L’affaire d’espionnage, qui a démarré avec l’intrusion de pirates dans les serveurs du ministère de l’Economie, des Finances et de l’Industrie donne du grain à moudre à Symantec.
L’éditeur de solutions de sécurité IT, leader mondial sur son segment de marché, reconnaît qu’au regard du type d’assaut repéré à Bercy, l’approche d’une simple protection anti-virus ne suffit pas.
Symantec préconise une détection des malwares qui prend en compte leurs spécificités et leurs configurations uniques : la technologie de « réputation » qui sera prochainement intégrée dans sa gamme de solutions professionnelles.
Interview de Laurent Heslault, Directeur des technologies de sécurité chez Symantec (09/03/11).
ITespresso.fr : Dans quelle mesure Symantec a caractérisé le type d’attaque qui a affecté Bercy ?
Laurent Heslault : On peut cerner quatre phases. Primo, l’incursion ou l’intrusion. L’objectif étant d’introduire un logiciel malveillant dans le système visé. Il faut que le mail-leurre soit plausible avec un sujet pertinent, en provenance d’une personne de confiance. On a vu des choses comme cela au cours du Forum de Davos avec des mails issus de proches collaborateurs de dirigeants. « Dans la pièce jointe, votre agenda pour demain ». Difficile de ne pas cliquer. C’est bien fait en termes d’ingénierie sociale. On introduit souvent un malware par le biais d’un PDF en pièce jointe. C’est pas confirmé dans le cadre de l’attaque de Bercy. Les pirates établissent ensuite une vraie cartographie du système : ils regardent ce qu’il y a en accès local dans les serveurs et la messagerie. La phase 3 correspond à la capture des documents : « je prend des documents existants » et/ou « j’introduis des Advanced Persistent Threats ». Ce sont des gros spywares qui enregistrent tout ce que la personne visée tape sur son clavier, envoie ou imprime via son ordinateur. Hors de la France, on a même vu dans un cas similaire que le microphone de la machine était activé pour enregistrer les entretiens. Reste la phase 4 : l’exfiltration des données de manière discrète. Dans le cas de Bercy, ce serait associé à du flooding. On bourre un serveur de données, en mélangeant du faux et du vrai pour brouiller les pistes. Du coup, cela donne trop de travail pour trier du grain de l’ivraie. On peut aussi remarquer des similitudes avec l’attaque survenue au Canada lorsque ce pays présidait le G20. Elle visait les même types de documents portant sur ce forum international.
(lire la fin de l’interview page 2) : Les outils anti-virus inefficaces ? Quelle(s) parade(s) ?
Page: 1 2
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…