également appliquer des politiques strictes en matière d'utilisation des ordinateurs. Veillez à ce que vos employés surfent sur Internet en toute sécurité. Chez McAfee, si je tente d'accéder à un site web douteux, la stratégie de sécurité mise en place au niveau de l'entreprise m'en empêchera. Je ne peux pas non plus installer de logiciels sur mon ordinateur de société.

Les entreprises doivent également mettre en place un processus d'intervention sur incident, de manière à pouvoir contenir les problèmes éventuels et les éliminer de manière sûre et systématique.

La rédaction : Quelles solutions les entreprises peuvent-elles adopter pour protéger leurs réseaux et systèmes ?

Monty Ijzerman : La meilleure stratégie consiste à mettre en place une défense multiniveau et à bloquer les attaques à mesure qu'elles se présentent. Choisissez un fournisseur qui offre une solution de sécurité complète, depuis l'antivirus et l'antispyware jusqu'aux systèmes de prévention des intrusions sur le réseau et sur l'hôte. Si vous multipliez les fournisseurs de solutions de sécurité, il vous est très difficile de contrôler l'efficacité globale de votre protection.

Ressources

Consultez la Démonstration sur les menaces chiffrées.