Dans la jungle des malwares : protégez votre entreprise

Transcription

1 Dans la jungle des malwares : protégez votre entreprise Les menaces sont en constante mutation, mais votre pare-feu ne suit peut-être pas le rythme. Il est temps de repenser la sécurité réseau classique et d intégrer une protection contre les programmes malveillants et autres exploits susceptibles de s infiltrer sur les ordinateurs et appareils mobiles lorsque les utilisateurs naviguent sur Internet, envoient et reçoivent des s ou téléchargent des applications.

2 Face à l augmentation incessante de la cybercriminalité en volume et en gravité, il est important de connaître les différents types de programmes malveillants dont il est question et de comprendre comment ils fonctionnent. Cela concerne tout particulièrement les petites et moyennes entreprises, plus susceptibles de ne pas disposer de personnel informatique dédié à la sécurité réseau. Ce document analyse les facteurs actuels influençant le développement des programmes malveillants, détaille les caractéristiques de chacun d eux, évoque la manière dont ils se manifestent sur le réseau et explique comment y remédier individuellement. Même si le nom de nombreuses formes de malwares est familier, ceux-ci continuent d évoluer, car la lutte engagée pour les éliminer les force à s adapter. Actuellement, ce sont des criminels professionnels qui favorisent cette adaptation. Certes, il existe encore des amateurs qui essaient d impressionner leurs amis ou qui se défoulent en codant et en libérant des programmes malveillants de toute sorte, mais les organisations criminelles internationales qui propagent ces programmes à but lucratif sont bien plus dangereuses. Ces escroqueries comprennent : l extorsion qui consiste à verrouiller ou à paralyser les ordinateurs, puis à exiger une somme d argent pour que le fonctionnement normal soit rétabli. Souvent, ces attaques prétextent une analyse inutile de l ordinateur et la vente de logiciels soi-disant antivirus tout aussi inopérants. Cette technique peut être utilisée pour recueillir les données de cartes de crédit. Parfois, le logiciel acheté est un «scareware» qui incite à effectuer des achats supplémentaires ou continue d exiger le paiement de supposés abonnements. le vol, c est-à-dire la subtilisation de ressources électroniques. Parmi celles-ci, mentionnons les renseignements personnels (vol d identité) tirés des dossiers des employés ou des clients ; les coordonnées bancaires et mots de passe ; les actifs commerciaux propriétaires pouvant être vendus à la concurrence, les comptes de messagerie électronique, répertoires compris, pouvant servir au spam (en provenance de sources apparemment fiables) ; et même les ressources informatiques elles-mêmes (zombies) qui sont contrôlées par les criminels pour toute sorte d activités allant du spam à l hébergement de contenus pornographiques. Les logiciels qui permettent ces délits sont désignés comme malveillants (malware). Aussi inquiétants qu ils soient, et ce n est pas prêt de s arrêter, il existe des moyens simples et extrêmement efficaces de les combattre. Mais pour commencer, il faut bien connaître l ennemi. Les six principaux types de programmes malveillants habituels sont les suivants : les virus, les vers, les chevaux de Troie, les logiciels espions, les logiciels publicitaires et les rootkits. Virus Le virus est probablement le type de malware le plus connu. Les virus informatiques circulent depuis des décennies, néanmoins leur principe de base reste le même. Typiquement conçus pour infliger des dommages à l utilisateur final, les virus peuvent effacer un disque dur complet en quelques instants, rendant les données inexploitables. De même que les virus biologiques se reproduisent en infectant une cellule hôte, les virus informatiques se multiplient souvent pour infecter tout le système. D autres types de virus sont utilisés pour rechercher et détruire les types de fichiers ou portions du disque dur spécifiquement visés. Les auteurs de vols électroniques vont souvent libérer un virus dans les systèmes infiltrés après avoir extrait les informations désirées afin de détruire les preuves légales. A l origine, les virus informatiques se répandaient par le partage de disquettes infectées. La méthode de propagation a suivi l évolution technologique. Actuellement, les virus se transmettent habituellement par le partage de fichiers, les téléchargements sur le Web et les pièces jointes aux s. Pour infecter un système, le virus doit être exécuté sur le système visé ; les virus dormants qui n ont pas encore été exécutés ne constituent pas de menace immédiate. Généralement, les virus n ont pas d objectif légitime et dans certains pays, leur possession est illégale. 2

3 Vers Les vers informatiques existent depuis la fin des années 1980, mais étaient peu répandus jusqu à ce que les infrastructures réseau deviennent monnaie courante au sein des entreprises. Contrairement aux virus informatiques, les vers peuvent se propager seuls à travers les réseaux sans interaction humaine. Une fois qu il est infecté par un ver, le système compromis commence à analyser le réseau local pour essayer de localiser des victimes supplémentaires. Après avoir identifié une cible, le ver exploite les vulnérabilités logicielles d un système à distance en y injectant un code malveillant dans le but de l infecter complètement. En raison de leur méthode d attaque, les vers parviennent seulement à toucher les systèmes sur le réseau qui fonctionnent avec des systèmes d exploitation spécifiques. Les vers sont souvent considérés plutôt comme une nuisance qu une véritable menace. Cependant, ils peuvent être utilisés pour propager d autres programmes malveillants ou infliger des dommages aux systèmes visés. Chevaux de Troie Comme les virus, les chevaux de Troie requièrent une interaction quelconque de la part de l utilisateur pour qu un système soit infecté. Néanmoins, contrairement à la plupart des vers et des virus, les chevaux de Troie tentent souvent de rester inaperçus sur l hôte compromis. Les chevaux de Troie sont des petits morceaux de code exécutable intégrés à une autre application. Habituellement, le fichier infecté est une application que la victime utilise régulièrement (telle que Microsoft Word ou la calculatrice). L objectif est que la victime exécute le code malveillant sans le savoir en lançant un programme par ailleurs inoffensif. Par conséquent, il arrive souvent que les chevaux de Troie infectent un système sans déclencher aucune notification. Il existe plusieurs types de chevaux de Troie qui poursuivent des objectifs différents. Certains sont spécifiquement conçus pour extraire des données sensibles du système infecté. Ils installent habituellement des enregistreurs de frappe ou prennent des captures d écran de l ordinateur de la victime. Les informations sont ensuite automatiquement envoyées à l agresseur. D autres chevaux de Troie plus dangereux de type RAT autorisent l accès à distance, ils prennent le contrôle du système infecté et ouvrent une porte dérobée qu un agresseur pourra utiliser ultérieurement. Les RAT servent habituellement à la création de botnets. Logiciels espions/publicitaires Comme certains chevaux de Troie, les logiciels espions sont utilisés pour recueillir et renvoyer des informations sensibles à leur distributeur. Les logiciels publicitaires ne sont pas malveillants par nature. Cependant, ils constituent une nuisance importante, car ils touchent habituellement les navigateurs Web et les rendent pratiquement inutilisables. Les logiciels espions sont souvent employés pour du marketing insidieux, comme le suivi de l activité des utilisateurs à leur insu. Ils prennent parfois l apparence d applications légitimes en présentant un certain intérêt pour l utilisateur tout en enregistrant secrètement des modèles de comportement et d utilisation. Comme les logiciels espions, les logiciels publicitaires gênent considérablement les utilisateurs, mais ils ne sont généralement pas malveillants par nature. Les logiciels publicitaires, comme leur nom l indique, servent habituellement à propager de la publicité en rapportant un bénéfice financier pour l agresseur. Une fois infectée par un logiciel publicitaire, la victime est bombardée de pop-ups, de barres d outils et autres types de publicités lorsqu elle essaie d accéder à Internet. Normalement, ces logiciels ne causent pas de dommage permanent à l ordinateur. Toutefois, ils peuvent rendre le système inutilisable s ils ne sont pas correctement éliminés. Rootkits Le rootkit est sans doute le type de malware le plus dangereux. Comme les chevaux de Troie d accès à distance, les rootkits permettent à l agresseur de prendre le contrôle du système infecté. En revanche, ils 3

4 sont particulièrement difficiles à détecter et à supprimer. Les rootkits se nichent habituellement au plus profond des ressources du système (en dessous du système d exploitation). C est la raison pour laquelle les logiciels antivirus conventionnels les détectent rarement. Une fois infecté par un rootkit, le système visé peut être accessible à un agresseur et offrir un accès illimité au reste du réseau. Savoir si vous êtes infecté Les logiciels malveillants trahissent leur présence sur le trafic réseau ou un ordinateur de trois manières : une «signature» qui est une empreinte ou un modèle dans un fichier pouvant être reconnu par un système de sécurité réseau comme un pare-feu avant qu il atteigne l ordinateur. Si un tel fichier parvient effectivement à l ordinateur, le logiciel antivirus/anti-malware installé sur la machine devrait le détecter. un type de fichier suspect hors contexte comme un exécutable (.exe) ou une valeur de registre caché dans un fichier comprimé du type.zip. le comportement ; même un rootkit peut révéler sa présence en contactant l opérateur qui le contrôle. Si ce comportement est anormal, par ex. en raison du volume ou de l heure de la journée, ce peut être symptomatique d un système infecté. Les mesures de sécurité standard qui consistent à installer et mettre à jour en permanence un logiciel antivirus sur toutes les machines bloqueront la plupart des coupables trahis par leur signature. Les entreprises de sécurité réseau déploient des «pots de miel» ou «honey pots» dans le monde entier, comme le réseau collaboratif multivecteur GRID de SonicWALL, qui attirent délibérément toutes les nouvelles versions de programmes malveillants pour que leur signature puisse être identifiée et communiquée lors des mises à jour routinières des logiciels anti-malware. Une fois la signature archivée, les logiciels de sécurité peuvent identifier les malwares dès leur apparition et les bloquer. Les entreprises de sécurité plus sophistiquées vont plus loin. Par exemple, le réseau GRID de SonicWALL alimente une base de données cloud avec toutes les nouvelles signatures de menaces dès leur identification, où que ce soit dans le monde. Les appliances de sécurité SonicWALL renforcent les dizaines de milliers de signatures de menaces stockées localement avec la base de données cloud. Les fichiers analysés sont comparés en temps réel à cette base de données exhaustive d exécutables malveillants pour une protection encore plus complète. Reconnaître un type de fichier caché est légèrement plus difficile. Certaines entreprises établissent des règles globales quant aux types de fichiers pouvant transiter sur leur réseau. Par exemple, elles peuvent interdire les fichiers comprimés à l intérieur du pare-feu. Mais cela peut gêner les flux de trafic normaux. Une approche plus sophistiquée et moins perturbante consiste à procéder à un filtrage applicatif avant réassemblage (RFDPI) de chaque paquet de données qui transite sur le réseau. Ce filtrage proposé par les marques de pare-feu haut de gamme, comme SonicWALL, examine littéralement l intérieur de la charge utile pour en déterminer le contenu. Ce processus repère les menaces dissimulées et les élimine du flux. Le comportement est l indicateur le plus difficile à identifier. En cas d intrusion malveillante, la plupart des utilisateurs ne s en aperçoivent pas tant que le fonctionnement de la machine infectée ne se trouve pas considérablement ralenti ou inégal. Les pare-feu nouvelle génération peuvent identifier un comportement suspect avant même d en arriver à ce stade. En repérant une activité inhabituelle du réseau, par exemple des communications vers un autre pays, un pare-feu nouvelle génération peut aider les administrateurs à isoler le programme malveillant pour l éliminer. L intelligence de ces systèmes de sécurité peut être adaptée pour appliquer les règles d activités réseau de la même façon qu une entreprise impose des règles de comportement à ses employés. Par exemple, la messagerie instantanée pourrait être autorisée, mais pas la transmission de fichiers par ce biais. Si cette activité ne relève pas d un besoin, le fait qu un ordinateur tente un tel comportement suggère que la machine est contrôlée par quelqu un d autre qu un employé. C est un signal d alerte qui sous-entend la présence d un programme malveillant. Tout aussi important : cette activité dangereuse serait automatiquement bloquée. 4

5 En premier lieu, éviter l infection Comme pour les infections biologiques, la prévention est le meilleur des traitements. Des mesures de sécurité appropriées sont donc tout indiquées. Les pare-feu nouvelle génération avec les fonctionnalités décrites ci-dessus peuvent identifier une large majorité de programmes malveillants qui tenteraient de s introduire sur le réseau de l entreprise. Cela comprend les attaques par spam, phishing via des sites Internet (falsifiés) et «drive-by download» qui injectent des programmes malveillants lors de la visite d un site Web apparemment inoffensif. Chacune de ces méthodes d infection utilise une approche particulière qui requiert des méthodes d identification différentes. Les pare-feu nouvelle génération peuvent appliquer toutes ces méthodes simultanément depuis une seule appliance de sécurité. Un système de pare-feu nouvelle génération haut de gamme (comme ceux de SonicWALL) offre des fonctionnalités optionnelles pour identifier les menaces dans les spams, les fichiers cachés et les drive-by downloads en fonction de leur signature ou de leur comportement. La dernière catégorie (drive-by download) mérite une mention particulière dans la mesure où, désormais, de nombreuses transactions s effectuent en ligne, comme l accès distant aux informations ou les achats. Ce qui semble à première vue une transaction Web 2.0 légitime peut cacher l intrusion d un programme malveillant. Une solution solide de pare-feu nouvelle génération analyse le trafic Internet pour repérer précisément ces types de comportement d applications. Lorsque la solution de sécurité utilise le RFDPI, les fichiers entrant sur le réseau n ont besoin d être analysés qu une seule fois pour que toutes les menaces potentielles soient contrôlées. Le trafic réseau gagne donc en fluidité, ce qui se traduit par plus de confort pour les utilisateurs et une hausse de la productivité. Cela a pour avantage consécutif d exploiter au maximum une connexion haut débit et éventuellement de réduire la nécessité d une bande passante plus onéreuse. Les technologies réunies dans les pare-feu nouvelle génération suppriment aussi le recours à de multiples systèmes, comme les pare-feu, les filtres anti-spam et les filtres de contenu. Globalement, c est un argument économique puissant en faveur d un pare-feu nouvelle génération. Conclusion Les programmes malveillants continuent de polluer l environnement réseau des entreprises. Mais alors que les criminels qui en sont à l origine se multiplient et gagnent en sophistication, la technologie destinée à les contrer progresse tout autant. Désormais, même les entreprises les plus modestes peuvent bénéficier de niveaux de protection qui les vaccinent pour ainsi dire contre toute forme de programmes malveillants. Et elles peuvent le faire de manière économique. Reconnaître la menace que constituent les programmes malveillants d aujourd hui et implémenter une solution de sécurité moderne permet de se protéger de la jungle des malwares. Les entreprises peuvent ainsi fonctionner en toute sécurité, de manière efficace et rentable. 5

6 A propos de SonicWALL SonicWALL, Inc. fournit des solutions intelligentes de sécurité réseau et de protection des données permettant aux clients et aux partenaires du monde entier de sécuriser, contrôler et élargir leurs réseaux, dynamiquement et globalement. Notre concept de sécurité dynamique repose sur un réseau partagé de millions de capteurs, avec au centre le réseau GRID (Global Response Intelligent Defense) de SonicWALL et le SonicWALL Threat Center, qui fournissent en continu des informations et des analyses sur la nature, le comportement et l évolution des menaces du monde entier. Le laboratoire de recherches SonicWALL Research Labs traite toutes ces informations, sans interruption, afin de livrer proactivement les armes et les mises à jour dynamiques nécessaires pour contrer les menaces les plus récentes. Misant sur sa technologie brevetée RFDPI (Reassembly-Free Deep Packet Inspection ) associée à une architecture matérielle multiprocesseur en parallèle haut débit, SonicWALL permet un filtrage et une analyse simultanés à vitesse de ligne (wire-speed) et crée les conditions techniques nécessaires à la solution pour s adapter dans son intégralité aux déploiements dans les réseaux haut débit. La gamme de solutions s étend des PME aux grands comptes, et répond aux besoins de vastes environnements campus, d entreprises distribuées, de segments tels que les services publics, le commerce de détail ou la santé, ainsi que des fournisseurs de services. Pour plus d informations, consultez les pages : Solutions pour les petites et moyennes entreprises Solutions pour les entreprises Solutions par secteur d activité Contact commercial SonicWALL SonicWALL, Inc. SonicWALL est une marque déposée de SonicWALL, Inc. Tous les autres noms de produits mentionnés dans ce document peuvent être des marques commerciales, déposées ou non, propriété de leurs sociétés respectives. Les caractéristiques et descriptions sont susceptibles d être modifiées sans préavis. XXXX_US 6