La messagerie, application centrale et talon d Achile de l entreprise Conférence CIO-CSO-LMI-La Tribune Automobile Club de France, 12 avril 2005 Philippe Dufour - Sophos France
La messagerie, talon d Achile de l entreprise Evolution de la menace virale Etat des lieux sur le spam Convergence des menaces
Top 10 de Mars: Tous sont des vers de messagerie apparus pour la plupart il y a plusieurs mois
Dans l ombre des vers de messagerie les chevaux de Troie se multiplient, et parmi eux les spyware malicieux Chevaux de Troie 53% Script 1% Macro 1% Autres virus Windows 42% Dialers 3% Appels clients Source Sophos Janvier 2005
Méthodes des spammeurs (jusqu en2003) Se concentraient sur la dissimulation du contenu et des sources 85% utilisaient la dissimulation HTML 35% utilisaient des références vers des images Web Les sources de spam les plus courantes étaient les sites de messageries gratuites et les proxies ouverts Les spammeursn étaientpas si malins après tout Il était relativement faciled identifierles techniques de dissimulation, les en-têtes trafiquées et autres erreurs 2 ou 3 nouvelles techniques apparaissaient chaque semaine Des mises à jour toutes les 2 semaines suffisaient
Méthodes des spammeurs (2004 à ce jour) Modification aléatoire et rapide des sources, du contenu, et des destinations Les sources incluent maintenant des systèmes zombies infectés par des chevaux de Troie Les techniques de dissimulation sont moins évidentes (ereurs d orthographe) Les destinations sont rapidement jetables
Vols et arnaques électroniques se multiplient : Key Logging et Phishing Traditionnellement, les créateurs de virus ne cherchaient pas à dérober del argent à leurs victimes Cette année,plusieurs vers ont essayé d obtenir des informations financières des utilisateurs Tofger attend que les utilisateurs visitent les sites en ligne de banques (ex. Abbey, Barclays, HSBC ) puis enregistre les entrées du clavier et des copies del écran, pour les renvoyer vers des pirates 1,8 millionsd internautes ont été victimes de phishing en 2004 (source: Gartner Group)
Multiplication et convergence des menaces Complexité: croissante Accroissement simultané de la quantité de menaces et de leur vélocité Convergence du spam et des virus Méthodes de propagation complexes (Bofra ) Motivations financières de plus en plus prépondérantes dans l élaborationdes attaques Vélocité: la vitesse de propagation augmente Les vers Internet se diffusent en quelques minutes Slammer, Blaster, Sasser De multiples variantes apparaissent en peu de temps (Bagel, MyDoom) Les vulnérabilités des OS sont exploitées plus rapidement Le SPAM représente 75% des courriers électroniques Quantité: les menaces se multiplient SPAM Virus Vulnérabilités des Pirates systèmes d exploitation Dénis de services Vers Spyware Port sniffers Courriels inappropriés Non conformité aux législations Keyloggers Chevaux de Troie Macro virus
Conséquences sur les infrastructures: saturation des ressources Université de Toronto (100 000 boîtes aux lettres) Capacité maximale
Conséquences pour les utilisateurs: inquiétude et exaspération Impact sur les employés Inquiète et irrite Augmente les appels au help desk Réduit la productivité Impact financiers Vol d information Arnaques Risques de poursuites judiciaires
Quelle stratégie de protection? Qu atendre des initiatives gouvernementales? Queles bonnes pratiques metre en œuvre? Quelle protection antivirus? Quelle protection antispam?
Que disent les législations? En Europe Directive Européenne (loi sur l économie numérique) Impose le consentement préalable Aux Etats-Unis Loi CAN-SPAM adoptée au Congrès et au Sénat (Controlling the Assault of Non-Sollicited Pornography And Marketing) Se focalise sur le contenu Mais reste très permissive sur le consentement Que font les autorités? Il y a eu ces derniers 12 mois plusd arestations liéesaux virus et au spam que jamais Mélange de coopération accrue entre les autorités de luttes internationales contre le cyber-crime etd incroyable stupiditédes créateurs de virus
Les Bonnes Pratiques L information des utilisateurs reste une priorité : Si vous ne connaissez pas l expéditeur d un email, supprimez ce mail Ne répondez jamais aux spams, ne cliquez jamais sur les liens attachés Ne faites pas d achats sur la suggestion d un spam Ne communiquez jamais votre adresse email sur les sites web, les newsgroup et les forums de discussion Ne donnez votre adresse email qu à des personnes ou des sites deconfiance Ne répondez jamais aux emails qui vous demandent des informations financières personnelles Visitez les sites web bancaires en tapantl URLdans la barre adresse Etc Suggestions sur: www.sophos.fr/virusinfo/bestpractice
Face à la vélocité des menaces Mises à jour des protections antivirales et antispam aussi souvent que nécessaire 9 mars: - 3 livraisons - 22 signatures 8 mars: - 3 livraisons - 24 signatures 7 mars: - 5 livraisons - 23 signatures
Détection proactivepar Génotype viral Approche analogue aux organismes vivants Détecte les nouvelles variantes de virus existants Les segments de gènes peuvent être identiques et contenir des séquences de code héritées de lasouche d origine Améliore la détection de familles de virus Avant que de nouvelles signatures soient disponibles Incluse dans tous les produits Sophos Sophos Anti-Virus, PureMessage, SAV Interface Nom de la famille de virus Agobot Apribot Baba Bofra Forbot Korgo Mydoom Poebot Rbot Sasser Sdbot Zafi Taux de détection par Genotype 75% 100% 100% 92% 67% 95% 77% 88% 84% 97% 79% 64%
A quel niveau placer une protection de messagerie? Préserve les ressources Intégration transparente Implémentation idéale des politiques de sécurités globales Internet Passerelle SMTP Protection antivirale supplémentaire Un filtrage de contenu à ce niveau affecte la performance du système de messagerie Protection antivirale Inadapté pour les politiques globales de filtrage de contenu Serveurs de messagerie Postes de travail
Quelles Protections? anti-spam + antivirus + filtrage étendu Sécurité du contenu et des systèmes Spam Virus Attaques de déni de service (DoS) Colecte d adressese-mail (DHA) Politiques de sécurité Contenu sensible Texte à caractère offensant Limitations de responsabilité Conformité aux règlementations Archivage Contrôle des informations
Antispam: et les utilisateurs? En dehors del application des politiques de sécurité de groupe, l impact sur les utilisateurs est un point essentiel à prendre en compte La confiance del utilisateur est un élément clé La gestion desquarantaines n est plus une option, mais une fonctionnalité de base Digests quotidiens Accès en temps réel Cette gestion ne doit pas créer de contrainte d architecture ou d administration, mais les alléger
Conclusions Les virus accélèrent leur diffusion en profitant des techniques de spamming Les spammeurs utilisent les techniques virales pour tenter d échapperaux f i l t r agessurl or i gi ne Tent at i vesd escr oquer i eset de vols se multiplient sur la messagerie Des outils de protection croisée de la messagerie sont nécessaires A bientôt dans la Zone Sophos