Au-delà de l’antivirus

La protection de la propriété intelligente n’en devient que plus complexe. Plusieurs entreprises spécialisées en sécurité se sont penchées sur la question.

Le champ de bataille de la criminalité moderne s’est largement déplacé vers l’Internet, estime Chris Phillips, expert en antiterrorisme chez Ipsso. ” Le crime évolue. On voit désormais toujours moins de cambriolages et moins de vols de voitures. Car une grande partie des vols se font en ligne. C’est en effet beaucoup moins risqué. ” En l’occurrence, il n’évoque pas uniquement les risques physiques d’une attaque de banque par exemple, mais aussi la difficulté d’arrêter les coupables. ” L’Internet n’a pas de frontières. Un pirate installé en Lituanie peut très bien chercher à pénétrer vos serveurs au départ du Kazakhstan. Imaginez la difficulté à traîner ces personnes devant la justice ! “

Le modèle business du rançongiciel

A en croire donc Phillips, mais également la plupart des experts en sécurité que nous avons rencontrés, le cybercrime n’est désormais plus un simple loisir de génies du script, mais un véritable business. ” Il existe différentes raisons pour lesquelles un rançongiciel par exemple est maintenant à ce point évident, ajoute Frederik Van Den Hof, channel systens engineer pour la société de sécurité Palo Alto Networks. Tout d’abord, il s’agit d’un modèle business éprouvé. Ainsi, il est possible de gagner de l’ordre de 325 millions $ par an pour une campagne de malware. C’est à tel point que certaines entreprises ont entre-temps mis en place des helpdesks pour aider leurs ‘clients’ à constituer un portefeuille de bitcoins. En Russie notamment, on trouve des organisations qui opèrent comme de véritables sociétés. Leur objectif est de devancer le marché et de concevoir de nouveaux rançongiciels avant que ceux-ci ne soient découverts et combattus. “

Cette professionnalisation du cybercrime implique que l’on se retrouve avec des équipes spécialisées des deux côtés de la barrière : les entreprises de sécurité essaient de combler les brèches le plus rapidement possible et de trouver des réponses aux nouveaux virus et malwares, tandis que les cybercriminels s’efforcent d’écrire du nouveau code et appliquent leurs propres recettes pour déceler des failles et les exploiter. Il s’agit d’une course à l’armement, avec des malwares comme armes. Sachant que l’objectif final est le ROI, précise Rick McElroy, security strategist auprès du spécialiste de la sécurité Carbon Black. ” Certaines personnes utilisent le rançongiciel pour payer leur loyer. C’est une approche différente de celle des pirates qui en veulent à votre entreprise pour une quelconque raison. Pour ces pirates, c’est le ROI qui compte. Ils veulent contaminer un maximum d’ordinateurs pour gagner un maximum d’argent. ”

Et comme l’objectif est de gagner de l’argent, ce ne sont désormais plus – et de loin – les individus et les pouvoirs publics qui constituent la cible privilégiée. ” Désormais, les pirates s’attaquent aussi aux entreprises. C’est ainsi qu’on trouve des rançongiciels qui ciblent le cryptage de documents de bureau ou de bases de données “, relève Frederik Van Den Hof, qui ajoute dans la foulée que ces rançongiciels ne représentent pas le danger majeur. ” En soi, le ransomware est surtout un symptôme de manque de sécurité. Souvent, ce sont des attaques triviales mais lancées à grande échelle. Le rançongiciel est la preuve d’un problème, mais montre surtout que le système est faillible. Les pirates peuvent tout aussi bien dérober des données personnelles, voler des informations, etc. Vous ne savez jamais ce qui a été volé. ”

Le cycle du malware

Compte tenu de ce bras de fer en matière de vulnérabilités et de la rapidité d’échange d’outils de piratages sur des plates-formes louches comme le dark Web, l’efficacité de logiciels antivirus et antimalware ‘traditionnels’ s’en trouve menacée, note encore Frederik Van Den Hof. ” Les antivirus classiques sont basés sur des signatures. Ils vérifient la présence d’un virus dans un fichier téléchargé. Mais s’il n’existe pas de signature pour ce virus, le fichier est simplement accepté comme tel. ”

Ce système de ‘listes blanches’ est moins performant dans un monde où les attaques se modifient extrêmement rapidement. Lorsqu’une faille est détectée (une vulnérabilité dite ‘zero day’) par l’un des acteurs, le défi consiste d’une part à en retirer un maximum d’argent en infectant le plus grand nombre possible d’ordinateurs et, d’autre part, à l’intégrer au plus vite dans les bases de données des grands services de sécurité. Or la lutte est très inégale. ” Dès qu’un nouveau malware est lancé, on constate de très nombreuses infections. En général, une signature apparaît pour les programmes de sécurité, tandis que l’URL qui a diffusé l’infection est bloquée, indique Frederik Van Den Hof. Or les auteurs de malware savent très bien que les mécanismes de sécurité fonctionnent selon ce principe et écrivent donc des malware qui changent pratiquement chaque jour. Sur le plan fonctionnel, le code agit toujours de la même manière, mais les virus ne sont plus automatiquement reconnus du fait de ces petites adaptations. D’où le défi pour les solutions traditionnelles en sécurité de contrer ces attaques. ”

Certes, il s’agit là d’un discours que tiennent surtout les éditeurs d’antivirus alternatifs. Reste qu’il y a là une part de vérité. D’ailleurs, les éditeurs d’antivirus ‘classiques’ évoluent également. Des progiciels comme McAfee s’appuient entre-temps sur un large éventail de filtres, qu’il s’agisse d’un parefeu capable de dialoguer avec un antivirus ou d’un système de gestion de réputation en passant par de la détection en temps réel de l’ensemble des points finaux sur un réseau d’entreprise. Pourtant, ces solutions ne vont pas assez loin aux dires des fournisseurs d’antivirus alternatifs.

Un salon comme le CeBIT a fait la part belle à ces spécialistes alternatifs en sécurité. Des entreprises qui, plutôt que de se lancer dans cette course contre la montre, préfèrent rechercher une manière plus proactive de contrer rapidement les pirates. Des services tels que Fox-IT, Palo Alto Networks, Carbon Black et de petits acteurs comme Avecto cherchent de nouveaux moyens de sécuriser les points finaux ou utilisent l’apprentissage machine ou une connaissance approfondie du modus operandi des malwares pour détecter le code malveillant, même si celui-ci a franchi la barrière du parefeu. Au lieu de se limiter à retenir les virus et malwares à leur entrée, ces systèmes regardent le fonctionnement du code et essaient de le bloquer avant qu’il n’agisse. ” Non pas que les antivirus traditionnels soient de mauvais produits, c’est une question d’architecture qui n’est plus suffisante. Aux débuts de l’Internet, cela fonctionnait encore, mais plus maintenant “, résume Jessie Harris, systems engineer chez Carbon Black.

Au-delà de l’antivirus

Comment cette ‘nouvelle génération’ fonctionne-t-elle donc ? ” Le Traps de Palo Alto n’analyse pas le fichier lui-même, mais le processus entre le système d’exploitation et le fichier “, poursuit Frederik Van Den Hof. Ainsi, si vous avez téléchargé un PDF infecté, il observera ce que celui-ci essaie de faire. ” Le produit endpoint de Palo Alto Networks part du principe qu’il n’y a que peu de manières d’atteindre son but avec un malware. Le logiciel est dès lors une succession de 28 outils ‘d’exploit prevention’. Van Den Hof : ” Si l’on analyse les exploits [les méthodes pour pénétrer un ordinateur à l’aide de code, NDLR], on voit constamment arriver de nouvelles manières. Mais sur le plan fonctionnel, ces méthodes sont identiques. C’est ainsi qu’elles font pratiquement toutes appel aux mêmes techniques de base. Dès lors, écrire un nouvel exploit revient à créer simplement un script qui combine plusieurs des techniques connues. Mais pour concevoir une technique complètement nouvelle, il faut pratiquement une thèse de doctorat. ”

Le chasseur et le braconnier

Carbon Black utilise une méthode similaire, mais y ajoute l’apprentissage machine. ” Nous examinons l’activité de vos ordinateurs, explique Rick McElroy de Carbon Black. Et nous en retirons les métadonnées intéressantes en sécurité. Il ne s’agit pas de mots de passe ou de numéros de cartes de crédit, mais du contexte dans lequel évoluent les fichiers. ”

Baptisée Cb Endpoint Security, la solution de Carbon Black tourne en principe dans le cloud. Les données collectées sont traitées et comparées dans le cloud, tandis que les processus ‘bizarres’ sont particulièrement surveillés jusqu’au moment où ils deviennent anormaux. ” C’est le principe de ‘l’event stream processing’, explique encore McElroy. C’est ainsi qu’une banque sait directement lorsqu’un paiement frauduleux est réalisé avec une carte. ” Le logiciel fonctionne de la même manière au niveau des processus informatiques, note encore McElroy, et est également efficace pour ce que Carbon Black appelle les ‘fileless attacks’, à savoir des attaques qui n’installent pas d’abord un fichier sur l’ordinateur, comme c’est le cas des malwares traditionnels. Il s’agit là du cheval de bataille de ce spécialiste en sécurité. ” Imaginez qu’un utilisateur surfe vers une page Web ou ouvre une vidéo Flash. C’est très fréquent. Il est impossible d’empêcher des utilisateurs de le faire, même si nous essayons depuis 30 ans. Dans ce cas,Flash se comporte bizarrement : au lieu de jouer la vidéo, il envoie du code DLL vers la mémoire et active un PowerShell. C’est ce qui nous fait réagir. ”

Ce PowerShell, explique encore Jessie Harris lors d’une démo, est un programme souvent utilisé par les administrateurs de systèmes dans les grandes entreprises. ” C’est pourquoi nous ne le bloquons pas d’emblée. La menace ne devient réelle que lorsque ce PowerShell est utilisé pour injecter du code dans WordPad. Il s’agit là d’une méthode évidente pour dissimuler une attaque car il n’y a aucune raison pour qu’un sysadmin le fasse puisqu’il peut simplement lancer son code. ” Au final, ces éditeurs cherchent à sécuriser leurs clients en s’appuyant surtout sur une connaissance approfondie des méthodes de piratage ainsi que du fonctionnement des ordinateurs. Reste évidemment que la partie adverse ne demeure jamais les bras croisés…