Reportage ESET : plongée dans la chasse aux virus

Pare-feuxRisquesSécuritéVirus
eset

ESET a ouvert à la presse son siège social de Bratislava (Slovaquie). Comment travaille l’éditeur de solutions de sécurité IT et pour quels objectifs ? (galerie photos)

Il est 14 heures ce vendredi à Bratislava. La neige s’abat sans discontinuer depuis l’aube. Dans les locaux d’ESET, on n’a d’yeux que pour le blizzard qui réduit presque à néant la visibilité à travers les baies vitrées.

« Je crois que c’est la première fois que le directeur autorise une partie du personnel à quitter le travail plus tôt pour raisons météorologiques », confie Branislav Ondrasik. Le responsable des relations presse pour l’éditeur slovaque détache son regard du paysage hivernal, rebouche sa bouteille de cola local et reprend son allocution.

« Nous sommes désormais plus de 1000 employés dans le monde, sans compter les partenaires […], mais nous gardons, de par notre fonctionnement même, l’esprit start-up ». Véritable exercice de style que de faire valoir le côté « familial » d’une entreprise qui s’est développée sur le plan international, avec des bureaux à San Diego, Buenos Aires ou encore Singapour.

La première impulsion est donnée en 1987-1988. Dans le cadre de leurs travaux sur la sécurité informatique, Peter Pasko et Miroslav Trnka se penchent sur le virus Vienna et ses multiples variantes capables d’infecter et de détruire des fichiers .com sur différents types de supports magnétiques.

A l’époque, la télévision tchécoslovaque diffuse en boucle la série Nemocnica na Okrai Mesta, littéralement L’Hôpital au Bout de la Ville. Les premiers virus attaquaient généralement les secteurs de démarrage, situés à l’extrémité physique des disques ; et les programmes servant à éliminer ces menaces pouvaient être considérés comme des « Nemocnica », c’est-à-dire des « Hôpitaux ». Aussi Peter Pasko et Miroslav Trnka décident-ils d’appeler leur programme « Nemocnica na Okraji Disku », en d’autres termes « Hôpital au bord du disque ».

L’acronyme NOD subsiste aujourd’hui à travers l’appellation NOD32, donnée au moteur d’analyse sur lequel se basent les solutions ESET, de l’anti-spyware à l’anti-phishing. Mais c’est bien la fonction antivirus qui a lancé l’activité de l’entreprise, officiellement créée en 1992 avec la fusion de deux sociétés privées.

Chasse aux virus

Les deux cofondateurs se sont éloignés du top management, mais font toujours partie des six copropriétaires d’ESET, aux côtés, entre autres, du CTO et du directeur R&D. « Aucun fonds d’investissement n’est entré au capital ; le démarrage s’est fait en ‘love money’ », assure Branislav Ondrasik.

N’étant pas soumise aux obligations des valeurs cotées en Bourse, l’entreprise reste discrète sur ses résultats. « Nous affichons 10 % de croissance sur l’année 2013 », annonce Branislav Ondrasik. Le chiffre d’affaires atteindrait donc environ 360 millions de dollars, à s’en fier aux données communiquées par le cabinet Gartner pour l’exercice précédent.

Au-delà du siège social, les locaux de Bratislava abritent un centre de recherche sur les menaces virales. On y trouve nombre de jeunes recrues, dont certaines repérées lors de leurs études secondaires. ESET a effectivement développé des partenariats avec les écoles et instituts techniques universitaires, aussi bien dans la capitale slovaque qu’à Prague (République tchèque) et Montréal (Canada).

Principale mission confiée à ces chercheurs : créer les signatures de virus – en d’autres termes, les « antidotes » – qui seront diffusées sur toutes les machines exploitant des solutions ESET. Les algorithmes jouent un rôle déterminant dans ce modèle de « protection proactive », mais « le facteur humain est très important, afin de couvrir la quantité maximale de virus avec le moins de signatures possible », comme l’explique Robert Lipovsky, chercheur en sécurité dans les laboratoires ESET de Bratislava.

L’analyse d’un échantillon et la création d’une signature peut prendre de quelques dizaines de secondes à plusieurs minutes en fonction de la nature des menaces, de la modification d’entrées système à l’ouverture de portes dérobées (backdoors). Se posent alors d’autres questions pratiques. L’une d’entre elles consiste à déterminer s’il est plus approprié de procéder à un nettoyage ou à une suppression des éléments infectés.

Débogage et reverse engineering

La base de signatures est mise à jour toutes les six heures en moyenne. La taille typique d’un update avoisine les 10 mégaoctets. Pour minimiser l’impact sur la bande passante, ESET exploite des signatures génériques, c’est-à-dire des ensembles de règles associées à de grandes familles d’échantillons viraux.

Les chercheurs pratiquent essentiellement le reverse engineering sur les souches virales. Chacun d’entre eux dispose de deux machines. La première est connectée au réseau interne sécurisé ; elle sert à la communication corporate. La seconde, baptisée « Replicator », est dédiée à l’analyse de malware.

En combinant des solutions propriétaires avec des outils gratuits comme IDA (désassembleur, débogueur) et WinDiff (comparateur de fichiers), les équipes d’ESET peuvent analyser la plupart des virus sans les exécuter. Elles découvrent en moyenne 300 000 nouveaux échantillons chaque jour, sans compter ceux que les utilisateurs peuvent envoyer via eset.com et ceux récupérés via des programmes d’échange comme VirusTotal.

« Tout n’est pas partagé : chaque éditeur a ses propres critères concernant ce qui doit ou non être détecté », affirme Robert Lipovsky, tout en pointant le doigt vers la « carte des menaces ». Cette installation murale composée de quatre écrans répertorie en temps réel les machines infectées dans le monde, les derniers virus découverts et les versions d’ESET installées. « La plupart de nos utilisateurs exploitent la dernière mouture disponible », constate Robert Lipovsky. Et de conclure : « La détection de malware n’est pas une science exacte ; il est primordial d’examiner les grandes tendances ».

Une menace polymorphe

Des tendances qui se reflètent notamment dans les grandes opérations cybercriminelles. Illustration avec cette campagne baptisée Windigo et qui a démarré, à l’automne 2011, par une attaque contre le site Web kernel.org, via le malware Linux/Ebury.

Principal objectif : intercepter le trafic SSH côté serveur pour acheminer les visiteurs vers du contenu malicieux. Aussi bien dans l’optique d’infecter des PC pour y télécharger davantage de virus que de rediriger vers des réseaux publicitaires (fraude au clic) ou de diffuser du spam par le biais de scripts Perl.

Sur les 25 000 serveurs touchés ces deux dernières années, 10 000 n’auraient pas encore été nettoyés, d’après les informations collectées en partenariat avec des organismes comme le CERN et le groupe Internet russe Yandex. Il est également question de 35 millions de mails indésirables envoyés chaque jour, pour 500 000 redirections vers des « exploits ».

Ces derniers temps, l’attention d’ESET s’est aussi portée sur les rançongiciels (ransomware), ces logiciels malicieux qui condamnent l’accès à des fichiers, voire à des appareils jusqu’à ce que l’utilisateur paie une rançon. Pour tromper leurs victimes, les pirates exploitent principalement le levier du hameçonnage (phishing), à travers des pièces jointes d’apparence anodine, mais en fait conçues pour exploiter des failles dans les principaux logiciels du marché.

Parmi tous les rançongiciels passés au crible figure VirLock, un virus « parasite » qui cible tous les fichiers d’une certaine extension pour s’y infiltrer… et de manière polymorphe : chaque instance a en l’occurrence son propre code pour rendre la détection plus difficile.

Sur Android, on peut citer Simplocker, qui, pour se rendre plus crédible, se fait passer pour les autorités en utilisant le nom et la photo de l’utilisateur. Principal vecteur d’infection : les kiosques d’applications alternatifs. Même constat pour les arnaques aux SMS surtaxés, avec par exemple Samsapo, qui apparaît comme un utilitaire système, mais sans interface graphique. Capable de télécharger d’autres virus, il peut aussi voler des données personnelles, bloquer des appels… et modifier les alarmes.

Sus aux APT

Pour Branislav Ondrasik, la sécurité informatique s’apparente à « une chasse perpétuelle entre chat et souris » : les pirates adaptent de plus en plus rapidement leur stratégie à l’évolution des techniques de défense. Illustration avec MSIL/Agent.PYO. Codé en C#, ce malware a élu domicile sur un site Internet permettant de demander des visas pour la Pologne. Destiné à alimenter un botnet (réseau d’ordinateurs « zombies »), il est spécialement conçu pour contourner les mesures « classiques » que les autorités seraient susceptibles d’adopter pour s’en protéger.

Le tour d’horizon se termine avec les menaces persistantes (APT, pour « Advanced Persistent Threats »). Il est souvent difficile de remonter à leur source et plus encore de cerner les motivations de ceux qui en sont à l’origine. Les diplomates figurent en bonne position sur la liste des cibles privilégiées. Si bien que les vecteurs d’infection sont souvent des documents texte piégés contenant des informations géostratégiques… mais déclenchant aussi l’exécution d’un script qui exploite des failles dans les principaux logiciels du marché (Flash, Java…).

Selon Palo Luka (CTO d’ESET), les APT peuvent subsister des mois, voire des années avant d’être détectées. Souvent repérées par hasard au cours d’audits ou d’investigations sur des incidents de sécurité, elles sont l’une des nombreuses menaces à s’être généralisées avec l’avènement d’Internet.

« En quelque sorte, il s’est passé la même chose qu’au début du millénaire, quand on a commencé à voir émerger de nouvelles familles de virus avec l’essor de l’informatique personnelle», explique Palo Luka. Et d’ajouter : « Avec tous ces vecteurs d’attaque, les hackers sont devenus plus agiles ». Ils se sont surtout organisés en studios indépendants qui recherchent des failles en pratiquant le reverse engineering sur les correctifs de sécurité. Les vulnérabilités qu’ils découvrent peuvent se monnayer à plus de 100 000 dollars sur le marché noir.

Pédagogie sur tous les plans

L’équation est complexifiée par l’Internet des objets, « un énorme challenge » d’après Palo Luka. Sur ce point, ESET partage l’avis d’autres éditeurs antivirus : les constructeurs ont tendance à éluder la sécurité au profit de l’innovation. Pour le moment, faute de solutions de protection ad hoc, « la stratégie doit se porter sur l’utilisateur ». Et l’approche pédagogique doit viser large, en abordant aussi bien la gestion des mots de passe et des identités numériques que l’isolation des appareils et applications critiques sur un réseau à part.

ESET traite régulièrement ces problématiques sur son blog We Live Security, tenu par des experts du secteur. L’éducation du grand public est effectivement une priorité pour l’éditeur slovaque. Mais le conseil aux entreprises l’est tout autant. Les partenaires distributeurs jouent un rôle déterminant pour assurer le relais au niveau local.

En France, c’est la société Athena Global Services – grossiste de solutions logicielles de sécurité – qui gère les opérations. Elle est régulièrement accompagnée à travers des formations et des Web-séminaires pour maîtriser l’installation, le déploiement, la migration, le paramétrage, la gestion et la supervision des solutions ESET.

Avec la dernière version de ses produits (v8) lancée en octobre 2014, l’éditeur a instauré un système de licence unique qui permet de déployer des briques sur un large éventail de systèmes d’exploitation au sein du réseau d’entreprise. Une refonte majeure de la console d’administration, fruit de « quatre ans de développement », est prévue pour fin février, avec un objectif : « se rapprocher des responsables IT ».

ESET n’en dit toutefois pas plus : on en reste aux nouveautés introduites à l’automne, dont une protection contre les botnets, un scanner de réseaux sociaux, ainsi qu’un bloqueur d’attaques issues du Web et visant des applications critiques (navigateurs Web, visionneuses PDF, composantes Java). Une sorte d’extension du pare-feu sur les plates-formes desktop.

Clients et serveurs

L’offre de base, baptisée Endpoint Antivirus, permet de protéger les postes de travail Windows (2000, XP, Vista, 7, 8) et les serveurs (2000, 2003, 2008, 2008 R2). On retrouve les fonctionnalités classiques des antivirus nouvelle génération, comme le contrôle de réputation des exécutables via une base de données cloud, l’équilibrage des tâches pour éviter la surcharge réseau et la définition de seuils critiques déclenchant des notifications.

Pour les entreprises, il existe une option de mise à jour via un serveur miroir local. ESET fournit également un service facilitant le retour à des bases antérieures de virus ou à d’anciennes versions de modules en cas de problèmes de compatibilité. La définition de règles pour détecter les menaces en fonction du comportement du système peut s’appliquer aux bases de registres, aux processus, aux applications et aux fichiers.

Endpoint Security constitue un complément à l’antivirus avec, pour les postes clients, un outil de filtrage Web, un pare-feu et un antispam. Les terminaux Android, Windows Mobile et Symbian sont couverts par l’offre Mobile Security. Au menu, localisation et effacement d’appareils à distance par SMS, détection de SIM non autorisées ou encore protection contre les désinstallations non souhaitées.

L’antivirus est également disponible sur Mac (OS X 10.5 et toutes les versions ultérieures) et Linux (avec la possibilité de créer un paquet d’installation RPM préconfiguré ; requiert a minima un kernel 2.6). « Il est important de ne pas négliger la sécurité de ces machines, qui peuvent servir de passerelles pour attaquer des postes Windows« , souligne Palo Luka.

En parlant de passerelles, ESET protège celles qui gèrent le trafic HTTP et FTP avec le module Gateway Security. La protection de serveurs de fichiers (Windows, Linux, BSD, Solaris) est assurée avec File Security. Pour les serveurs de messagerie (Exchange, mais aussi Lotus Domino et Kerio), il faut se tourner vers Mail Security ; pour les environnements SharePoint, vers ESET Collaboration.

Secure Authentication constitue une brique à part. Il s’agit d’une solution d’authentification forte destinée à sécuriser les accès distants. Nativement compatible avec Outlook Web Access pour Exchange 2007, 2010 et 2013, elle est utilisable avec des VPN et intégrable à des systèmes d’annuaires comme Active Directory. La compatibilité s’étend à iOS (version 4.3 et ultérieures), Android (à partir de la v2.1), Windows Phone (7/8), Windows Mobile 6, BlackBerry OS (4.3 à 7.1 et 10) et Symbian.

Galerie photos : locaux et du centre R&D d’ESET à Bratislava.

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur