La protection des systèmes Mac et Linux : un besoin réel?

Transcription

1 La protection des systèmes Mac et Linux : un besoin réel? Les risques encourus par les postes de travail tournant sous d autres plates-formes que Windows se confirment. En effet, les systèmes Mac et Linux, occupant une place croissante au sein des entreprises, sont de plus en plus visés par les pirates qui les utilisent pour pénétrer les réseaux professionnels et infecter les sites Web. Ce livre blanc recense les menaces réelles affectant les plates-formes non Windows. Il explique les dangers liés à la distribution de virus Windows par ces mêmes plates-formes et étudie les conséquences découlant de l intérêt croissant qu elles suscitent. Enfin, il souligne l importance du cadre juridique international, de plus en plus exigeant sur leur besoin de protection. Livre blanc Sophos Octobre 2008

2 La protection des systèmes Mac et Linux : un besoin réel? Les menaces actuelles Le grand nombre de postes de travail, de postes nomades et de serveurs tournant sous Windows fait que ceux-ci sont une cible idéale pour les créateurs de codes malicieux et les spammeurs. Pour se protéger contre les virus, les spywares, les chevaux de Troie et les vers, les entreprises ont jusqu alors eu tendance à se concentrer sur les environnements Windows, sous-estimant les risques liés aux postes non protégés tournant sous d autres plates-formes. Personne ne doute de la nécessité de protéger les passerelles contre les codes malicieux, quels que soient leurs systèmes d exploitation. En revanche, le sentiment qu il n est pas indispensable de protéger les postes de travail autres que Windows est largement répandu, et se trouve conforté par la disproportion entre le nombre de menaces qui affectent les postes Windows et les autres platesformes, notamment Mac et Linux. Le fait que la plupart des malwares continuent d être créés pour les postes Windows vient renforcer l idée que tout investissement destiné à protéger les postes non-windows est inutile. Pourquoi est-il donc important pour les entreprises de protéger leurs postes non-windows? Le fait que la plupart des malwares continuent d être créés pour les postes Windows vient renforcer l idée que tout investissement destiné à protéger les postes non-windows est inutile. Essentiellement pour quatre raisons : Bien qu il existe comparativement peu de virus affectant les plates-formes autres que Windows, ils représentent néanmoins une menace bien réelle. Les serveurs Linux sont une cible pour les pirates qui les utilisent pour se connecter aux postes Windows qui y sont rattachés. Les postes non-windows peuvent héberger et transmettre les codes malveillants Windows les plus diffusés. La réglementation en vigueur contraint de plus en plus les entreprises à protéger tous leurs ordinateurs contre les codes malveillants, quelle que soit leur évaluation du niveau de risque. Les malwares ciblant les plates-formes non Windows Toutes les vulnérabilités sont susceptibles d être exploitées, et ce, sur n importe quelle plate-forme. Cela est d autant plus vrai que désormais les créateurs de virus, les spammeurs et les pirates s associent pour dérober des données et de l argent à des entreprises ne se méfiant pas de ce type d actions, en recourant aux spywares, phishing et autres attaques similaires. Mac et UNIX sont aussi susceptibles que Windows de faire l objet de correctifs de sécurité visant à éliminer les failles de sécurité découvertes sur ces systèmes. Même si ces correctifs sont davantage créés pour prévenir plutôt que pour répondre à l éventuelle exploitation d une faille, cela prouve bien que les systèmes non-windows présentent effectivement des vulnérabilités exploitables et exploitées.

3 Il ne faut donc pas sous-estimer le risque d infection des plates-formes non-windows. Le peu de virus, chevaux de Troie, vers et spywares existant sur ces plates-formes ne reflète pas une incapacité des pirates à écrire des virus pour ces systèmes d exploitation mais plutôt une tendance manifeste à viser les systèmes Windows en raison du plus grand nombre d utilisateurs. Cependant, il existe un intérêt bien réel de la part de certaines communautés de pirates pour les plates-formes Mac et Linux, comme en témoignent les exemples ci-dessous : OSX/Leap-A est le premier code malveillant trouvé sur Mac OS X. Il est apparu en février 2006 et se propage aux autres utilisateurs via le programme ichat, de la même façon qu un ver dans un courriel ou une messagerie instantanée sous Windows. Linux/Rst-B Ce virus a été détecté pour la première fois en février Il s agit du virus que les utilisateurs de Linux sont les plus susceptibles de rencontrer aujourd hui car il se reproduit sur les distributions à jour. Il infecte les outils de piratage utilisés pour accéder aux serveurs Linux. Sur une période récente de trois mois, on a constaté qu environ 70 % des outils de piratage téléchargés par les pirates sur un réseau de honeypot étaient infectés par le virus Linux/Rst-B. 1 OSX/RSPlug-A Ce Cheval de Troie, le premier malware créé pour Mac à des fins d escroquerie financière, modifie la configuration des serveurs DNS pour prendre le contrôle du trafic HTTP et rediriger les utilisateurs vers des sites malveillants. Il a été détecté en novembre OSX/Hovdy-A Découvert en juin 2008, ce cheval de Troie peut dérober des mots de passe, ouvrir des pare-feux pour permettre l accès aux pirates et désactiver les paramètres de sécurité sur les postes Mac OS X. Les serveurs Linux : une cible attrayante Les serveurs constituent une cible privilégiée des pirates car ils permettent de prendre le contrôle sur un réseau d ordinateurs. Or, les réseaux Windows incorporent bien souvent un serveur Linux ou UNIX. Certaines vulnérabilités, telles qu une faiblesse au niveau du mot de passe SSH, peuvent permettre aux pirates de convertir un serveur Linux en poste de contrôle d un réseau zombie (botnet) et d installer des malwares nuisibles aux ordinateurs Windows. Ces réseaux d ordinateurs piratés sont alors utilisés pour dérober des informations, envoyer du spam (90 % du spam provient des botnets) ou pour lancer des attaques de déni de service. Etats-Unis 22 % «Zombies» Chine 10 % Allemagne 6,5 % Serveur IRC public ou privé Poste Linux compromis Brésil 6,1 % Corée 4,1 % Taïwan 3,9 % Connexion initiale France 3,3 % Pirate Spam Italie 3,1 % Inde 3,1 % Déni de service Pologne 2,9 % Autres 35 % Graphique 1 : Taux d infection par le virus Linux/ RST-B par pays Graphique 2 : Utilisation d un serveur Linux pour créer des postes zombies sur un réseau

4 En outre, de nombreux serveurs Web Apache sont hébergés sur des plates-formes Linux (ou d autres variantes UNIX). Ces serveurs sont de plus en plus visés par les pirates car ils leur permettent de placer du code malveillant sur des sites légitimes. Comme le montre le graphique 3, presque 60 % des sites Web infectés entre janvier et juin 2008 étaient hébergés sur des serveurs Apache, soit une augmentation de 49 % par rapport à ,1% % 23,8% 7,8% 4,8% 4,8% Apache 59,1 % IIS 23,8 % GFE 7,8 % nginx 4,8 % Autres 4,5 % Graphique 3 : Logiciels de serveurs les plus fréquemment utilisés sur les sites Web infectés Des menaces invisibles sur Windows La plupart des réseaux d entreprise comptent des postes Windows, même ceux qui se décrivent comme des réseaux «non-windows». Cet état de fait rend essentielle la protection de tous les postes sur le réseau. Une menace peut se transmettre par le simple fait d une connexion entre deux ordinateurs. Un virus, ou tout autre type de code malicieux, se présente sous la forme d un fichier, identique à ceux que l on trouve sur le système. Il se propage sur les serveurs et les postes de travail de différentes façons. Les CD-ROM, les DVD, les périphériques USB, les courriels, Internet et le téléchargement sont autant de vecteurs de transmission d un code malicieux. L important n est pas que ce fichier puisse seulement infecter les ordinateurs sous un système d exploitation particulier mais plutôt que ce fichier puisse être sauvegardé n importe où. La plupart du temps, l utilisateur ignore que son poste est contaminé par un virus car ce même virus est uniquement actif sur un ordinateur Windows. Même si Mac et UNIX sont moins vulnérables face aux virus que les précédentes versions de Windows, les réseaux sont toutefois menacés par ces ordinateurs qui hébergent des codes malicieux et les transmettent insidieusement aux postes Windows. Les systèmes UNIX peuvent, par exemple, transmettre facilement des virus via un partage de fichiers Samba. De plus, un seul ver suffit pour infecter tout le réseau à partir d un simple envoi d un poste non-windows à un poste Windows. Les utilisateurs de Mac ou UNIX trop complaisants représentent donc un danger réel, à l instar de «Mary Typhoïde», cette cuisinière newyorkaise identifiée comme porteur sain de la fièvre typhoïde au début du XXIème siècle qui refusa de croire qu elle constituait un danger pour ses employés et contamina bon nombre d entre eux. Un cadre juridique de plus en plus contraignant Les organes de régulation, qui ne cherchent pas à distinguer les différents types de plates-formes, approchent le problème sous un autre angle et ont introduit un arsenal de législations. Des lois telles que Sarbanes-Oxley (SOX) ou HIPAA (Health Insurance Portability and Accountability Act) aux Etats-Unis ont été élaborées pour protéger les droits et la confidentialité des individus. Toutes ces lois exigent des administrateurs informatiques qu ils protègent l ensemble des données de leurs réseaux. La loi SOX oblige les entreprises cotées en bourse à protéger toutes les machines contenant des données financières. La loi HIPAA exige de même pour les données médicales. Beaucoup de responsables informatiques en ont donc conclu que, quelle que soit la plate-forme, tous les serveurs de fichiers au sein d un réseau gérant des données financières ou médicales doivent être protégés.

5 La législation insiste sur la nécessité de : Sécuriser les informations : en aucun cas les données ne doivent pouvoir être modifiées. Toute tentative de modification ou de destruction d informations doit être clairement signalée par une alerte. Prouver le contrôle : l utilisation des journaux d événements, des fichiers d audit et des fonctions d édition de rapports aident à prouver que l entreprise respecte bel et bien les lois établies. Au cadre juridique s ajoute des normes industrielles internationales, telles que la norme PCI DSS (Payment Card Industry Data Security Standard), qui exigent des ordinateurs contenant des données confidentielles qu ils soient suffisamment protégés. La dernière version 1.2 de la norme PCI a d ailleurs récemment élargi le besoin de protection aux postes et systèmes d exploitation UNIX, qui en étaient jusque-là dispensés. Or Mac OS X repose sur UNIX, de même Linux est fonctionnellement semblable à UNIX, par conséquent ces systèmes d exploitation doivent également être protégés par un logiciel antivirus. Le standard PCI Data Security Standard a également, dans sa dernière version, élargi sa définition de programme malveillant aux rootkits (logiciels indétectables par l antivirus qui permettent à un tiers de prendre le contrôle, de façon légitime ou frauduleuse, d un poste Windows ou UNIX), soulignant le besoin de protection contre ces logiciels malicieux. Les réglementations gouvernementales et industrielles exigent la mise en place d une protection adéquate pour tous les ordinateurs détenant des informations confidentielles. Les menaces à venir Windows équipant un très grand nombre de machines, il reste le système le plus facile à attaquer. Les menaces ciblant Windows resteront donc toujours les plus répandues. Cependant, même si Microsoft va continuer à dominer le marché des systèmes d exploitation pour postes de travail et serveurs dans les prochaines années, la tendance des créateurs de virus à s intéresser aux autres plates-formes va se confirmer. La protection améliorée des systèmes Windows ainsi que l évolution quotidienne des menaces vers des tentatives d arnaques et d extorsions financières augmentent les chances d attaques des systèmes moins répandus. De plus, Mac et UNIX / Linux ont de plus en plus de succès auprès des utilisateurs. Les serveurs Linux représentaient 12,7 % du marché global de serveurs (1,6 milliards de dollars) au premier trimestre Mac, qui occupe une part importante sur les marchés professionnels, en particulier les média et l éducation, a vu ses ventes augmenter en un temps record au troisième trimestre 2008, avec la livraison de près de 2,5 millions d ordinateurs. Oui mais pas autant que Windows Oui Non Graphique 4 : Pourcentage de personnes pensant que les Macs seront plus souvent ciblés à l avenir Et les auteurs de malwares ne manqueront pas de cibler ce nombre croissant d utilisateurs de Mac et Linux. En effet, lors d un sondage en ligne réalisé par Sophos début 2008, 93 % des participants pensaient que les postes Macs seraient davantage ciblés à l avenir (contre 79 % en 2006). 4

6 De même, le pourcentage d interrogés pensant que les postes Macs ne seront pas autant visés que les postes Windows est passé de 59 % en 2006 à 50 % (cf. graphique 4). Il convient également de prendre en considération le développement futur des menaces Web. Les malwares sont actuellement écrits pour des systèmes d exploitation spécifiques, le Web étant utilisé simplement comme vecteur de diffusion. Toutefois, la charge malveillante des malwares pourrait à l avenir se transmettre directement via l environnement du navigateur, indépendamment des systèmes d exploitation. Dans ce scénario, les postes Mac, Linux et Windows seraient en proie au même risque d infection. Relever le défi de la sécurité Les utilisateurs se retrouvent toujours en position de maillon faible dans la chaîne de sécurité. L OSX/Leap-A, par exemple, se propage via messagerie instantanée. Quel que soit le système d exploitation, Mac, Linux, UNIX, NetWare, OpenVMS ou Windows, les utilisateurs peuvent potentiellement être victimes d attaques par «social engineering» et être incités à télécharger des codes malveillants sur leur ordinateur. Pour relever le défi de la sécurité, il est nécessaire d informer les utilisateurs sur les bonnes pratiques informatiques et de compléter ces enseignements avec une protection fiable et efficace. En incorporant des postes non-windows à la stratégie réseau générale, les départements informatiques pourront s assurer que ces postes ne risquent pas d être infectés ni d infecter des postes Windows. De même, les organisations, en protégeant les postes d extrémité, les postes nomades et les serveurs avec une solution antivirus solide, s assureront du respect des lois toujours plus strictes sur la protection et la modification des données. Grâce aux journaux d évènements et à l édition de rapports, elles seront également à même de fournir les preuves de contrôle requises et s éviteront ainsi les conséquences liées au nonrespect des lois établies. Les utilisateurs sont toujours le maillon faible dans la chaîne de sécurité. Résumé Dans un environnement où les menaces sont déjà très présentes, laisser un poste non-windows sans protection augmente encore les risques. Même si le risque d infection d un poste non- Windows est encore faible, il est bel et bien réel et ira en augmentant, tout comme les nouvelles attaques ciblées des créateurs de virus, des spammeurs et des pirates, maintenant animés par des motivations financières. En protégeant leurs systèmes Linux, UNIX, Mac et autres, les entreprises bloquent non seulement les codes malicieux non-windows mais s assurent également du respect des lois en vigueur. Plus encore, elles permettront d éviter que des codes malicieux soient hébergés et redistribués via le réseau informatique et préserveront ainsi l intégrité et la continuité des services au sein de leur organisation. La solution Sophos Sophos Endpoint Security and Control assure une protection contre les virus, spywares, adwares et pirates informatiques et contrôle l utilisation des logiciels non autorisés, assurant un contrôle de sécurité inter-plates-formes pour les postes de travail, portables, serveurs de fichiers et appareils mobiles, y compris Windows, Mac et Linux. Pour en savoir plus sur Sophos NAC, visitez Les SophosLabs encouragent les utilisateurs Linux à utiliser leur outil de détection gratuit pour rechercher les virus Linux/Rst-B. Pour en savoir plus sur cet outil gratuit, consultez notre page www. sophos.com/rst-detection-tool (en anglais)

7 Sources (en anglais) The case for AV for Linux: Linux/RST-B, Virus Bulletin, Août 2008 Linux server market share keeps growing (La part de marché des serveurs Linux ne cesse de croître) Apple reports record third quarter results (Apple annonce des résultats record pour son troisième trimestre) Sondage en ligne Sophos, 29 janvier - 7 février Boston, Etats-Unis Oxford, Royaume-Uni Copyright Sophos Plc. Toutes les marques déposées et tous les copyrights sont compris et reconnus par Sophos. Aucune partie de cette publication ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise, sous quelque forme ou par quelque moyen que ce soit, sans le consentement préalable écrit de l éditeur.