DEFERLANTE. Le 19 juillet 2001, Code Red infectait 250000 ordinateurs en l'espace de 9 heures. Quelque temps après, c'était au tour de Nimda. Puis, cette année, du virus Klez, qui se propage par la messagerie.

1. l AC T UA L I T E S
Attaques informatiques
Antivirus : une
technologie obsolète?
DEFERLANTE. Le 19 juillet 2001, Code Red infectait 250 000
ordinateurs en l’espace de 9 heures. Quelque temps après,
c’était au tour de Nimda. Puis, cette année, du virus Klez,
qui se propage par la messagerie.
trouve de nouvelles vulnérabi- Les antivirus traditionnels
lités sur les systèmes informa- L’approche classique pour se
tiques. On assiste surtout à un défendre contre les virus con-
véritable changement du siste à mettre en place toute une
paysage des attaques informa- série d’outils pour protéger les
tiques. La communauté des biens informatiques. Générale-
«hackers» ou «black hats» est ment, tous les postes de travail
en pleine progression. Elle – et les serveurs – sont équipés
dispose d’une mine d’informa- d’un antivirus (AV) récent. La
tions, par le biais de sites inter- mise à jour des signatures est
net, de revues, de conférences effectuée de manière régulière.
(Defcon, etc.), d’écoles. Elle La passerelle de messagerie
est de mieux en mieux organi- analyse les messages entrant et
sée. sortant, ainsi qu’éventuelle-
Les attaques sont de plus en ment, les flux HTTP et FTP.
plus sophistiquées. Mais, para- Toutes ces mesures sont bien
doxalement, les outils pour les évidemment nécessaires.
mener sont de plus en plus
simples à utiliser. Des hackers Les limites
en herbe (les «script kiddies») de l’approche actuelle
peuvent s’en servir sans pour Les antivirus actuels fonction-
autant avoir de connaissances nent selon une approche par
pointues en informatique. Et signature. Chaque virus est
A
Attention! Les virus sont u cours de ces 24 der- les pertes pour les entreprises identifié par une signature
de plus en plus nombreux niers mois, tout un cha- se chiffrent en millions de unique et il est répertorié
et malins. cun a pu se rendre comp- francs. comme tel. Pour détecter un
te des ravages que les attaques Il existe un grand nombre virus, l’AV parcourt les
informatiques peuvent causer d’attaques informatiques, fichiers, les messages, les flux
aux entreprises, ainsi qu’aux mais, dans cet article, nous FTP et HTTP. Il cherche ainsi à
particuliers. Il ne passe pas un allons nous concentrer plus identifier une signature listée
jour sans qu’un nouveau virus particulièrement sur les virus dans sa base de données. Il
soit découvert. Sans que l’on au sens large du terme. devient dès lors crucial de
e-Xpert Solutions SA
Au bénéfice d’une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions SA
propose à sa clientèle des solutions «clé en mains» dans le domaine de la sécurité informatique des
réseaux et des applications. Des solutions qui vont de la sécurité d’architecture – tel le firewall, VPN,
IDS, FIA, le contrôle de contenu, l’antivirus – aux solutions plus avant-gardistes comme la prévention
des intrusions (approche comportementale), l’authentification forte, la biométrie, les architectures PKI
ou encore la sécurisation des OS Unix et Microsoft et des postes clients (firewall personnel).
36 l 10/02

2. l AC T UA L I T E S
mettre à jour régulièrement sées de plus en plus sur Inter- • accès aux périphériques net et peuvent ainsi surfer sur le
cette base de données. net. Dans certains cas, il peut machines (CD-Rom, USB, Web. Il devient dès lors vital de
Le logiciel antivirus est mis être difficile, voire impossible, carte réseau, etc.); les protéger contre les
à jour quasiment en temps réel. de les mettre à jour. Les raisons • modification des paramètres nouvelles attaques et notam-
Cette méthode, basée sur les peuvent en être multiples: satu- système; ment contre les «backdoors» et
signatures, n’en pose pas moins ration du réseau Internet, satu- • initialisation de la communi- autres virus.
plusieurs problèmes. ration de l’éditeur AV, attaques cation réseau; Il existe des solutions pour
Malgré les mises à jour de type déni de services. • exécution de scripts malicieux sécuriser ces postes. Elles utili-
rapides (côté client), un certain (code mobile); sent la technologie comporte-
temps est nécessaire aux Comment stopper • prévention contre les «Buffer mentale et sont généralement
éditeurs d’AVpour analyser les les attaques inconnues? Overflow» (BoF). couplées à un «firewall» per-
nouveaux virus et actualiser Entre l’apparition de nouveaux Cette méthode nécessite un sonnel. Pour la mise en œuvre
leurs bases de données. Ce virus et la mise à jour des signa- «apprentissage» préalable afin de telles solutions dans le cadre
délai peut être trop long dans tures, il existe un fossé tempo- de connaître le comportement d’une entreprise, il est impor-
certains cas. Les statistiques rel. La tendance montre que ce dit «normal» de la machine. tant de ne pas négliger la
montrent en effet une forte fossé va devenir de plus en plus Une fois ce comportement gestion centralisée de ces logi-
tendance à la propagation très grand. Pour résoudre ce problè- appris, le système est opéra- ciels.
rapide des virus. Cette propa- me, une approche intéressante tionnel et permet de protéger
gation est directement liée à est l’analyse comportementale. les machines de façon très effi- Vers des solutions
l’utilisation des e-mails et des Cette technologie fait partie de cace. d’analyse
services internet. Il devient la famille des outils de préven- du comportement
alors de plus en plus difficile tion d’intrusions. L’idée de Où installer ces logiciels? Il ne fait plus de doutes que les
pour les éditeurs d’AV d’assu- base est de mettre en œuvre une Pour la mise en œuvre de ces attaques informatiques sont de
rer, à temps, une mise à jour des solution capable de détecter et solutions, je recommanderai plus en plus efficaces et viru-
bases de données. de stopper les attaques incon- deux axes : la sécurisation des lentes. Les solutions antivirus
Le deuxième problème est nues. serveurs et la sécurisation des ne sont, à mon avis, plus suffi-
que cette méthode ne permet postes clients santes pour assurer la protec-
pas de détecter les virus incon- L’approche tion des biens informatiques.
nus. A savoir, les virus non comportementale Sécurisation des serveurs Cela ne veut pas dire qu’il ne
répertoriés dans la base de L’approche comportementale Les infrastructures serveurs faut plus y avoir recours. Je
données. Or, il existe des outils consiste à analyser, en temps d’une entreprise sont des pense toutefois qu’il est et qu’il
extrêmement simples et effi- réel, les applications et le systè- éléments très importants. Pour sera désormais plus important,
caces pour générer des virus. me d’exploitation. L’idée est de garantir leur intégrité et leur pour faire face aux nouvelles
Ceux-ci sont donc à la portée détecter le comportement mali- disponibilité, l’installation de menaces, de se diriger vers des
des non-spécialistes et sont cieux d’un programme : par logiciels d’analyse comporte- solutions d’analyse du compor-
d’une facilité d’utilisation exemple, le web serveur IIS mentale est une solution très tement. Ces outils sont complé-
impressionnante. Il est essayant d’accéder à des intéressante. Dans un premier mentaires aux antivirus. l
possible, avec ces outils, de fichiers système sensibles. Ce temps, il peut être intéressant de
choisir son mode de propaga- comportement est alors bloqué protéger les serveurs les plus Sylvain Maret
tion, l’action que doit effectuer par le logiciel de protection. sensibles, comme les frontaux Directeur veille
le virus lorsqu’il atteint sa cible Ces systèmes sont générale- de la DMZ ou les serveurs technologique
(comme installer une «back- ment capables de prévenir les internes (ERP, DB, applica-
door»), etc. Les possibilités actions suivantes : tions financières, etc.). Contact
sont pratiquement illimitées et • ouverture, visualisation, e-Xpert Solutions SA
ouvrent la porte à de nouvelles modification ou effacement Sécurisation Route de Pré-Marais 29
formes d’attaques. de fichiers; des postes clients 1233 Bernex (GE)
Un autre problème est la mise • tentative de formatage des La plupart des postes clients ont Tél : +41 22 727 05 55
à jour des bases online, réali- disques; un accès à la messagerie inter- info@e-xpertsolutions.com
10/02 l 37