E-Guide CYBER-SÉCURITÉ: VUES D EXPERTS SUR LES MENACES ET SOLUTIONS D AUJOURD HUI

Transcription

1 E-Guide CYBER-SÉCURITÉ: VUES D EXPERTS SUR LES MENACES ET SOLUTIONS D AUJOURD HUI

2 F ace à la diversification des menaces qui pèsent sur les réseaux et les systèmes, les nouvelles solutions, encore jeunes, ne sont pas forcément fiables à 100% tandis que les anciennes commencent à montrer des signes de faiblesses. Quelles sont les précautions à prendre? Cet e-guide propose une vue d expert de divers types de solutions de cyber-défense. Vous découvrirez les récentes solutions de détection anti-malware avancée et leurs limitations ainsi que les failles récentes de RC4. Enfin, vous apprendrez que le plus grand danger pour vos informations confidentielles n est peut-être pas celui auquel vous pensez. Des avis d experts à lire au plus vite. PAGE 2 SUR 17

3 PAS DE DÉTECTION AVANCÉE DES LOGICIELS MALVEILLANTS SANS MISE EN BAC À SABLE Les produits de détection de logiciels malveillants ont atteint le crépuscule d une vie bien remplie. L évolution rapide des logiciels malveillants pour lesquels il n existe pas de signature et l utilisation courante de méthodes d attaque ne s appuyant pas sur les logiciels malveillants ont considérablement réduit l efficacité des outils basés sur des signatures. De nombreuses entreprises s interrogent probablement sur la valeur qu elles retirent des produits traditionnels de détection des logiciels malveillants, basés sur l utilisation de signatures. Notamment après les révélations du New York Times qui a expliqué, en janvier, avoir été victime d une campagne d attaques informatiques trouvant son origine en Chine et qui est restée indétectée pour au moins quatre mois. Alors même que le quotidien utilisait les produits Symantec de protection contre les logiciels malveillants. Pour répondre à cette problématique, de nombreux acteurs de l industrie de la sécurité informatique ont proposé un changement de paradigme : s éloigner de la détection basée sur des signatures au profit de systèmes de détection PAGE 3 SUR 17

4 proactifs. Un nouveau segment de produits de sécurité de l information pour entreprises, la détection avancée de logiciels malveillants, a ainsi émergé. Mais quelles sont les nouvelles méthodes qu ils proposent et sont-elles susceptibles de susciter l intérêt des entreprises? Surtout, les entreprises peuvent-elles décider d abandonner les antivirus traditionnels au profit de cette nouvelle génération de produits de protection? LA MISE EN BAC À SABLE : UNE TECHNOLOGIE CLÉ Les logiciels traditionnels de détection de logiciels malveillants s appuient sur des signatures. Des spécialistes cherchent constamment de nouveaux codes malicieux auxquels aucune signature n a encore été associée. Dès qu ils trouvent un tel échantillon, ils travaillent à la production de signatures permettant à l antivirus de bloquer, ou contrer, le code malicieux nouvellement découvert. Mais cette approche n est que réactive. Le nouveau code malicieux n est trop souvent découvert qu après son exécution réussie sur au moins une victime. Dans le cadre des travaux de recherche visant à remplacer la détection par signature, la technologie de sandboxing, ou, a émergé comme essentielle à la détection proactive des logiciels malveillants. Elle consiste à intercepter le trafic réseau entrant et à la détourner vers un environnement PAGE 4 SUR 17

5 virtuel dédié. Chaque paquet de données est examiné ou exécuté dans l environnement virtuel avant d être, soit transféré par sa destination, soit effacé s il s avère malicieux. Si le logiciel malveillant est particulièrement pervers et que l administrateur ne parvient pas à nettoyer l environnement virtuel, il lui suffit de le supprimer et de le reconstruire ensuite. DIFFÉRENTES IMPLÉMENTATIONS De nombreux éditeurs proposent leur approche de la détection avancée de logiciels malveillants. Trois se dégagent en particulier : FireEye, Damballa, et Invincea. FireEye a récemment profité d un rapide gain de popularité : c est l un des premiers éditeurs à proposer le sandboxing à une échelle d entreprise. Ses systèmes à déployer sur site utilisent l approche typique du bac à sable en détournant le trafic, en l examinant, puis en le transférant. L étant considéré comme un trafic réseau susceptible d enregistrer des soucis de latence, la technologie de FireEye apparaît plus efficace pour la protection contre les courriels malicieux que pour les menaces liées au trafic Web : peu importe que l arrive avec un peu de retard; le système FireEye peut donc prendre son temps. Damballa, comme FireEye, s est fait une spécialité de la détection de PAGE 5 SUR 17

6 logiciels signature. Toutefois, l approche de Damballa consiste en la détection de botnets ou de communications comparables à celles caractéristiques d un botnet. La technologie de Damballa s appuie ainsi sur la détection de protocoles de communication communément utilisés par les botnet, dont l IRC, très léger à implémenter et permettant de communiquer en quasi temps réel. Lorsque ce type de protocole est détecté, la technologie de Damballa procède à une inspection approfondie. Si le trafic s avère associé à un bot, la communication est immédiatement coupée. Enfin, Invincea a pris une approche différente. Plutôt que de détourner tout le trafic réseau dans une machine virtuelle, l éditeur virtualise le navigateur Web. Et lorsqu un utilisateur ouvre un navigateur Web, il interagit en réalité avec un navigateur qui réside dans l enclave Invincea. L éditeur assure savoir comment un navigateur idéal doit se comporter au quotidien. Ainsi, dès que son système détecte une anomalie, il entreprend une inspection approfondie. Par exemple, Invincea considèrera comme suspect un élément de trafic qui demande au navigateur Web de réaliser un appel système. Et si ce trafic s avère malicieux, c est l environnement de navigation Web complet qui est détruit et automatiquement reconstruit. Ce processus est présenté comme transparent pour l utilisateur. PAGE 6 SUR 17

7 PROBLÈME RÉGLÉ? Des progrès significatifs ont donc été réalisés dans le domaine de la détection proactive de logiciels malveillants. Les entreprises ne sont plus complètement dépendantes des éditeurs d antivirus et de leurs signatures. Toutefois, les entreprises devraient faire preuve de prudence avant de s appuyer sur un unique produit de détection avancée de logiciels malveillants. De nombreuses implémentations de sandboxing misent sur l exécution de codes potentiellement malicieux dans un environnement dédié, avant la transmission des paquets à leur destination finale. Mais les auteurs de ces codes utilisent des méthodes de développement de plus en plus sophistiquées pour tromper ces produits. Nombre d entre eux utilisent désormais un technique permettant de retarder l exécution du code et d attendre la sortie de l environnement de test. Dès lors, de nombreux environnements de sandboxing peuvent transmettre le code malicieux à sa destination sans avoir détecté d activités suspectes. Les éditeurs luttent contre ce problème. Mais il est important de relever qu il n existe pas de panacée dans la détection des logiciels malveillants. En conséquence, si une organisation a pris la décision d acheter un logiciel de protection basé sur le sandboxing, il peut être prudent de continuer d utiliser des produits traditionnels en attendant que cette technologie ait atteint la PAGE 7 SUR 17

8 maturité. En fait, les responsables de la sécurité peuvent envisager une approche hybride, avec détection de logiciels malveillants par signature dans l enclave à protéger, et protection par sandboxing à la périphérie. A PROPOS DE L AUTEUR Brad Casey est diplômé en assurance de l information de l Université du Texas à San Antonio. Il dispose d une vaste expérience dans le test d intrusion, les infrastructures de chiffrement à clé publique, la VoIP, et l analyse de paquets réseau. Il est également compétent dans les domaines de l administration de systèmes, Active Directory et Windows Server Il a passé cinq ans à produire des évaluations de sécurité pour l US Air Force. Il profite régulièrement de son temps libre pour analyser des captures de flux réseau Wireshark et pour tester des distributions Linux dans des machines virtuelles. PAGE 8 SUR 17

9 RC4-EST-IL-ENCORE-SUR-POUR-SSL-TLS Michael Cobb, expert en sécurité applicative, détaille les implications de sécurité concrètes d une faille récemment découverte dans l algorithme de chiffrement RC4, pour les connexions HTTPS. RC4 (Rivest Cipher 4), a été conçu par Ron Rivest de RSA, en Il est devenu l algorithme de chiffrement de flux le plus utilisé en raison de sa rapidité et de sa simplicité. Il est exploité par des protocoles courants tels que WEP, pour la protection des réseaux WiFi, et SSL et TLS pour HTTPS. En fait, 50 % de tout le trafic TLS est actuellement protégé en utilisant l algorithme RC4. Toutefois, des faiblesses ont été découvertes au fil des ans, indiquant que RC4 approche de sa fin de vie. Une faille découverte récemment par Ban Bernstein, un professeur de l université de l Illinois, permet à un attaquant de recouvrer une quantité limitée de texte en clair en interceptant une connexion TLS utilisant le chiffrement RC4. L attaque visant RC4 s applique à toutes les versions de SSL et de TLS supportant cet algorithme. L attaque visant RC4 est rendue possible par les failles statistiques du flux de clés généré par l algorithme. Celui-ci révèle des PAGE 9 SUR 17

10 parties des messages chiffrés, à condition que l attaquant ait pu collecter suffisamment d échantillons. Cette faille ne représente pas une menace immédiate pour les utilisateurs de SSL/TLS : il s agit d une attaque multi-sessions pour l heure difficile à mettre en oeuvre. L attaquant doit être capable de capturer le trafic réseau entre client et serveur. Il est également nécessaire que le même texte chiffré soit envoyé à la même destination fixe dans un message, de manière répétée. Et même dans un tel scénario, l attaquant ne serait capable que de recouvrer une petite partie du message. Toutefois, les messages HTTP contiennent des entêtes codifiées, identiques tout au long de la conversation. Le contenu d un cookie pourrait par exemple être capturé. L une des plus grandes menaces consiste en un attaquant qui serait capable d accéder aux données contenues dans un cookie. Par exemple, les cookies sont souvent utilisés pour stocker les informations d un compte utilisateur ou un ticket de session afin d éviter aux utilisateurs de devoir s identifier répétitivement. Si un pirate parvient à intercepter ces cookies, il peut se faire passer pour un utilisateur légitime et accéder à des données sensibles du site ou du service affecté. Le protocole SSL/TLS supporte différents algorithmes de chiffrement. PAGE 10 SUR 17

11 Mais les principaux navigateurs Web ne supportent pas les plus récents algorithmes. TLS 1.2 supporte les suites de chiffrement AEAD (Authenticated Encryption with Associated Data), mais cette version de TLS n a pas encore été largement adoptée. La plupart des navigateurs, en dehors de Safari sur ios, soit ne le supportent pas, soit ne le proposent pas par défaut. Une autre solution serait de changer la manière dont TLS utilise RC4, mais il faudrait faire cela sur chaque poste client et sur chaque serveur, et être capable de prendre en charge les futures améliorations de la méthode d attaque de RC4. Pour l heure, les administrateurs peuvent déployer une implémentation de TLS 1.0 ou 1.1, chacune utilisant une suite de chiffrement CBC qui a été corrigée pour contrer les attaques BEAST et Lucky Thirteen. Ironiquement, ces attaques ont conduit de nombreux administrateurs à utiliser RC4 plutôt que CBC. Mais comme TLS est le protocole de chiffrement utilisé pour sécuriser le trafic Internet, son implémentation doit être parfaitement robuste et invulnérable aux attaques, y compris à celles qui sont les moins simples à mettre en oeuvre. Avec un peu de chance, cette toute nouvelle découverte provoquera un passage à une version plus sûre. PAGE 11 SUR 17

12 OPINION : LE PARTAGE DE FICHIERS, UN VECTEUR ENCORE TROP SIMPLE DE CYBER-ESPIONNAGE Oui, il reste bon nombre d inconscients - pour rester aimable. Et ce ne sont pas forcément des employés du bas de la hiérarchie. Dans l exemple qui inspire ces lignes, il s agit rien moins que du co-fondateur et PDG d une startup européenne. Une entreprise qui a développé une application mobile et qui, pour mieux séduire les internautes, a récemment eu recours aux services d un cabinet de conseil en interfaces utilisateur pour faire évoluer son site Web. Une jeune pousse qui semble gérée avec prudence et dispose encore de suffisamment de cash pour tenir jusqu à la fin de l été Mais elle compte lever des fonds d ici là. Las, à ce jour, son service n a pas encore profité d une viralité suffisante pour assurer son développement rapide. Alors elle a engagé un plan stratégique de recrutement d utilisateurs. Tout cela, et bien plus encore, on l apprend dans son «management report» du quatrième trimestre Un document que l on peut légitimement considérer comme sensible, de même que la liste des noms et adresses des utilisateurs du service... Autant de fichiers librement accessibles sur un dossier PAGE 12 SUR 17

13 partagé, ouvert à tous les vents, par le CEO de l entreprise, sur son MacBook. Son dossier «téléchargements» en fait, où ces documents sensibles cohabitent avec des fichiers Torrent et autres films et séries téléchargés sur Internet. Certaines de ces informations pourraient en tout cas être utilisées à des fins d intelligence économique, par exemple pour faire capoter la prochaine levée de fonds espérée. Voire ravager la réputation de l entreprise en matière de protection des données personnelles. Et l on imagine bien qu il ne s agit pas d une structure aux reins aussi robustes qu un Facebook ou qu un LinkedIn. Ce dossier partagé, je l ai découvert par hasard dans le voisinage réseau de mon Mac connecté au réseau WiFi de l aéroport de San Francisco, terminal international, salon Air France. Un exemple parmi tant d autres - sur les salons professionnels, ce genre de découverte est fréquente ; je me souviens du dossier partagé d un directeur marketing régional d un spécialiste de la virtualisation, il y a quelques mois. Ces deux exemples sont particulièrement emblématiques de l inconscience - potentiellement lourde de conséquences - de certains cadres, voire dirigeants. Et ils ne sont pas isolés, loin s'en faut. PAGE 13 SUR 17

14 LE FACTEUR HUMAIN, SEULEMENT Pas besoin, là, de logiciels malveillants sophistiqués ni de phishing ciblé... Si je devais me lancer dans l espionnage économique, je pense que je me ferais embaucher comme technicien de surface dans un aéroport ou un centre de conférences international. Cela renvoie encore une fois au bon vieux «facteur humain». Un facteur «parfois négligé», comme le soulignait encore David Emm, consultant en technologies senior de Kaspersky au Royaume-Uni, qui intervenait en janvier lors d une conférence de presse préalable à Infosecurity Europe (à Londres fin avril). Pour lui, puisqu on parle de menaces informatiques comme de menaces techniques, «les entreprises investissent des montants considérables dans des outils technologiques». Mais elles oublient l humain. Et d estimer que, dans de nombreux cas - phishing ciblé, pièces jointes malicieuses, liens vers des pages Web frauduleuses... «le problème est humain et nécessite une solution relevant de la gestion des ressources humaines, pas de l IT. Il faut de la sensibilisation, pas de la formation - la sécurité, c est un état d esprit. [...] La psychologie est importante; il s agit de personnes ici, pas d utilisateurs.» Alors oui, David Emm le reconnaît volontiers, «le changement ne survient PAGE 14 SUR 17

15 pas en une nuit» mais il rappelle que «conduire sans ceinture de sécurité, après avoir bu de l alcool a été, par le passé, socialement acceptable...» Certes, estimeront certains à juste titre, un outil de prévention des fuites de données (correctement) configuré aurait peut-être pu éviter les incidents mentionnés ici en exemple. Mais un effort de sensibilisation aussi. Rassurez-vous, les deux inconscients ont été prévenus; le plus récent par téléphone, son numéro figurant sur l un des fichiers PDF de son dossier partagé. PAGE 15 SUR 17

16 DES RESSOURCES GRATUITES POUR LES PROFESSIONNELS IT TechTarget publie des informations techniques ciblées multisupport qui visent à répondre à vos besoins de ressources lorsque vous recherchez les dernières solutions IT, développez de nouvelles stratégies ou encore cherchez à faire des achats rentables. Notre réseau de sites internet experts vous donne accès à du contenu et des analyses de professionnels de l industrie. Vous y trouverez également la bibliothèque spécialisée en ligne la plus riche : livres blancs, webcasts, podcasts, vidéos, salons virtuels, rapports d études et bien plus, alimentée par les fournisseurs IT. Toutes ces ressources sont basées sur les recherches R&D des fournisseurs de technologie pour répondre aux tendances du marché, défis et solutions. Nos événements réels et nos séminaires virtuels vous donnent accès à des commentaires et recommandations neutres par des experts sur les problèmes et défis que vous rencontrez quotidiennement. Notre communauté en ligne IT Knowledge Exchange (Echange de connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du secteur. POURQUOI CHOISIR TECHTARGET? TechTarget est entièrement centré sur l environnement IT de l entreprise. Notre équipe d éditeurs et notre réseau d experts de l industrie fournissent le contenu le plus riche et pertinent aux professionnels et managers IT. Nous exploitons l immédiateté du Web, les PAGE 16 SUR 17

17 opportunités de rencontre en face à face, via le networking ou les événements virtuels, et la capacité à interagir avec les pairs. Ceci nous permet de produire une information irréfutable et directement exploitable par les professionnels du secteur dans toutes les industries et sur tous les marchés. RELATED TECHTARGET WEBSITES PAGE 17 SUR 17