La Sécurité sur Internet en 2008
Transcription
La Sécurité sur Internet en 2008
Les solutions pour espérer être en sécurité sur Internet en 2008 Il s'est créé autant de logiciels malveillants en 2007 qu'au cours des 20 dernières années ! 5 nouvelles menaces apparaissent toutes les 2 minutes ! Comment résister à une telle invasion ? Désormais, les cybercriminels ont accès à de véritables « usines à malwares ». Avec des IcePack et autres MPack, ils disposent de véritables kits pour générer en quelques clics des logiciels mailveillants de tous types : trojans, bots, worms et divers webstorms . Des malwares indétectables Si les menaces sont de plus en plus nombreuses, elles sont également de plus en plus intelligentes. Par exemple, un « rootkit » est capable non seulement de masquer son activité - et celle d'un cheval de Troie qu'il protège - mais également de masquer toutes les communications réseaux. Dit comme celà, vous allez vous dire « Et alors ? ». Juste une paille. Le dernier rootkit en date se glisse sur le boot du disque pour démarrer avant Windows (ou un autre système). Il est dès lors totalement indétectable par l'ensemble des logiciels installés sur le système. Et les nouveaux chevaux de Troie sont même capables de se mettre à jour automatiquement. Personne n'est à l'abri... Les derniers trojans bancaires comme Silentbankers savent intercepter les transactions sur plus de 400 sites bancaires ! D'ailleurs, pour Mikko Hypponen, célèbre traqueur de virus et patron de FSecure, les « Banking Trojans » seront hyperactifs en 2008. Le code malicieux ne s'active que lorsque l'utilisateur se connecte au site de sa banque, récupère les indentifiants et mots de passe (technique du « Man-in-the-browser » ) et les envoie aux cybercriminels, lesquels soit les exploiteront, soit les revendront aux plus offrants. Les webstorms les plus récents utilisent les techniques de « Drive-by downloads » pour tester en un éclair une centaine de failles de sécurité, et ce, sans que la plupart des antivirus ne puissent réagir, aucun fichier n'étant créé durant l'attaque. Qui est concerné ? Tout le monde ! On s'expose avec un simple navigateur supportant JavaScript. Autant dire, celà concerne la quasi-totalité des navigateurs actuels ! ...et aucun site non plus ! Et ne pensez pas trop être à l'abri du danger en limitant vos visites aux sites réputés sûrs. Selon WebSense, durant le dernier trimestre 2007, 51 % des sites classés comme dangereux par cet institut étaient des sites classiques qui avaient été compromis, et dont les pages d'accueil avaient été modifiées à leur insu afin d'infecter toutes machines qui ne bénéficiaient pas d'une protection à jour. Des solutions ? Dans ce dossier, nous vous présentons toutes les solutions et méthodes utilisées pour tenter d'endiguer les menaces de sécurité. Mais n'oubliez pas qu'en matière d'insécurité, le premier virus c'est nous, c'est vous ! Présentation de ce que nous réserve 2008. Vers davantage d'intelligence embarquée « Sécurité comportementale ». Retenez bien ces deux mots. Ils seront dans toutes les bouches en 2008. Car les protections d'aujourd'hui n'ont d'autre choix que d'aller vers davantage de proactivité et d'anticipation. Avec un nombre exponentiel de menaces, tous les éditeurs savent pertinemment qu'ils ne pourront non seulement pas tenir le rythme des signatures mais que la quantité de signatures devient telle qu'il ne sera plus possible de les tester tout en conservant des performances acceptables. Il faut donc compléter les méthodes de défenses actuelles par d'autres méthodes capables de comprendre les codes et d'en déterminer le potentiel dangereux. Facile à dire, bien plus compliqué à réaliser. Car les risques de fausses alertes sont multipliés. Pour arriver à leurs fins, les nouvelles protections se doivent de surveiller tous les codes s'exécutant sur la machine et d'en analyser les comportements. Cette analyse comportementale ne sera généralement pas réalisée à l'aide d'un seul outil, mais à l'aide des différentes composantes qui forment la suite, chaque composante attribuant selon ses critères une note comportementale qui permettront ensuite d'attribuer une note finale. Ce sont les principes déjà mis en oeuvre dans des suites comme Norton Internet Security 2008 ou F-Secure Internet Suite 2008. A terme toutes les protections du marché adopteront des principes similaires. Vers des « mégadétections » en ligne Pour mieux analyser les multiples codes, malveillants comme innocents, certains éditeurs font désormais appel à des batteries de serveurs accessibles depuis le Net. En la matière, Panda Security fait figure de précurseur. agrandir la photo Alors que toute l'industrie du logiciel déporte partiellement ses fonctionnalités « in the cloud », autrement dit en ligne sur Internet, on voit mal pourquoi les logiciels de sécurité devraient faire exception. Et l'un des premiers à avoir compris l'intérêt de la chose n'est autre que l'éditeur de sécurité espagnol Panda Security. Sa technologie « Megadétection » - qui est au coeur des services « InfecteouPas.com » pour le grand public et « MalwareRadar » pour les entreprises - exploite la puissance d'un data center pour détecter automatiquement les nouveaux codes malicieux et nettoyer les postes des utilisateurs. Plusieurs millions de signatures L'idée est que l'ampleur des nouveaux codes malveillants est telle qu'elle ne peut plus être traitée à l'ancienne par des hommes. Ne serait-ce que parce que cela nécessiterait des milliers d'analystes, un luxe qu'aucun éditeur de sécurité ne peut économiquement s'offrir. Alors que les antivirus actuels comportent une base virale d'environ 1 million de signatures, le système en ligne de Panda utilise, lui, une base de signatures qui comporte non seulement 3 millions de signatures de codes malveillants, mais également 15 millions de signatures de codes bienveillants. En scannant votre machine, le moteur de détection compare les codes présents sur votre machine avec cette imposante base. Lorsque le code n'est pas reconnu, il est alors analysé par une impressionnante batterie de serveurs qui en simule le fonctionnement et en détermine le comportement malveillant ou pas. Le code est également comparé aux autres codes en attente d'analyse pour évaluer les urgences et anticiper sur une éventuelle pandémie. Avec un tel système, 90 % des codes sont étudiés totalement automatiquement, seuls 10 % nécessitent une analyse humaine. Internet à la rescousse d'Internet Panda Security est le premier éditeur à communiquer publiquement sur l'automatisation des mécanismes de détection grâce à Internet. Mais tous les éditeurs travaillent sur des systèmes d'analyses automatisés et il est probable que l'approche « en ligne » de Panda soit imitée par d'autres. La « Megadétection » est présente dans toute la gamme des logiciels de sécurité de Panda Security. L'acquisition de ces produits donne en effet accès à la fonction « Total Scan Pro », qui permet non seulement l'analyse en ligne mais également le nettoyage du PC. Pour ceux qui ne sont pas équipés d'un antivirus Panda, le site « InfecteouPas.com » permet à tout un chacun de passer gratuitement son PC au crible de la Megadétection. Toutefois, il ne s'agit là que d'une détection. Pour accéder au nettoyage, il faut actuellement s'abonner à la version « TotalScan Pro ». Mais Panda Security prépare de nouvelles offres en ligne qui devraient être annoncées dans les prochaines semaines... A signaler que certains antivirus comme Avast empêchent le chargement de Panda TotalScan et le classent même comme virus. Une pratique anticoncurrencielle ou une erreur d'analyse ? Plus d'informations et plus d'interactivité grâce au Web La sécurité trouve aussi ses solutions sur le Web. Outre les « scans en ligne » proposés par tous les éditeurs, d'autres services méritent qu'on s'y intéresse. Détails. agrandir la photo Faire un scan en ligne, c'est pratique. Tous les éditeurs proposent de telles solutions. Mais le Web peut rendre d'autres services. On trouve des sites de tests comme chez Norton ou chez GRC. Nous avons retenu cinq sites très utiles au quotidien. Alken.nl Ce site est une sorte de portail qui ouvre vers tous les sites de sécurité et de tests de sécurité. C'est une mine incontournable d'informations et une collection exhaustive de tests en ligne. VirusTotal.com VirusTotal est un service indépendant de tout éditeur de sécurité, qui analyse les fichiers suspects qu'on lui envoie en les passants au crible des 20 principaux moteurs antimalwares du marché. Très pratique, par exemple, pour tester une pièce jointe que l'on vient de recevoir et sur laquelle on a un doute. Très utile aussi pour vérifier un « faux-positif », autrement un fichier détecté de façon erronée comme dangereux par votre antivirus. OpenDNS.com Les DNS sont ces serveurs qui convertissent les noms de domaine en adresses IP. Ces services sont normalement fournis par votre FAI. OpenDNS vous offre des serveurs DNS alternatifs, généralement plus rapides et disponibles que ceux des FAI mais qui surtout filtrent les adresses et vous prévient lorsque vous tentez d'accéder à des sites réputés dangereux. F-Secure Health Check F-Secure a lancé il y a peu un nouveau service en ligne qui permet de tester sa configuration et de vérifier que celle-ci est bien à jour et protégée contre les derniers exploits (codes exploitant les dernières failles de sécurité), non seulement du système mais également des principales applications qui fonctionnent dessus (Firefox, Adobe PDF, Flash, Quicktime, etc.) Norton Café Expérience très originale, Norton vient de monter un café virtuel en français, où les internautes viennent questionner les experts Norton, échanger leurs expériences, déboires et solutions, etc. Accessibles aux experts comme aux néophytes, le site comporte également de nombreux conseils, des définitions, etc. Une idée sympathique qui pourrait bien faire école. Mission impossible : protéger le navigateur Directement exposé à toutes les attaques du Web, le navigateur reste le talon d'Achille de tout ordinateur. Que le navigateur s'appelle IE, Firefox ou Safari, les pirates ne sont pas sectaires. agrandir la photo Pour protéger le navigateur, et plus encore l'utilisateur en contrôlant les sites auxquels il accède, de nouveaux outils ont fait leur apparition. TrendProtect TrendProtect est un plug-on gratuit qui protège l'accès aux sites contenant un danger potentiel. Arme contre le phishing et les webstorms, TrendProtect indique à l'utilisateur si la page qu'il souhaite visiter (ou l'occurrence remontée par le moteur de recherche) présente ou non un risque. Il catégorise les sites, donne des indications sur leur réputation, etc. ZoneAlarm ForceField Actuellement en bêta, ForceField est un nouvel outil qui crée une bulle protectrice autour du navigateur et virtualise toutes les opérations réalisées depuis ce dernier. Il protège ainsi votre installation contre tous les types d'attaque passant par le navigateur Web. La protection dans une clé USB ! Un ordinateur accessoire, entièrement dédié à la sécurité de votre PC, et qui tient sur une clé USB ! C'est l'idée hyperoriginale de Yoggie avec son FireStick Pico. agrandir la photo Les suites de sécurité consomment approximativement 20 % des ressources de votre ordinateur. C'est considérable, mais c'est le prix à payer pour être bien protégé. La société Yoggie a imaginé de déporter ces traitements sur une clé USB afin de soulager le PC lui-même ! Comment ça marche ? C'est un processus ingénieux : un pilote sur le PC redirige toutes les communications réseau vers la clé. Cette clé est un véritable micro-ordinateur doté d'un processeur rapide, d'une mémoire, d'un système Linux et d'un jeu de protections (antimalwares, pare-feu, antispams, etc.) provenant notamment de Kaspersky. Bref, il suffit d'installer le pilote, de connecter la clé et votre machine est instantanément protégée tout en conservant toute sa puissance pour vos applications. C'est étonnant, ça marche remarquablement bien, mais c'est plutôt destiné à des machines autonomes et mobiles qu'à des PC connectés au réseau d'une entreprise par exemple. SuperAntiSpyware v4.0 SuperAntiSpyware est l'une des surprises de l'année 2007. En quelques mois, ce scanner spécialisé dans l'éradication des spywares est devenu une référence. La version 4.0 est dans les starting blocks. agrandir la photo SuperAntiSpyware. Le nom sonne comme une plaisanterie de mauvais goût. Pourtant, grâce à la qualité de ses détections mais encore plus grâce à l'efficacité de ses techniques d'éradication, cet utilitaire a relayé les Spybot et autres AdAware au rang de figurants. Mais en matière de spywares, le plus dur n'est pas d'arriver au top, mais d'y rester. D'autant qu'aujourd'hui les antivirus font aussi bien. La nouvelle version 4.0 vient d'être dévoilée et peut-être téléchargée en version bêta. Elle dispose de nouveaux mécanismes pour éradiquer et détecter les menaces les plus récentes PC Tools ThreatFire Un peu dans le même esprit que Norton AntiBot, Threatfire est une protection comportementale destinée à protéger les PC contre les attaques « Zero Day ». agrandir la photo Les attaques « Zero Day » sont la hantise de Microsoft et des autres éditeurs. Ce sont les failles qui sont découvertes avant que des correctifs n'existent. S'engage alors une lutte contre la montre pour fabriquer un patch avant que l'attaque ne se répande. ThreatFire de PC tools est un outil sécuritaire en temps réel basé sur la détection comportementale des programmes malveillants des chevaux de Troie, logiciels spywares , rootkits et enregistreurs de frappes. ThreatFire est capable de stopper une attaque informatique en observant le comportement des différents processus, fichiers et applications en cours et de proposer une protection contre les menaces. ThreatFire vient en complément de vos protections actuelles. Le logiciel est actuellement gratuit. Secunia PSI Secunia PSI est un logiciel qui analyse tous les programmes présents sur votre PC. Il vous signale leurs failles et vous alerte de leurs mises à jour. agrandir la photo Les cybercriminels ne ciblent plus uniquement l'e-mail et le système d'exploitation. Ils profitent de plus en plus des failles de sécurité présentes dans les programmes pour percer vos protections et infester le PC. QuickTime, Flash ou Adobe Acrobat ont notamment été particulièrement attaqués en 2007. Tout comme les outils bureautiques. Secunia PSI est un utilitaire qui analyse tous les programmes installés sur votre PC. Il vérifie que vous disposez bien des dernières mises à jour de chacun d'eux. Il signale les failles découvertes, vous alerte des risques encourus, etc. Secunia PSI est un outil gratuit !