01 Informatique

Quand la menace vient du web

La navigation sur la toile a détrôné l'e-mail comme vecteur privilégié des infections. Pour l'entreprise qui a lourdement investi sur la protection de sa passerelle courriel, il s'agit désormais d'adapter ses lignes de défense.
01 Informatique
le 01/05/2008 à 00h00
envoyer
par mail
imprimer
l'article
partager sur Viadeo
partager sur Facebook
partager sur LinkedIn
partager sur Scoopeo
partager sur Technorati
partager sur Digg
partager sur Delicious
partager sur Google
partager sur Myspace
partager sur Yahoo!

S'il est un point sur lequel les éditeurs d'antivirus sont unanimes, c'est que le web est devenu la principale source de distribution d'éléments malicieux. L'e-mail, toujours largement abusé par l'intermédiaire du spam, ne délivre plus guère de codes malveillants. A sa place, ce sont des sites internet piégés qui infectent les visiteurs en exploitant une éventuelle vulnérabilité dans leur navigateur. La technique a un nom : “ drive-by download ”, en référence aux “ drive-by shootings ” pratiqués par certains gangs aux Etats-Unis. Pour l'une comme pour l'autre des attaques, la victime ne connaît pas son agresseur. Elle se trouve simplement au mauvais endroit au mauvais moment.

“ Le drive-by download change la donne car beaucoup d'utilisateurs estiment qu'ils ne risquent rien s'ils ne téléchargent rien. Or, dans une telle attaque, l'infection s'opère à la simple visite d'un site et elle est totalement transparente pour l'utilisateur ”, confirme Laurent Heslault, directeur technique sécurité EMEA pour Symantec. La faisabilité de telles attaques repose sur deux prérequis : un serveur web contrôlé par des pirates d'une part, et une vulnérabilité sur le poste de travail de l'autre. Du côté des serveurs web, ils peuvent appartenir aux hackers – c'est souvent le cas de sites de distribution de contenus illégaux – ou avoir été piégés volontairement par leur webmaster, moyennant rémunération. “ Nous avons eu l'exemple du site iFramecash, qui proposait aux webmasters un bout de code à installer qui rendait leur site infectieux. Ils touchaient alors 8 cents de dollar par visiteur infecté ”, poursuit Laurent Heslault. Les sites peuvent également être parfaitement légitimes, mais piratés afin d'héberger des codes infectieux. Selon l'éditeur Websense, plus de 50 % des sites qui hébergeaient des codes malveillants en 2007 étaient des sites légitimes piratés.

Les utilisateurs nomades en cause une fois sur trois

Les attaques peuvent également ne pas concerner directement un poste de travail au sein de l'entreprise, mais un “ nomade ”, moins protégé lorsqu'il est connecté à l'extérieur. “ Une attaque réussie sur trois provient d'un utilisateur nomade infecté par le biais de la toile et qui se connecte à son entreprise par un VPN ”, constate Peter Tippett, vice-président pour les services de sécurité chez Verizon.

Quelle qu'en soit la cause, l'infection par les sites est une pratique à la mode : le treizième Symantec Threat Report, qui couvre la période de juillet à décembre 2007, relève que les vulnérabilités spécifiques aux sites sont cinq fois plus fréquentes que celles purement réseau. Pirater un site web légitime à fort trafic donne en effet l'opportunité d'exposer beaucoup plus d'internautes au code malveillant, ce qui est un atout dans une “ industrie ” où chaque nouvelle infection est susceptible de rapporter de l'argent. Ainsi, selon un rapport publié par Google en février 2008, 1,5 % de tous les résultats émis par le moteur de recherche renverraient des URL pointant vers des pages dangereuses. Ce chiffre était de 0,4 % en avril 2007. Selon l'éditeur McAfee, qui a conduit une étude similaire en s'appuyant sur son service Site Advisor, ce serait jusqu'à 5 % des sites internet qui seraient potentiellement infectieux.

Une menace pas plus grosse qu'un pixel

Les attaques sont basées sur la modification du code source des pages web. Elles peuvent reposer sur l'appel d'un code Java-script au moment du chargement de la page, ou sur l'ajout d'un cadre HTML (iframe) de la taille d'un pixel, afin d'être invisible. Ce cadre est inséré dans le code source de la page internet à piéger lors de son piratage. Au chargement de celle-ci, le cadre s'ouvre silencieusement et pointe vers un autre serveur, celui-ci entièrement contrôlé par le hacker. Sur ce dernier a été installé un outil malicieux comme Mpack ou Icepack, tous deux vendus quelques centaines de dollars. L'outil, souvent développé dans un langage web tel que le PHP, analyse la signature du navigateur afin d'en déduire si une faille est disponible, et applique l'attaque afin d'être en mesure d'exécuter du code sur le poste de travail. Il pourra alors ensuite forcer ce dernier à télécharger d'autres éléments malveillants traditionnels. La vulnérabilité exploitée ici n'est pas limitée au seul navigateur, tout son écosystème peut être concerné : plug in audio, vidéo ou PDF, barres d'outils tierces (recherche, météo, comparaison de prix, etc.).

Spécificité propre à la toile, les codes malveillants distribués par le biais des sites internet piratés peuvent changer d'apparence plusieurs fois en une heure, et ainsi déjouer plus aisément les systèmes de protection basés sur la seule signature, comme le sont les antivirus traditionnels. Pour l'entreprise qui se contente d'un antivirus sur sa passerelle et ses postes de travail, le risque d'infection est ainsi désormais beaucoup plus élevé qu'il ne l'était lorsque les virus n'arrivaient que par courriel ou par des supports amovibles infectés. D'autant que les collaborateurs ont très souvent tendance à utiliser leur ordinateur professionnel pour surfer à titre personnel durant la journée, exposant plus encore leur entreprise au risque du drive-by download.

Organiser sa défense par couches successives

Si les antivirus (sur la passerelle et le poste de travail) ont évidement toujours un rôle crucial à jouer, la défense ne doit pas s'arrêter là. Ni y débuter d'ailleurs, mais démarrer en dehors des murs de l'entreprise. “ Nous inspectons 650 millions de sites internet par semaine. Pour chacun nous observons son comportement et, notamment, s'il est en mesure de déposer des codes malveillants sur les PC des visiteurs ”, explique Dominique Loiselet, directeur général France et Afrique du Nord de Websense. Cela s'est pourtant révélé insuffisant face à la prolifération des codes malveillants sur le web. L'éditeur a été contraint de créer un réseau collaboratif, Threatseeker, qui analyse, selon ses dires, 40 millions de sites chaque heure, ceux visités par ses clients mais également ceux découverts par ses propres sondes. L'éditeur exploite aussi les rapports d'audit des 100 millions de courriers électroniques quotidiens protégés avec la solution de Surfcontrol, société qu'il a acquise en octobre. Les courriers peuvent en effet contenir des URL de sites malveillants. Une fois détectés, ces sites sont ajoutés aux filtres des produits de l'éditeur chez ses clients. La défense commence ainsi hors les murs de l'entreprise, et de manière proactive.

De même, l'usage de la réputation afin d'assigner une “ note de confiance ” à un site inconnu se généralise. “ Nous analysons plus de trois milliards de requêtes par jour pour nos clients, selon l'adresse IP du serveur web visité, le nom de domaine utilisé, le réseau sur lequel il est hébergé, son centre de données ou encore la durée de vie de son nom de domaine ”, explique David Perry, directeur éducation chez Trend Micro. La technologie de scoring de ce dernier vient d'être choisie par Cisco pour sa gamme Integrated Services Router. L'idée est de détecter un site dangereux sans l'avoir analysé pour autant. Mais l'approche ne s'envisage qu'en complément d'autres techniques. “ On ne peut pas se reposer uniquement sur le scoring. Il faut voir cette technologie comme un outil utilisé par défaut lorsqu'on ne sait rien dire d'autre. D'autant plus que ce sont désormais des sites légitimes qui sont détournés. Quel score de confiance donner au site d'une grande banque ou d'une chaîne de télévision si on ne sait pas s'ils sont infectés ? Et quel score donner à un portail web 2.0 tel qu'iGoogle ? ” relativise Dominique Loiselet.

L'“ humain ”, dernier rempart contre les attaques

Dernière couche nécessaire, le “ bac à sable ” : il s'agit d'isoler le navigateur du reste du système afin que sa compromission ne puisse être exploitée. Cela peut se faire grâce à la virtualisation ou à la redirection des appels au système. Déjà bien connue, la technique semble jouir d'un regain d'intérêt car elle offre la seule quasi-garantie contre les codes malveillants inconnus. “ Puisqu'on ne saura probablement jamais détecter un malware à 100 %, nous avons choisi de changer d'approche et de faire en sorte que les conséquences d'une infection soient nulles ”, explique Eyal Dotan, développeur de la solution Bufferzone de Trustware. L'an dernier, Google s'est offert l'éditeur Greenborder, dont la solution permet d'isoler le navigateur par le biais de la virtualisation, mais on ne sait pas encore ce qu'il va en faire.

Le ciment essentiel entre toutes ces strates techniques demeure toutefois humain : les collaborateurs doivent être sensibilisés aux risques du surf sur internet. “ Nous observons qu'en expliquant aux utilisateurs où ils peuvent et ne peuvent pas aller, et en leur rappelant les bonnes pratiques régulièrement, on obtient une réduction des risques de l'ordre de 30 %. C'est largement plus efficace et moins cher que de chercher à gagner 2 ou 3 % en ajoutant un nouvel antivirus ”, précise Peter Tippett. Une observation tout à l'honneur de celui qui fut à l'origine du premier antivirus commercial, devenu plus tard Norton Antivirus.

La défense commence en dehors de l'entreprise

La première ligne de défense n'est pas initiée dans le périmètre de l'entreprise, mais en dehors. Les solutions de filtrage d'URL ou de réputation permettent de bloquer l'accès à un site malveillant avant que les antivirus n'aient été mis à jour ou que la menace n'arrive sur le poste de travail. Les listes statiques d'URL sont délaissées au profit de techniques plus dynamiques (listes collaboratives en temps réel, filtre de réputation, etc.).

Qu'il soit sur la passerelle ou sur les postes de travail, l'antivirus traditionnel est essentiel. Mieux vaut avoir des produits d'éditeurs différents sur la passerelle et sur les postes. La solution peut intégrer la détection des spywares spécifiques au web. Sur la passerelle, priorité est donnée aux performances lors de l'analyse des flux HTTP ; alors que sur le poste de travail l'analyse en temps réel de la mémoire permet de détecter les menaces au moment de leur exécution.

Le sandboxing (technique du bac à sable) isole le navigateur de l'OS afin que sa compromission via une vulnérabilité n'ait aucune conséquence sur le système. Cette ligne de défense est particulièrement utile contre les menaces encore inconnues des éditeurs de solutions basées sur les signatures virales ou des listes d'URL. Par ailleurs les outils de détection d'intrusion sur le poste de travail (HIPS) permettent, eux aussi, de lutter contre ces menaces inconnues en verrouillant l'ordinateur pour empêcher l'exécution de binaires non approuvés.

Ces derniers ne compromettent en général pas leur poste de travail volontairement. Grâce à des programmes de sensibilisation aux risques du surf et aux bonnes pratiques de sécurité, le risque d'infection est sensiblement réduit. L'éducation aide à éviter les erreurs et les arnaques les plus courantes sur le web, qui sont à l'origine de la majorité des incidents (installation de faux codec pour visualiser une vidéo, proposition d'installer un faux programme antispyware, etc.).

Quelques solutions pour se prémunir des menaces

Éditeur : Trustware
Commentaires : isolation du navigateur à l'aide de la redirection des appels système.

Éditeur : Skyrecon
Commentaires : protection générique du poste de travail contre les menaces inconnues, y compris via le web (HIPS).

Éditeur : Finjan
Commentaires : filtrage web générique (heuristique et comportemental) plus filtrage d'URL.

Éditeur : Trend Micro
Commentaires : services inclus dans Officescan, passerelle antivirus pour l'entreprise et les routeurs Cisco Integrated Services Router.

Éditeur : Websense
Commentaires : réseau collaboratif d'analyse des sites web, filtre de réputation et analyse du contenu par exploration.

L'avis du consultant : Pierre-Luc Réfalo, directeur général de Hapsis Education, organisme de formation spécialisé en gestion des risques informatiques et informationnels

“ Il est difficile, voire impossible, d'interdire internet au bureau ”

“ L'interdiction du web en entreprise ne fonctionne pas. C'est même souvent contre-productif car les collaborateurs tentent de contourner l'interdit par leurs propres moyens, cette fois sans aucune sécurité. De même, prohiber certains sites mais pas d'autres me semble peu efficace. Avec, bien entendu, l'exception notable de ceux qui engagent la responsabilité de l'entreprise lorsqu'ils sont consultés au bureau – contenus interdits, incitation à des comportements délictueux, etc. ”

“ Charte, responsabilité, sanction, mais d'abord communication ”

“ Il me paraît plus efficace de laisser les collaborateurs libres d'utiliser le web. En contrepartie, ils acceptent de signer une charte d'usage informatique. Elle doit impérativement indiquer qu'un contrôle est mis en œuvre. Car le point important est son aspect dissuasif. On donne des espaces de liberté mais sous contrôle. La sanction doit être bien réelle, mais à mon sens limitée aux cas les plus graves. Je crois beaucoup plus à l'aspect dissuasif. Gare toutefois ! la charte doit être accompagnée par un volet de communication. Sans cela, on constate qu'entre 30 à 40 % des collaborateurs ignorent son existence, sans compter ceux qui ne l'ont pas lue ou pas comprise. La communication est donc essentielle. ”

publicité
à lire aussi
SUR LES MÊMES THÈMES
Sécurisez vos applications Web dès leur conception
Comparatif antivirus 2010 : l'impact sur les performances de votre PC
Cisco rachète ScanSafe, un spécialiste de la sécurité Web
Windows 7 vous protège-t-il mieux que Windows XP ?
Les fichiers qui remplacent Edvige satisfont la Cnil (MAJ)
Anticiper les évolutions lentes pour mieux appréhender les menaces
Des fourmis pour protéger le réseau
250 faux antivirus circulent sur le Net
Kaspersky Lab : un antivirus Mac pour mieux protéger les PC ?
Mon compte e-mail est-il vendu sur le Web ?
Olféo devient un acteur du proxy
Dossier spécial sécurité
Lune de miel entre SkyRecon et Arkoon
Un navigateur virtuel pour limiter les risques du Web
SourceFire virtualise ses boîtiers de détection d'intrusion
Vupen WVS, un service en ligne pour attaquer ses propres sites
Les Assises à l'heure de l'intelligence économique
Phishing : les Impôts tirent la sonnette d'alarme (MAJ)
Visite ultraguidée d'un centre de sécurité
Test de la suite de sécurité gratuite de Microsoft