Attaques virales : un risque sous-estimé

“Les deux dernières attaques virales d’envergure, CodeRed et Nimda, ont exploité une faille de sécurité dans le serveur IIS de Microsoft. Je veux bien croire qu’il y ait eu un effet de surprise avec CodeRed, mais pas avec Nimda. Tous ceux qui ont été touchés par le deuxième n’ont pas d’excuse : IIS chez eux n’était pas à jour”, accuse sans détour Pascal François, consultant senior réseaux et sécurité chez CF6. C’est un fait : les attaques virales deviennent de plus en plus fréquentes et sophistiquées ; les plus virulentes paralysent des entreprises entières. Les deux derniers fléaux en date ont couvert la planète en quelques heures.Après quelques nuits passées à “désinfecter” les ordinateurs, les responsables informatiques accusent les éditeurs d’antivirus de laxisme ou d’un manque de réactivité, malgré le coût élevé des licences. De leur côté, ces éditeurs accusent les responsables informatiques de ne pas prendre sérieusement en compte le risque des attaques virales. Les polémiques n’ayant jamais protégé les entreprises, celles-ci devraient commencer par mettre en place des méthodes de prévention et d’action. Pierre-Olivier Mouton, consultant sécurité et réseaux chez Unilog, est formel : “Lors de mes interventions, je constate qu’une grande partie des dommages aurait pu être évitée par une prise en compte minime du risque”.

Attaques et contre-attaques se font la course

Créés par des étudiants ou par de véritables cybercriminels, les virus ne sont pas nouveaux. Il en existe de différents types. Les plus destructeurs répondent à trois objectifs : bloquer volontairement le fonctionnement d’un ordinateur, causer la perte des données qui s’y trouvent et se propager. Avec le temps, c’est surtout la vitesse de propagation qui s’accélère. Le premier virus reconnu comme tel, Brain, a été créé en 1987 au Pakistan par les frères Alvi. Les spécialistes estiment qu’il lui a fallu un an pour contaminer les États-Unis. Un aussi long délai étonne, mais, outre l’effet de surprise, Brain se propageait alors par échange de disquettes, en se greffant à des fichiers.Aujourd’hui, grâce à internet, les épidémies de virus tels que I Love You, Melissa, CodeRed ou Nimda, contaminent la planète entière en quelques heures seulement. Ces virus se révèlent plus actifs que leur ancêtre, puisqu’ils utilisent les annuaires des serveurs de messagerie pour s’autopropager. Le résultat est foudroyant : sous l’afflux d’e-mails infectés, moins de cinq minutes suffisent pour paralyser une entreprise. La réactivité des éditeurs d’antivirus, face aux épidémies les plus graves, se chiffre pourtant en heures, comme le confirme Fabienne Vincent, responsable marketing chez Sophos Antivirus : “Selon la complexité du virus, la fabrication d’un remède nécessite entre 2 heures et une demi-journée de travail. Notre réactivité est assurée 24 heures/24 par deux laboratoires, situés aux antipodes de la planète.”

Première prévention : la veille

Cette excellente réactivité ne fait pourtant pas le bonheur des responsables informatiques. L’un d’entre eux, qui souhaite conserver l’anonymat, remarque, fataliste, “que les attaques touchent les États-Unis avant d’arriver en France. Quand l’alerte parvient dans l’Hexagone, les serveurs FTP des éditeurs d’antivirus, situés outre-Atlantique, sont inaccessibles. Nous devons donc attendre, parfois jusqu’à six heures, avant d’accéder enfin au site et télécharger la mise à jour.””C’est exact, reconnaît Teddy Lacerda, directeur technique chez McAfee. Mais en attendant un antidote, les alertes peuvent toujours servir aux administrateurs pour établir des règles de filtrage sur leurs serveurs de messagerie, de façon à bloquer les e-mails infectés.”L’alerte constitue en effet le meilleur moyen de réaction à très court terme de ce côté-ci de l’Atlantique. Elle donne aux administrateurs tous les mots clés qui identifient un virus. Grâce à eux, quelques secondes suffisent pour configurer les serveurs de messagerie afin de bloquer l’entrée des courriers qui comporteraient les termes redoutés. Les entreprises les plus fortunées ont la possibilité de souscrire à des services d’alertes envoyées par fax, téléphone ou pager. Les autres, plus nombreuses hélas, s’en chargent comme elles le peuvent, le plus souvent en s’abonnant à des listes de diffusion. Ces dernières, bien qu’efficaces, sont envoyées par e-mail et ne sont donc d’aucun effet quand les réseaux s’engorgent.

Une mise à jour hebdomadaire des antivirus est conseillée

Outre les alertes, les sociétés doivent disposer d’un antivirus doté d’une architecture distribuée, ce qui est le cas des produits de Sophos, Network Associates, Computer Associates, Symantec et de Trend Micro. Cette architecture autorise la mise en place rapide de parades adéquates sur tous les serveurs et les postes de travail. D’autre part, les responsables informatiques doivent mettre à jour le plus souvent possible leurs antivirus. “Au moins une fois par semaine”, conseille Pascal Lointier, ingénieur sécurité des systèmes d’information chez l’assureur ACE Limited. Dans l’absolu, “avec 700 nouvelles signatures par semaine, confie Fabienne Vincent, de Sophos Antivirus, il faudrait passer son temps à remettre la base de l’antivirus à jour, ce qui est inconcevable. Il ne faut pas rester passif ; on ne doit pas attendre les grandes alertes relayées par la presse pour le faire.”A contrario, mettre à jour les logiciels les plus sensibles de l’entreprise, de façon à limiter les failles de sécurité, ne constitue pas une priorité. “Personne ne doit appliquer de patch systématiquement”, martèle Pascal Lointier. Pour en rectifier un, un correctif malheureux a créé une kyrielle de dysfonctionnements. Les administrateurs testent donc désormais systématiquement les mises à jour en vase clos avant de les basculer sur les machines de production. D’autre part, “ces phases de validation prennent du temps, coûtent de l’argent, et ces investissements sont mis en balance avec la gravité de la menace. L’équation économique est simple : le coût de la sécurité ne doit pas être supérieur au coût du sinistre”, analyse Pascal Lointier. Chez CF6, Pascal François déconseille également d’installer les correctifs directement sur les machines de production. “Mais il ne faut pas hésiter à le faire sur les ordinateurs utilisés en frontal”.

Sensibiliser l’utilisateur

Le cordon sanitaire réalisé par l’antivirus et les alertes restent insuffisants. La formation des utilisateurs constitue la composante primordiale d’une stratégie de prévention. Pour Hugues Metayer, directeur informatique et télécommunications chez Securinfor, le message est simple : “Il ne faut pas ouvrir n’importe quoi n’importe comment !”. Un autre responsable, employé dans une entreprise de 500 salariés, constate que “lorsque des attaques virales se produisent chez nous, ce sont toujours les mêmes personnes qui les déclenchent. À force d’être à l’affût de ce qui pourrait être la blague du jour, ces gens-là ne regardent même plus qui est l’expéditeur ni le contenu de l’e-mail. Et si l’on interdit l’envoi de fichiers “doc”, “exe” ou “scr”, ils se les envoient au format Zip…”L’interdiction de tel ou tel type de pièce jointe ne représentera jamais une solution efficace. D’autant que certains services de l’entreprise ont besoin de recevoir des documents au format “doc” par exemple. Chez Securinfor, Hugues Metayer constate que “le des ressources humaines reçoit par courrier électronique des dossiers de candidature infestés”. Les attaques virales ne sont pas toutes liées à des fichiers corrompus. Certaines sont de fausses alertes ; baptisées Hoax par les spécialistes, elles provoquent, en toute bonne foi, des mauvais agissements chez les utilisateurs. L’un d’entre eux conseillait par exemple de supprimer un fichier système dans les répertoires de Windows, laissant entendre que ledit fichier avait été ajouté par un virus.Tous les experts sont unanimes, la meilleure des politiques à tenir consiste à sensibiliser les utilisateurs. “Mais cela doit être fait avec tact, rappelle Pierre-Olivier Mouton d’Unilog. Tout ce qui est mis en place sans l’assentiment des utilisateurs risque d’échouer ; il ne faut pas donner l’impression d’entraver le personnel.” De toute façon, la parade universelle n’existe pas, comme le rappelle, sans être visionnaire, Pascal Lointier : “Il y aura toujours de nouveaux virus. On peut les circonscrire ou arrêter leur propagation, mais pas y échapper.”

Et les assurances ?

Les sinistres dus aux virus ne seront plus couverts

Les compagnies d’assurances reçoivent très peu de déclarations de sinistres dus à des attaques virales. Les raisons sont assez diverses : soit l’entreprise ne sait pas qu’elle est couverte contre les virus, soit les dommages sont inférieurs à la franchise. Ou encore, estime Pierre-Olivier Mouton chez Unilog, parce que “des gens veulent prouver leurs compétences et justifier leur emploi en résolvant le problème avant d’en informer la direction. Quand les incidents sont réglés, la direction ne bouge pas.”

Côté assureur, le marché met actuellement en place un avenant d’exclusion des virus, “simplement parce que nous redoutons le cumul de risques”, explique Pascal Lointier, ingénieur sécurité des systèmes d’information chez ACE Limited. À court terme, rares seront les compagnies d’assurances qui couvriront les sinistres liés aux attaques virales. Celles-ci ne le feront qu’après étude “de leur perception des risques et de la façon dont les crises sont gérées”, précise Pascal Lointier.

L’avis de l’expert : Il faut envisager le Sinistre Maximum Possible (SMP) pour réagir

Les mesures de prévention et de protection à mettre en place dans les entreprises sont les suivantes :

1.
L’entreprise doit disposer d’un antivirus doté d’une architecture distribuée. L’outil doit déployer des contre-mesures rapidement et sur tous les postes en cas d’attaque.

2.
Il faut que le serveur ait un accès de secours à internet, qu’il s’agisse d’une liaison spécialisée, d’un accès RNIS ou RTC. L’administrateur qui a coupé la connexion internet de l’entreprise doit toujours disposer d’un moyen d’accès au site de l’éditeur de l’antivirus pour télécharger la mise à jour qui éradique le virus.

3.
La mise à jour hebdomadaire de la base de signatures du logiciel antivirus est primordiale. Une veille doit être assurée régulièrement.

4.
Les alertes doivent être qualifiées par un responsable sécurité. Identifier parfaitement un virus, par des mots clés ou des actions bien précises, sert à appliquer les premières mesures d’urgence.

5.
Il convient de sensibiliser le personnel, en mettant l’accent sur l’aspect atypique des messages. C’est en effet toujours l’utilisateur qui clique sur un message contaminé. Ce qui explique que bien des attaques passent.

6.
L’entreprise effectuera des sauvegardes régulières. Certaines sociétés coupent le réseau, installent les sauvegardes puis repartent.

7.
Enfin, l’entreprise doit créer une cellule de réaction qui ait autorité pour agir dans les meilleurs délais. Pour couper le réseau par exemple.

Comment ils ont fait : Changer IIS pour Apache n’est pas le bon débat

“Notre société a été infectée par Nimda. Nous avons dû perdre deux journées de travail pour chaque site, ce qui n’est pas énorme comparé à certains sites qui ont été confrontés à ce virus pendant plus de huit jours. Cette attaque n’a pas modifié notre architecture. Changer IIS pour Apache ne constitue pas le bon débat. Même avec Linux, on aura toujours des outils chargés d’une certaine teneur de risque. Dans notre politique, nous nous attachons à mettre en place, sur nos sept sites européens, des groupes de discussion avec les utilisateurs, animés par des correspondants en sécurité. Il ne faut pas contraindre les utilisateurs, mais leur faire confiance, leur expliquer les dangers et les responsabiliser. Bien entendu, si l’on constate des dérapages, il y aura des actions de management. Notre politique antivirale s’appuie sur l’outil de Trend Micro. Outre une protection sous différents accès, cet antivirus centralise l’administration de nos sept sites. Lors de l’attaque Nimda, j’ai bénéficié d’un vrai support : les gens venaient, prenaient les échantillons et, le lendemain, le site était nettoyé. Cette réactivité est plus importante que la perfection inexistante d’un antivirus.”

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Lionel Sarrès