Laurent Heslault (Symantec) : « La sécurité basée sur la réputation répond à la micro-distribution de malwares »
L’éditeur de solutions de sécurité IT, leader mondial, revient sur les attaques ciblées par mail infecté qui a touché Bercy et sur les solutions pour parer à ce danger.
L’affaire d’espionnage, qui a démarré avec l’intrusion de pirates dans les serveurs du ministère de l’Economie, des Finances et de l’Industrie donne du grain à moudre à Symantec.
L’éditeur de solutions de sécurité IT, leader mondial sur son segment de marché, reconnaît qu’au regard du type d’assaut repéré à Bercy, l’approche d’une simple protection anti-virus ne suffit pas.
Symantec préconise une détection des malwares qui prend en compte leurs spécificités et leurs configurations uniques : la technologie de « réputation » qui sera prochainement intégrée dans sa gamme de solutions professionnelles.
Interview de Laurent Heslault, Directeur des technologies de sécurité chez Symantec (09/03/11).
ITespresso.fr : Dans quelle mesure Symantec a caractérisé le type d’attaque qui a affecté Bercy ?
Laurent Heslault : On peut cerner quatre phases. Primo, l’incursion ou l’intrusion. L’objectif étant d’introduire un logiciel malveillant dans le système visé. Il faut que le mail-leurre soit plausible avec un sujet pertinent, en provenance d’une personne de confiance. On a vu des choses comme cela au cours du Forum de Davos avec des mails issus de proches collaborateurs de dirigeants. « Dans la pièce jointe, votre agenda pour demain ». Difficile de ne pas cliquer. C’est bien fait en termes d’ingénierie sociale. On introduit souvent un malware par le biais d’un PDF en pièce jointe. C’est pas confirmé dans le cadre de l’attaque de Bercy. Les pirates établissent ensuite une vraie cartographie du système : ils regardent ce qu’il y a en accès local dans les serveurs et la messagerie. La phase 3 correspond à la capture des documents : « je prend des documents existants » et/ou « j’introduis des Advanced Persistent Threats ». Ce sont des gros spywares qui enregistrent tout ce que la personne visée tape sur son clavier, envoie ou imprime via son ordinateur. Hors de la France, on a même vu dans un cas similaire que le microphone de la machine était activé pour enregistrer les entretiens. Reste la phase 4 : l’exfiltration des données de manière discrète. Dans le cas de Bercy, ce serait associé à du flooding. On bourre un serveur de données, en mélangeant du faux et du vrai pour brouiller les pistes. Du coup, cela donne trop de travail pour trier du grain de l’ivraie. On peut aussi remarquer des similitudes avec l’attaque survenue au Canada lorsque ce pays présidait le G20. Elle visait les même types de documents portant sur ce forum international.
(lire la fin de l’interview page 2) : Les outils anti-virus inefficaces ? Quelle(s) parade(s) ?