Guillaume Lovet (Fortinet) : « Le plus difficile à cerner : l’attaque ciblée à partir d’un programme inconnu »

Cloud

Fortinet, qui a soufflé dix bougies en octobre 2010, fait partie des éditeurs qui disposent d’une longue expérience en termes de connaissances sur l’évolution des menaces. Interview avec l’un de ses chercheurs-experts.

ITespresso.fr : Pouvez-vous mieux protéger les entreprises qu’il y a dix ans ?
Guillaume Lovet : La réponse la moins marketing que je peux apporter, c’est que la tâche est plus compliquée qu’il y a dix ans. A l’époque, il y avait peu de virus. Par conséquent, on pouvait les analyser de manière humaine. Maintenant, on reçoit 8 Go d’échantillons de virus par semaine. Le rythme de création est trop élevé pour que nous puissions les analyser un par un à la main. Une grande partie des malwares est analysée de manière automatique. Avec une telle volumétrie, tous les éditeurs ont changé de processus pour le traitement.

Les malwares les plus virulents sont les plus faciles à détecter car ils se propagent vite. Les risques rapides d’infection mondiales sont repérées rapidement. Le plus difficile à cerner, c’est l’attaque ciblée à partir d’un programme que l’on ne connaît pas. L’analyse comportementale et le mode heuristique nous aide beaucoup à ce moment-là. Nous pouvons également jouer sur les différentes couches de sécurité au sein d’une entreprise (IPS, anti-spam, filtrage…) pour palier aux éventuelles lacunes de détection à un niveau donné.

ITespresso.fr : Dans quelle mesure l’essor des terminaux mobiles (smartphones) ou nomades (tablettes) constituent un nouvel horizon pour la sécurité IT ?
Guillaume Lovet : On trouve désormais autant de PC que de smartphones dans le monde. D’un point de vue usages, on fait désormais la même chose sur un smartphone que sur un PC. Il existe néanmoins une grande différence : un smartphone dispose d’un système de paiement intégré (les numéros surtaxés). Monétiser un PC infecté, c’est pas direct et les business models sont parfois compliqués (affiliation, fraude aux clics, botnets, spam…). Sur le smartphone, c’est beaucoup plus simple. On émet des SMS vers des numéros surtaxés. C’est sans doute plus facile et peut-être plus traçable (quoique…). En France, l’impact est mineur mais on en trouve beaucoup en Chine et en Russie.

Je n’ose plus prédire un essor des malwares sur les terminaux mobiles parce qu’on le dit depuis quatre ans et cela n’arrive pas. Cela n’arrivera pas en 2011. Mais, quand la vague arrivera, ça va faire mal. Il n’y a pas encore de vrais botnets sur mobile. On a eu « XS » qui se rapprochait de cette approche mais on peut considérer qu’il s’agissait juste d’une expérimentation réalisée par des cyber-criminels.

ITespresso.fr : Que pensez-vous de la sécurité dans l’environnement cloud ?
Guillaume Lovet : Ce n’est pas mon domaine d’expertise directe. C’est la cyber-criminalité. De mon point de vue personnel, je ne crois pas énormément à la sécurité dans le cloud. Je crois que les éditeurs de sécurité IT eux-même n’y croient pas. Je vois cela davantage comme une problématique de marketing. Même si Fortinet propose les deux types d’offres (hébergement sur site et cloud), je ne considère pas que le cloud va manger une grande part du gâteau de la sécurité high-tech.

Sécurité IT : Les 10 menaces les plus marquantes de ces 10 dernières années
2000: le ver I LOVE YOU
I LOVE YOU infecte des dizaines de millions d’ordinateurs, causant des dommages estimés entre 5 et 10 milliards de dollars dans les entreprises du monde entier (en bonne partie, dus aux frais de « nettoyage » des machines infectées).
Comment ? En se présentant sous la forme d’un e-mail dont l’objet est « I love you », ce vers infecte la machine de l’utilisateur qui a le malheur d’ouvrir la pièce jointe.

2001: le ver Code Red
, Code Red s’attaque aux serveurs web. Ainsi, il se propage en exploitant automatiquement une faille dans les serveurs Microsoft IIS. En moins d’une semaine, près de 400 000 serveurs sont ainsi infectés, et la page d’accueil des sites web qu’ils hébergent remplacée par un gracieux « Hacked By Chinese! ».

2003: le ver SQL Slammer

Contrairement à Code Red, ce ver n’a d’autre but que de se propager – ce qu’il fait en exploitant une faille dans les serveurs SQL Microsoft. Sa simplicité et sa petite taille le rendent extrêmement virulent: En moins de 10 minutes, 75 000 serveurs SQL sont infectés.

2003 : Blaster
Comme SQL Slammer et Code Red, le ver Blaster se propage sans l’aide de quiconque : il exploite une faille dans Microsoft Windows pour se propager de machine en machine. Plusieurs  centaines de milliers d’utilisateurs sont infectés, sans le savoir… jusqu’à ce que leur ordinateur s’éteigne toutes les 60 secondes.

2004 : Sasser
Sasser fut un ver « à la Blaster » particulièrement virulent ; pour la première fois, des systèmes dont la nature n’est en principe pas liée à Internet (et qui existaient d’ailleurs avant ce dernier) sont sévèrement impactés. Plus d’un million de systèmes sont infectés, les communications satellites de l’AFP sont interrompues pendant des heures, Delta Airlines est contrainte d’annuler des vols, les gardes côtes britanniques sont contraints de ressortir leurs cartes papier, et un hôpital doit rediriger ses urgences, le service radiologie étant paralysé par le virus.

2005: le basculement MyTob
En 2005 apparait MyTob, un des premiers vers à combiner les fonctionnalités d’un Bot (les fameux « Zombies », contrôlés à distance par un Botmaster) et d’un mass-mailer. On entre dans l’ère des Botnets… et de la cybercriminalité.


2007: le botnet Storm

Storm, en implémentant une architecture peer-to-peer, devient le premier Botnet au commandement décentralisé… Il est donc beaucoup plus robuste. Entre 1 et 50 millions de systèmes infectés, Storm représente jusqu’a 8% de tous les virus dans le monde au pic de l’épidémie.

2008: Koobface
Koobface (anagramme de Facebook) fut le premier botnet à recruter ses ordinateurs Zombies via de multiples réseaux sociaux (Facebook, MySpace, hi5, Bebo, Friendster, etc…).  Sa technique de propagation est particulièrement efficace: il se fait passer pour l’utilisateur infecté sur les réseaux sociaux, incitant ses amis à installer une mise à jour de leur player flash, afin de pouvoir visionner une vidéo. La mise à jour n’est bien évidemment qu’une copie du virus.

2009 : Le botnet Conficker

Conficker est un virus particulièrement sophistiqué. C’est à la fois un ver « à la Sasser » et un botnet ultra-résiliant qui implémente le Nec plus ultra des techniques défensives. Certains réseaux sont tellement saturés, qu’une nouvelle fois des avions sont cloués au sol (dont une partie de la Chasse française…), des hôpitaux sont impactés, des bases militaires infectées, etc… Environ 7 millions de systèmes sont infectés à travers le monde… sauf en Ukraine.
2010: Stuxnet, bienvenue dans la Cyber-Guerre
De l’avis de tous les spécialistes, seul un Etat a les ressources nécessaires pour concevoir et implémenter un virus d’une telle complexité. Pour la première fois, la cible d’un virus est la destruction d’un système industriel critique (très probablement une centrale nucléaire en Iran).
Le virus est capable d’exploiter plusieurs failles critiques de Windows, jusque là inconnues, pour se propager, dont une garantissant son exécution des l’insertion d’une clef USB contaminée dans le système ciblé – et ce, même si l’autorun de ce  dernier est désactivé. Il est ensuite capable de se propager dans un réseau interne, jusqu’à ce qu’il atteigne sa cible: un système de gestion de processus industriel édité par Siemens.

Lire aussi :