La nouvelle dimension des logiciels criminels furtifs



Documents pareils
Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE


Symantec Endpoint Protection Fiche technique

Protection pour site web Sucuri d HostPapa

Les vols via les mobiles

Dans la jungle des malwares : protégez votre entreprise

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

Solutions McAfee pour la sécurité des serveurs

«Obad.a» : le malware Android le plus perfectionné à ce jour

ISEC. Codes malveillants

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

La protection des systèmes Mac et Linux : un besoin réel?

Sécurité sur le web : protégez vos données dans le cloud

Fiche Technique. Cisco Security Agent

Club des Responsables d Infrastructures et de la Production

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Pourquoi choisir ESET Business Solutions?

Sécurité des blogs et des sites PHP : Protéger Wordpress et les sites similaires contre les pirates

SOLUTIONS INTELLIGENTES DE PRÉVENTION DES FRAUDES

Introduction aux antivirus et présentation de ClamAV

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Notions de sécurités en informatique

La prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC)

Comment Repérer les Faux Logiciels Antivirus Par l équipe FortiGuard Labs de Fortinet.

2011 et 2012 Arrow ECS. Partenaire Distribution EMEA. de l année

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

Attention, menace : le Trojan Bancaire Trojan.Carberp!

NETTOYER ET SECURISER SON PC

VOLET 4 SECURITY BULLETIN KASPERSKY LAB. Prévisions 2015 (C) 2013 KASPERSKY LAB ZAO

Les menaces sur internet, comment les reconnait-on? Sommaire

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Symantec MessageLabs Web Security.cloud

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

SOLUTIONS TRITON DE WEBSENSE

AGENT LÉGER OU SANS AGENT. Guide des fonctionnalités Kaspersky Security for Virtualization

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

les prévisions securité 2015

Les conseils & les astuces de RSA Pour être tranquille sur Internet

RSA ADAPTIVE AUTHENTICATION

Trusteer Pour la prévention de la fraude bancaire en ligne

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

Sécurité. Tendance technologique

Une nouvelle approche globale de la sécurité des réseaux d entreprises

La sécurité informatique

IBM Tivoli Compliance Insight Manager

«Le malware en 2005 Unix, Linux et autres plates-formes»

5 éléments qu une solution de gestion de mobilité pour l entreprise (EMM) doit avoir

Découverte et investigation des menaces avancées PRÉSENTATION

Les botnets: Le côté obscur de l'informatique dans le cloud

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

Atteindre la flexibilité métier grâce au data center agile

Progressons vers l internet de demain

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

La Cybersécurité du Smart Grid

Meilleures pratiques de l authentification:

Les attaques APT Advanced Persistent Threats

GESTION DE FLOTTE MOBILE (MDM), LE GUIDE DES BONNES PRATIQUES

Les rootkits navigateurs

Guide de démarrage rapide. Microsoft Windows 7 / Vista / XP / 2000 / 2003 / 2008

Une nouvelle approche globale de la sécurité des réseaux d entreprises

EVault Endpoint Protection en détails : Gestion de l entreprise, Sauvegarde, Restauration et Sécurité

Découvrir les vulnérabilités au sein des applications Web

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

Solutions de sécurité des données Websense. Sécurité des données

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Guide d administration de Microsoft Exchange ActiveSync

Appliances et logiciels Security

Surveillance de réseau : un élément indispensable de la sécurité informatique

LA SÉCURITÉ RÉINVENTÉE

Rapport 2015 sur les risques d attaques informatiques

Présenté par : Mlle A.DIB

Mail-SeCure sur une plateforme VMware

Pourquoi un pack multi-device?

UNE NOUVELLE MENACE : LA PUB-ILLICITE OU QUAND LA PUBLICITE SERT DE PASSERELLE A LA CYBER CRIMINALITE

Feuille de données Outpost Antivirus Pro 2009 Antivirus de haute vitesse qui vous tient à la tête du jeu

Cybercriminalité. les tendances pour 2014

Appliances et logiciels Security

Stratégie intelligente de reprise d activité pour les postes de travail : postes de travail sous forme de service (DaaS) LIVRE BLANC

Premiers pas avec VMware Fusion. VMware Fusion pour Mac OS X

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

Liens de téléchargement des solutions de sécurité Bitdefender

Sécuriser une infrastructure de postes virtuels avec Citrix NetScaler.

Tirez plus vite profit du cloud computing avec IBM

VISION : MULTILAYER COLLABORATIVE SECURITY *

Antivirus : les Français, rois du gratuit, les Russes, rois du payant

NETTOYER ET SECURISER SON PC

Installation et mise en sécurité des postes de travail Windows

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE

AV-TEST teste 22 applications antivirus pour les smartphones et les tablettes Android

Auteur : Axelle Apvrille, chercheur sénior anti-virus sur mobile chez Fortinet

1. En moyenne, un ordinateur sans protection connecté à Internet est infecté après... quelques minutes heures 3 jours plus d une semaine

Etat de l art des malwares

QUESTIONS / REPONSES ESET Smart Security ESET NOD32 Antivirus V.3

Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises

Faites vos achats en ligne en toute confiance

Transcription:

Livre blanc La nouvelle dimension des logiciels criminels furtifs Dave Marcus, Directeur de la recherche en sécurité et de la communication, McAfee Labs, et Thom Sawicki, responsable de la stratégie produits, Endpoint Security Software and Services, Intel Corporation

Sommaire Introduction 3 L implantation 3 Les dommages 4 Des multinationales aux petites entreprises : tous les directeurs et responsables informatiques doivent agir 5 Les principes essentiels de la technologie furtive 5 Stuxnet : «un ver dans la centrifugeuse» 5 Zeus : le «parrain» des botnets 6 Le mode opératoire de Zeus 7 Mise au point d une offensive efficace contre les rootkits 7 Migration de la protection vers les couches situées en-dessous du système d exploitation 7 2

Prenez la furtivité, la créativité et la patience de Stuxnet. Ajoutez-y le mercantilisme, la distribution en masse et les kits d outils d une grande simplicité d emploi de Zeus. Songez qu en mai 2011, en dépit de leurs nombreuses années d activité, aucun des gangs de cybercriminels à l origine de ces attaques n avait été identifié. Et vous aurez compris la recette et toute l efficacité des logiciels malveillants (malwares) qui sévissent aujourd hui. N attendez plus pour préparer votre défense. Il vous faudra plus que des signatures et une protection du système d exploitation pour mettre vos éléments de propriété intellectuelle et autres actifs à l abri des escrocs très habiles au maniement de ces armes. Introduction La furtivité est l art de se déplacer sans bruit, d être invisible. Les technologies furtives permettent aux avions militaires, aux Ninjas et aux logiciels malveillants de s approcher de l ennemi sans être vus et de lancer une attaque, de recueillir des renseignements ou de prendre le contrôle des systèmes et des données. Bien que les techniques furtives soient utilisées dans des attaques sophistiquées comme Conficker et l opération Aurora, l attaque Stuxnet atteint de nouveaux sommets et démontre toute la détermination des criminels à exploiter ces techniques pour s emparer des données ou cibler des systèmes informatiques. Les innovations mises en œuvre par Stuxnet combinaient l exploitation de cinq vulnérabilités de type «jour zéro», trois rootkits et deux certificats numériques volés. Les puissants outils, proposés notamment par le kit d outils du logiciel criminel (crimeware) Zeus, permettent de concevoir des logiciels malveillants furtifs par un simple pointer-cliquer. Leur développement n est plus réservé aux programmeurs chevronnés : il est désormais à la portée de tous. Bien qu il soit difficile d avancer des chiffres précis, McAfee Labs estime qu environ 15 % des logiciels malveillants font appel à des techniques furtives évoluées pour dissimuler et propager des menaces malveillantes capables de provoquer des dégâts considérables 1. Ces attaques constituent la pierre angulaire, ou encore l élément «persistant», des menaces persistantes avancées. Lorsque les innovations présentes dans Stuxnet seront associées à des kits d outils de programmation très simples, tel celui proposé par Zeus, ces attaques furtives complexes se multiplieront et menaceront toutes les entreprises. Les logiciels criminels entreront dans une nouvelle dimension et, pour les tenir en échec, les entreprises devront adopter de nouvelles solutions de protection contre ces menaces spécifiques capables de sécuriser toutes les couches de la plate-forme et pas simplement le système d exploitation. L implantation Les techniques furtives permettent aux logiciels malveillants de s introduire dans des postes clients vulnérables de n importe quel secteur, agence gouvernementale ou entreprise. Une fois ceux-ci implantés dans un système, les auteurs d attaques peuvent facilement choisir les données et les ressources dont ils veulent s emparer ou se cacher où bon leur semble pour lancer des opérations de reconnaissance. A partir d un système qu il a compromis ou dont il a pris possession («pwned» 2 ), le pirate peut voyager sur le réseau à la recherche de vulnérabilités et de données. La première chose à savoir sur des logiciels malveillants furtifs comme Stuxnet et Zeus est qu ils se rendent complètement maîtres des ordinateurs qu ils piratent. Grâce à des rootkits qui fonctionnent à différents niveaux (utilisateur, noyau et micrologiciel), les logiciels malveillants peuvent se dissimuler, se répliquer et prévenir toute tentative de suppression, mais aussi désactiver la protection antivirus et d autres systèmes de défense 3. Comme le pirate contrôle le système, il peut également recourir à des techniques furtives pour limiter le risque de détection. Les logiciels criminels peuvent minimiser leur impact sur l utilisateur du système, masquer les déplacements des données sur un réseau local, se supprimer et se réinstaller, effectuer une mise à jour de leurs composants via Internet et se déplacer d un ordinateur à l autre. Lorsqu ils s introduisent dans les ordinateurs, ils se présentent sous une apparence inoffensive et restent inactifs afin d attendre le bon moment pour activer leur code, télécharger leur charge active et corrompre le système. Plus grave encore, certains rootkits peuvent s autoréparer et se réinstaller à partir de leur cachette après le nettoyage d un système. Ils peuvent ainsi prolonger la durée du contrôle de l ordinateur compromis par le pirate. Si le service informatique est convaincu d avoir résolu le problème, il risque d ignorer certaines alertes générées ultérieurement par le système. L auteur d attaque peut ainsi utiliser le système compromis comme un refuge à long terme. 3

Les dommages Les organisations consacrent un temps et des montants considérables à rechercher les hôtes compromis et à se remettre des divulgations de données qu ils provoquent. Dans le cas d une infection par des logiciels furtifs, la meilleure mesure actuellement recommandée pour y remédier consiste à restaurer une image fiable ou une copie de sauvegarde correcte. Lorsque le code d une attaque furtive reste latent pendant de longues périodes, il peut arriver toutefois qu une sauvegarde ne soit pas aussi fiable que vous ne le pensiez. La solution la plus sûre consiste sans doute à réinstaller les images de l environnement d exploitation et des applications des fabricants et éditeurs. Le nettoyage coûte cher. La restauration d une image peut prendre cinq heures par ordinateur et détourner l informaticien et l utilisateur final de tâches plus productives. La complexité croissante des techniques furtives ne fera qu augmenter ces coûts de nettoyage. Comme certains logiciels malveillants peuvent se réinstaller après la restauration d une image, l approche la plus prudente adoptée de nos jours consiste à remplacer les ordinateurs infectés, ce qui représente un coût élevé tant en investissements qu en productivité. Etant donné que la plupart des sociétés révèlent les divulgations de données subies seulement lorsque les réglementations l exigent (notamment les fuites d informations d identification personnelle), les coûts tangibles sont difficiles à évaluer. Plusieurs chiffres permettent toutefois de dégager certaines tendances : Rapidité de la diffusion McAfee Labs a détecté jusqu à six millions de nouvelles infections par réseau de robots (botnet) en un mois. Fuites de données en hausse Des attaques malveillantes ont été à l origine de 31 % des divulgations de données recensées lors de l étude Cost of a Data Breach (Coût des fuites de données) réalisée en 2011 par le Ponemon Institute, le plus haut pourcentage observé depuis la première publication de cette étude il y a cinq ans 4. Augmentation des coûts liés aux divulgations de données Un enregistrement compromis coûte en moyenne 214 dollars et le coût moyen d une divulgation de données s élève à 7,2 millions de dollars 5. Conformité en péril Près de trois quarts des sociétés interrogées dans le cadre d une étude menée par Evalueserve en 2011 déclarent que l identification des menaces et des vulnérabilités représente leur défi majeur en matière de gestion des risques 6. Incidence sur la productivité La restauration d une image par système représente cinq heures de travail perdues pour l informaticien et l utilisateur (10 heures au total) et coûte environ 585 dollars par poste client. Dans une société comptant 5 000 postes, un taux d infection de 1 % entraîne 30 000 dollars de frais de nettoyage. Fichiers binaires de rootkit uniques découverts (cumulés) 2 000 000 1 800 000 1 600 000 1 400 000 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 Jan Févr. Mars Avr. Mai Juin Juil. Août Sept. Oct. Nov. Déc. Jan Févr. Mars Avr. Mai Juin Juil. Août Sept. Oct. Nov. Déc. Jan Févr. Mars 2009 2009 2009 2009 2009 2009 2009 2009 2009 2009 2009 2009 2010 2010 2010 2010 2010 2010 2010 2010 2010 2010 2010 2010 2011 2011 2011 Figure 1 Les recherches de McAfee montrent une croissance régulière des logiciels malveillants de type rootkits furtifs (42 échantillons en 2007 pour près de 2 millions aujourd hui). 4

Des multinationales aux petites entreprises : tous les directeurs et responsables informatiques doivent agir L histoire de la haute technologie montre que les techniques à succès mises en œuvre dans des petites entreprises sont adoptées par les grandes, et inversement. Les techniques sont combinées et recombinées dans des variations sans fin. Dès lors, dans l éventualité plus que probable d une utilisation conjointe des stratégies d attaque de Stuxnet et de Zeus, les gouvernements et les grandes marques ne seront pas les seuls à souffrir. Un pirate déterminé peut concevoir des outils pour s emparer de la richesse essentielle de n importe quelle société : Données de cartes de crédit des commerces de détail et des sociétés chargées du traitement des transactions Campagnes de promotion et de lancement de produits des agences de publicité et des sociétés du secteur de la grande distribution Dossiers médicaux du personnel des entreprises possédant un régime d autoassurance Données cartographiques des sociétés de prospection de sources d énergie Code source des éditeurs de logiciels Schémas de conception des produits des fabricants Les principes essentiels de la technologie furtive Les pirates professionnels apprennent très tôt comment effacer leurs traces le plus longtemps possible. Les rootkits représentent l un de leurs outils de prédilection dans la mesure où ils peuvent s en prendre à n importe quel système, des serveurs de base de données et des terminaux de point de vente à l électronique automobile embarquée en passant par les téléphones mobiles. Dans la mesure où les rootkits peuvent fonctionner au niveau du système d exploitation et dans les couches inférieures, ils peuvent dissimuler et altérer l apparence des fichiers, processus et clés de Registre modifiés par d autres logiciels malveillants. Ces caractéristiques en font un élément essentiel d une attaque menée en plusieurs étapes. Examinons deux études de cas : Stuxnet et Zeus. Ces deux exemples illustrent parfaitement la nécessité, pour les solutions de protection contre les logiciels criminels, de couvrir toutes les couches de l architecture, sans se limiter au système d exploitation. Stuxnet : «un ver dans la centrifugeuse» 7 L attaque Stuxnet semble avoir été conçue pour perturber le fonctionnement des systèmes de contrôle industriels des programmes nucléaires iraniens. Elle s est servie de rootkits affectant le mode noyau et le mode utilisateur ainsi que d un rootkit installé dans le contrôleur à logique programmable (PLC, Programmable Logic Controller), jusque là inconnus. Les rootkits affectant les modes noyau et utilisateur dissimulaient des fichiers puis déchiffraient et injectaient du code dans des processus en cours d exécution. La version du printemps 2010 du rootkit en mode noyau comprenait des pilotes de périphériques signés qui avaient été volés de sorte que le rootkit était considéré comme du code légitime par le système d exploitation. Ces logiciels malveillants complexes étaient associés à quatre vulnérabilités Microsoft Windows de type «jour zéro» pour faciliter la distribution et la dissimulation de leur charge active jusqu à ce qu elle trouve sa cible, tandis que le rootkit affectant les contrôleurs à logique programmable exploitait une vulnérabilité Siemens encore inconnue. Le rootkit présent dans le contrôleur PLC possédait un composant de furtivité supplémentaire : un wrapper malveillant qui isolait le contrôleur en question des systèmes de contrôle chargés du fonctionnement de plusieurs centrifugeuses utilisées pour enrichir l uranium. Le wrapper interceptait les appels au contrôleur PLC et indiquait au système de contrôle que l ensemble des systèmes fonctionnaient correctement alors qu en fait, le logiciel malveillant avait reprogrammé toutes les centrifugeuses, les rendant inutilisables. Fonction du réseau de robots - Distribution de spam (les zombies des dix principaux réseaux de robots envoient plus de 25 400 messages de spam par jour et par zombie, soit 134 milliards au total par jour) - Lancement d attaques par déni de service distribué contre des entreprises ciblées - Accès aux fichiers d un réseau compromis, y compris au code source des nouveaux produits - Enregistrement des frappes au clavier aux fins de vol d informations personnelles et d usurpation d identité - Vol de logiciels légitimes en vue de les revendre - Vol de revenus générés par la publicité facturée au clic Grâce à la combinaison de rootkits de bas niveau, de vulnérabilités inconnues et d autres outils d activation divers, Stuxnet est sans doute la menace la plus complexe que les chercheurs en sécurité aient pu analyser publiquement 8. 5

Zeus : le «parrain» des botnets Les logiciels malveillants furtifs ont toujours été difficiles à écrire et, par conséquent, relativement rares. Toutefois, les attaques par des logiciels criminels commerciaux, tel Zeus, ont changé la donne. Alors que le nombre d échantillons de rootkit identifiés par McAfee s élevait à 43 en janvier 2007, il atteignait 133 090 échantillons uniques en juillet 2010, au moment même où le public découvrait Stuxnet, mais ce n est peut-être qu un simple hasard. L organisation Zeus fonctionne comme de nombreux éditeurs d outils logiciels commerciaux. Outre une procédure normative de distribution qui inclut des tests de la version bêta, Zeus propose sa technologie de haut vol dans un kit d outils si simple que les élèves d un cours d informatique de secondaire peuvent l utiliser. Les franchisés de Zeus peuvent rapidement développer des rootkits en mode noyau personnalisés afin de concevoir un réseau de robots composé d hôtes compromis ou sous contrôle («pwned»). L informatique dématérialisée (ou «Cloud Computing») a également été récupérée par Zeus. Les criminels peu intéressés par la programmation peuvent louer ou acheter des réseaux de robots Zeus fonctionnels afin de lancer des campagnes de spam, d exécuter des attaques par déni de service distribué ou de rechercher des types de données spécifiques, par exemple des informations propriétaires. Figure 2 Le kit d outils Zeus/Spy Eye facilite la création de logiciels malveillants furtifs et masqués. Comme avec certains médicaments, des échantillons de capsules de café et l essai de conduite d un véhicule électrique Tesla, le premier accès au kit d outils Zeus est gratuit. Beaucoup ne veulent pas en rester là. Vous voulez un utilitaire VNC (Virtual Network Computing) afin de pouvoir contrôler un hôte à distance et voir l écran, les clics de souris et les frappes au clavier? Il vous en coûtera 500 dollars de plus. Avec cette option, vous pouvez obtenir une mise à niveau du module d injection de commandes Firefox, qui vous permet d ajouter des champs à n importe quelle application de navigateur. Logiciel initialement conçu pour voler des informations d identification bancaires, cette fonction de Zeus peut être utilisée pour capturer n importe quel autre type de données de valeur, par exemple les informations de connexion des comptes d administrateur et des applications internes ou encore des numéros de sécurité sociale, de carte de crédit ou de téléphone mobile. Zeus est désormais l outil de prédilection des voleurs de données 9,10. 6

Le mode opératoire de Zeus Zeus se propage généralement par l intermédiaire d e-mails ou de sites web compromis. Les criminels dirigent le trafic vers un site de phishing (un site falsifié), où le cheval de Troie sera téléchargé à l insu de l utilisateur et sans aucune intervention de ce dernier. Pour viser une communauté d utilisateurs spécifique, l auteur de l attaque peut introduire un cheval de Troie Zeus personnalisé sur un site web légitime. Si, par exemple, vous cherchez à vous procurer des schémas de conception d un constructeur automobile, vous pouvez installer votre code sur www.cardesignnews.com, un site web qui prétend être la première ressource en ligne en matière de conception automobile. Les auteurs d attaques peuvent également incorporer leurs chevaux de Troie Zeus dans des pièces jointes de message, par exemple des fichiers PDF corrompus. L utilisation d e-mails de «spear phishing», personnalisés à l aide de l ingénierie sociale ou de réseaux sociaux, sera de plus en plus répandue dans la mesure où les pirates cherchent à obtenir des informations spécifiques ou à prendre le contrôle de systèmes vulnérables au sein d organisations précises. Le kit d outils Zeus n est qu un exemple parmi d autres. Au cours du dernier trimestre 2010, au moins trois autres kits d outils d exploits vendus à prix cassé permettaient de créer des réseaux de robots à l aide d exploits précompilés. Au vu de la multitude de kits d outils serveur et web proposés, il n est guère étonnant que McAfee Labs détecte environ 60 000 nouveaux logiciels malveillants chaque jour. Il y a peu, le code source du cheval de Troie Zeus a été publié sur plusieurs sites clandestins. Cette distribution du code source malveillant offre aux développeurs de logiciels criminels la possibilité de créer des produits dérivés pour accomplir leurs sombres desseins. Comme le sait n importe quel programmeur, démarrer avec un programme fonctionnel accélère considérablement un projet. Lorsqu il dispose du code source, un développeur averti peut modifier Zeus pour mieux cibler des utilisateurs ou des données spécifiques tout en incorporant des mécanismes furtifs encore plus pernicieux. Cela laisse présager une vague encore plus importante de nouveaux exploits de type «jour zéro». Mise au point d une offensive efficace contre les rootkits Les entreprises déploient de nombreux niveaux de sécurité pour se prémunir contre les actes de piratage et les logiciels malveillants traditionnels. Ces outils restent très utiles car aucune technique malveillante n est jamais réellement abandonnée. Comme l arsenal des pirates hors-la-loi ne cesse de s enrichir, les experts en piratage œuvrant pour la bonne cause doivent également renforcer le leur. Les rootkits représentent un défi de taille car leurs développeurs possèdent une parfaite connaissance du système d exploitation, de ses pilotes de périphériques et des autres composants logiciels. Grâce à cette connaissance approfondie, ils peuvent damer le pion aux logiciels de sécurité intégrés à la plupart des systèmes d exploitation. Quelques outils de sécurité actuels offrent une défense efficace contre les rootkits d aujourd hui. Par exemple, les analyseurs antivirus et les systèmes de prévention des intrusions sur l hôte fonctionnent au niveau du système d exploitation et des couches supérieures. Ils sont en mesure d examiner la mémoire et de surveiller les privilèges utilisateur pour détecter et neutraliser les rootkits en mode utilisateur assez classiques. En revanche, les techniques furtives qui agissent au niveau du noyau et en-dessous échappent aux outils traditionnels d analyse antivirus, des vulnérabilités et du système d exploitation. Les rootkits en mode noyau possèdent des privilèges au niveau du système. Par conséquent, ils sont plus difficiles à détecter et à neutraliser. Stuxnet et Zeus montrent à quel point le cybercrime actuel a évolué et gagné en sophistication depuis quelques années. Migration de la protection vers les couches situées en-dessous du système d exploitation Aujourd hui, les criminels savent comment les logiciels et les outils de sécurisation fonctionnent. Ils exploitent de plus en plus ces connaissances pour contourner les solutions de sécurité. Après s être livrés à une partie d échecs avec les cybercriminels depuis plus de vingt ans, les chercheurs de McAfee et d Intel estiment qu il est temps de repenser notre approche en matière de détection et de blocage des logiciels malveillants furtifs. Nous devons appliquer notre connaissance des ordinateurs et des criminels aux composants de la plate-forme situés sous le système d exploitation et trouver une nouvelle façon d exploiter nos formidables outils de protection et de détection. Pour tenir en échec les menaces posées par les rootkits, les systèmes de défense des entreprises ne doivent plus se concentrer uniquement sur la pile d exploitation logicielle mais surveiller les activités depuis un nouvel emplacement stratégique qui soit plus proche et fasse partie intégrante du matériel. Nous savons qu il est nécessaire d agir rapidement. Zeus s attaque déjà à l environnement mobile. Nous avons découvert des rootkits visant les terminaux Android et les attaques menées contre ce système d exploitation sont en hausse. Il ne faudra pas longtemps avant que ce type de logiciels malveillants s en prenne à tout l éventail des équipements mobiles et embarqués interconnectés. 7

Jusqu il y a peu, la plupart des fournisseurs de solutions de sécurité se concentraient sur la pile logicielle dans la mesure où celle-ci était la cible des menaces. Etant donné que les rootkits abandonnent les niveaux utilisateur et noyau pour s attaquer au système d amorçage, à l hyperviseur et aux microprogrammes, les chercheurs en sécurité collaborent avec les fabricants de matériel pour migrer la sécurité vers les niveaux inférieurs de la plate-forme. Au moment de l annonce du programme McAfee Embedded Security et des plans de développement de produits avec WindRiver, McAfee a conseillé aux organisations d établir des relations d approbation qui permettent uniquement aux logiciels approuvés, et à ceux-là seulement, d exécuter ou de modifier du code. McAfee et Intel cherchent à présent à appliquer leurs connaissances collectives de la sécurité, des logiciels et des systèmes pour garder une longueur d avance sur les innovations des logiciels criminels, notamment les logiciels malveillants furtifs qui ne se contentent plus de viser les ordinateurs mais s en prennent désormais aux smartphones, aux systèmes de contrôle industriels et à tous les types d équipements intelligents. Au cours des prochaines années, votre organisation, société ou administration mettra à niveau et adoptera des périphériques de nouvelle génération, mettra en place des réseaux à bande passante plus élevée et étendra l infrastructure aux équipements mobiles. Afin de la prémunir contre les infections par des logiciels malveillants furtifs, votre éventail de solutions de sécurité doit inclure des produits qui incorporent des mécanismes de défense des éléments situés sous le système d exploitation. Dans chaque niveau de sécurité que vous déploierez, de l authentification et du chiffrement à l inspection et à l approbation, votre protection contre les logiciels malveillants furtifs devra exploiter et s étendre à tous les composants de la plate-forme pour être plus efficace. La prochaine génération de solutions de sécurité assurera une protection depuis le tout premier cycle de traitement informatique et tous les suivants. Pour en savoir plus, visitez notre site à l adresse : www.mcafee.com/fr/mcafee-labs.aspx. Les auteurs Dave Marcus est actuellement Directeur de la recherche en sécurité et de la communication chez McAfee Labs. Il a pour mission de faire connaître les renseignements sur les menaces collectés au niveau mondial et la recherche de pointe que mène McAfee Labs auprès des clients McAfee et de la communauté des experts en sécurité. Avant cela, Dave Marcus était responsable de la stratégie et de la promotion des technologies de sécurité pour McAfee. Il possède plus de dix ans d expérience technique dans le domaine de la sécurité informatique, de l intégration et des performances réseau, des solutions de formation en ligne, en plus de compétences en gestion et services conseils. Thom Sawicki est responsable de la stratégie produits de la nouvelle division Endpoint Security Software and Services appartenant à l organisation Software and Services Group d Intel. Il dirige une équipe chargée de créer une filière de nouveaux produits novateurs pour Intel. M. Sawicki était jusqu il y a peu responsable de la stratégie des technologies pour Intel Labs. Ses compétences en développement de stratégies, en analyse des marchés et en communication appliquée aux technologies lui ont valu un brillant palmarès allant de l innovation dans le domaine de la recherche au développement de produits. A propos de McAfee McAfee, filiale à part entière d Intel Corporation (NASDAQ : INTC), est la plus grande entreprise au monde entièrement dédiée à la sécurité informatique. Elle propose dans le monde entier des solutions et des services proactifs et réputés, qui assurent la sécurisation des systèmes, des réseaux et des périphériques mobiles et qui permettent aux utilisateurs de se connecter à Internet, de surfer ou d effectuer leurs achats en ligne en toute sécurité. Grâce au soutien de son système hors pair de renseignement sur les menaces, Global Threat Intelligence, McAfee crée des produits innovants au service des particuliers, des entreprises, du secteur public et des fournisseurs de services, pour les aider à se conformer aux réglementations, à protéger leurs données, à prévenir les perturbations dans le flux des activités, à identifier les vulnérabilités ainsi qu à surveiller et à améliorer en continu leurs défenses. McAfee consacre tous ses efforts à trouver des solutions novatrices afin d assurer à ses clients une protection irréprochable. http://www.mcafee.com/fr 1 McAfee Labs 2 Dans le jargon utilisé par les joueurs en ligne, «pwn» signifie conquérir ou prendre possession de quelque chose. Nous l utilisons ici dans le sens de prendre le contrôle d un ordinateur hôte. 3 http://blogs.mcafee.com/mcafee-labs/exploring-stealthmbr-defenses 4 http://www.ponemon.org/blog/post/cost-of-a-data-breach-climbs-higher 5 Ibid. 6 Etude d Evalueserve Risk & Compliance Outlook 2011 (Perspectives 2011 en matière de risques et de conformité), sponsorisée par McAfee 7 http://www.economist.com/node/17147818 8 Cet article s intéresse surtout aux rootkits utilisés dans l attaque Stuxnet. Il existe de nombreuses analyses très complètes de Stuxnet, notamment dans le magazine Vanity Fair ou encore les blogs McAfee : http://blogs.mcafee.com/mcafee-labs/stuxnet-update. 9 Les réseaux de robots à l aube d une nouvelle ère, McAfee Labs 10 http://blogs.mcafee.com/mcafee-labs/the-first-combined-zeusspyeye-toolkit McAfee S.A.S. Tour Franklin, La Défense 8 92042 Paris La Défense Cedex France +33 1 47 62 56 00 (standard) www.mcafee.com/fr McAfee, le logo McAfee et McAfee Labs sont des marques commerciales déposées ou des marques commerciales de McAfee, Inc. et/ou de ses sociétés affiliées aux Etats-Unis et/ou dans d autres pays. Les autres noms et marques peuvent être la propriété d autres sociétés. Les plans, les spécifications et les descriptions des produits mentionnés dans le présent document sont donnés à titre indicatif uniquement. Ils peuvent être modifiés sans préavis et sont fournis sans aucune garantie, implicite ou explicite. Intel est une marque commerciale d Intel Corporation aux Etats-Unis et/ou dans d autres pays. Copyright 2013 McAfee, Inc. et Intel Corp. 28403wp_stealth-crimeware_0911_fnl_ETMG

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back