La Sécurité sur Internet en 2008

Les solutions pour espérer être en sécurité sur Internet en
2008
Il s'est créé autant de logiciels malveillants en 2007 qu'au cours des 20 dernières
années ! 5 nouvelles menaces apparaissent toutes les 2 minutes ! Comment résister à
une telle invasion ?
Désormais, les cybercriminels ont accès à de véritables « usines à malwares ». Avec des IcePack et
autres MPack, ils disposent de véritables kits pour générer en quelques clics des logiciels
mailveillants de tous types : trojans, bots, worms et divers webstorms .
Des malwares indétectables
Si les menaces sont de plus en plus nombreuses, elles sont également de plus en plus intelligentes.
Par exemple, un « rootkit » est capable non seulement de masquer son activité - et celle d'un
cheval de Troie qu'il protège - mais également de masquer toutes les communications réseaux. Dit
comme celà, vous allez vous dire « Et alors ? ». Juste une paille. Le dernier rootkit en date se
glisse sur le boot du disque pour démarrer avant Windows (ou un autre système). Il est dès lors
totalement indétectable par l'ensemble des logiciels installés sur le système. Et les nouveaux
chevaux de Troie sont même capables de se mettre à jour automatiquement.
Personne n'est à l'abri...
Les derniers trojans bancaires comme Silentbankers savent intercepter les transactions sur plus de
400 sites bancaires ! D'ailleurs, pour Mikko Hypponen, célèbre traqueur de virus et patron de FSecure, les « Banking Trojans » seront hyperactifs en 2008. Le code malicieux ne s'active que
lorsque l'utilisateur se connecte au site de sa banque, récupère les indentifiants et mots de passe
(technique du « Man-in-the-browser » ) et les envoie aux cybercriminels, lesquels soit les
exploiteront, soit les revendront aux plus offrants.
Les webstorms les plus récents utilisent les techniques de « Drive-by downloads » pour tester en
un éclair une centaine de failles de sécurité, et ce, sans que la plupart des antivirus ne puissent
réagir, aucun fichier n'étant créé durant l'attaque. Qui est concerné ? Tout le monde ! On s'expose
avec un simple navigateur supportant JavaScript. Autant dire, celà concerne la quasi-totalité des
navigateurs actuels !
...et aucun site non plus !
Et ne pensez pas trop être à l'abri du danger en limitant vos visites aux sites réputés sûrs. Selon
WebSense, durant le dernier trimestre 2007, 51 % des sites classés comme dangereux par cet
institut étaient des sites classiques qui avaient été compromis, et dont les pages d'accueil avaient
été modifiées à leur insu afin d'infecter toutes machines qui ne bénéficiaient pas d'une protection à
jour.
Des solutions ?
Dans ce dossier, nous vous présentons toutes les solutions et méthodes utilisées pour tenter
d'endiguer les menaces de sécurité. Mais n'oubliez pas qu'en matière d'insécurité, le premier virus
c'est nous, c'est vous ! Présentation de ce que nous réserve 2008.
Vers davantage d'intelligence embarquée
« Sécurité comportementale ». Retenez bien ces deux mots. Ils seront dans toutes les
bouches en 2008. Car les protections d'aujourd'hui n'ont d'autre choix que d'aller vers
davantage de proactivité et d'anticipation.
Avec un nombre exponentiel de menaces, tous les éditeurs savent pertinemment qu'ils ne pourront
non seulement pas tenir le rythme des signatures mais que la quantité de signatures devient telle
qu'il ne sera plus possible de les tester tout en conservant des performances acceptables. Il faut
donc compléter les méthodes de défenses actuelles par d'autres méthodes capables de comprendre
les codes et d'en déterminer le potentiel dangereux.
Facile à dire, bien plus compliqué à réaliser. Car les risques de fausses alertes sont multipliés. Pour
arriver à leurs fins, les nouvelles protections se doivent de surveiller tous les codes s'exécutant sur
la machine et d'en analyser les comportements. Cette analyse comportementale ne sera
généralement pas réalisée à l'aide d'un seul outil, mais à l'aide des différentes composantes qui
forment la suite, chaque composante attribuant selon ses critères une note comportementale qui
permettront ensuite d'attribuer une note finale.
Ce sont les principes déjà mis en oeuvre dans des suites comme Norton Internet Security 2008 ou
F-Secure Internet Suite 2008. A terme toutes les protections du marché adopteront des principes
similaires.
Vers des « mégadétections » en ligne
Pour mieux analyser les multiples codes, malveillants comme innocents, certains
éditeurs font désormais appel à des batteries de serveurs accessibles depuis le Net. En la
matière, Panda Security fait figure de précurseur.
agrandir la photo
Alors que toute l'industrie du logiciel déporte partiellement ses fonctionnalités « in the cloud »,
autrement dit en ligne sur Internet, on voit mal pourquoi les logiciels de sécurité devraient faire
exception. Et l'un des premiers à avoir compris l'intérêt de la chose n'est autre que l'éditeur de
sécurité espagnol Panda Security. Sa technologie « Megadétection » - qui est au coeur des services
« InfecteouPas.com » pour le grand public et « MalwareRadar » pour les entreprises - exploite la
puissance d'un data center pour détecter automatiquement les nouveaux codes malicieux et
nettoyer les postes des utilisateurs.
Plusieurs millions de signatures
L'idée est que l'ampleur des nouveaux codes malveillants est telle qu'elle ne peut plus être traitée à
l'ancienne par des hommes. Ne serait-ce que parce que cela nécessiterait des milliers d'analystes,
un luxe qu'aucun éditeur de sécurité ne peut économiquement s'offrir. Alors que les antivirus
actuels comportent une base virale d'environ 1 million de signatures, le système en ligne de Panda
utilise, lui, une base de signatures qui comporte non seulement 3 millions de signatures de codes
malveillants, mais également 15 millions de signatures de codes bienveillants.
En scannant votre machine, le moteur de détection compare les codes présents sur votre machine
avec cette imposante base. Lorsque le code n'est pas reconnu, il est alors analysé par une
impressionnante batterie de serveurs qui en simule le fonctionnement et en détermine le
comportement malveillant ou pas. Le code est également comparé aux autres codes en attente
d'analyse pour évaluer les urgences et anticiper sur une éventuelle pandémie. Avec un tel système,
90 % des codes sont étudiés totalement automatiquement, seuls 10 % nécessitent une analyse
humaine.
Internet à la rescousse d'Internet
Panda Security est le premier éditeur à communiquer publiquement sur l'automatisation des
mécanismes de détection grâce à Internet. Mais tous les éditeurs travaillent sur des systèmes
d'analyses automatisés et il est probable que l'approche « en ligne » de Panda soit imitée par
d'autres. La « Megadétection » est présente dans toute la gamme des logiciels de sécurité de
Panda Security. L'acquisition de ces produits donne en effet accès à la fonction « Total Scan Pro »,
qui permet non seulement l'analyse en ligne mais également le nettoyage du PC. Pour ceux qui ne
sont pas équipés d'un antivirus Panda, le site « InfecteouPas.com » permet à tout un chacun de
passer gratuitement son PC au crible de la Megadétection. Toutefois, il ne s'agit là que d'une
détection. Pour accéder au nettoyage, il faut actuellement s'abonner à la version « TotalScan Pro ».
Mais Panda Security prépare de nouvelles offres en ligne qui devraient être annoncées dans les
prochaines semaines...
A signaler que certains antivirus comme Avast empêchent le chargement de Panda TotalScan et le
classent même comme virus. Une pratique anticoncurrencielle ou une erreur d'analyse ?
Plus d'informations et plus d'interactivité grâce au Web
La sécurité trouve aussi ses solutions sur le Web. Outre les « scans en ligne » proposés
par tous les éditeurs, d'autres services méritent qu'on s'y intéresse. Détails.
agrandir la photo
Faire un scan en ligne, c'est pratique. Tous les éditeurs proposent de telles solutions. Mais le Web
peut rendre d'autres services. On trouve des sites de tests comme chez Norton ou chez GRC. Nous
avons retenu cinq sites très utiles au quotidien.
Alken.nl
Ce site est une sorte de portail qui ouvre vers tous les sites de sécurité et de tests de sécurité.
C'est une mine incontournable d'informations et une collection exhaustive de tests en ligne.
VirusTotal.com
VirusTotal est un service indépendant de tout éditeur de sécurité, qui analyse les fichiers suspects
qu'on lui envoie en les passants au crible des 20 principaux moteurs antimalwares du marché. Très
pratique, par exemple, pour tester une pièce jointe que l'on vient de recevoir et sur laquelle on a
un doute. Très utile aussi pour vérifier un « faux-positif », autrement un fichier détecté de façon
erronée comme dangereux par votre antivirus.
OpenDNS.com
Les DNS sont ces serveurs qui convertissent les noms de domaine en adresses IP. Ces services
sont normalement fournis par votre FAI. OpenDNS vous offre des serveurs DNS alternatifs,
généralement plus rapides et disponibles que ceux des FAI mais qui surtout filtrent les adresses et
vous prévient lorsque vous tentez d'accéder à des sites réputés dangereux.
F-Secure Health
Check F-Secure a lancé il y a peu un nouveau service en ligne qui permet de tester sa configuration
et de vérifier que celle-ci est bien à jour et protégée contre les derniers exploits (codes exploitant
les dernières failles de sécurité), non seulement du système mais également des principales
applications qui fonctionnent dessus (Firefox, Adobe PDF, Flash, Quicktime, etc.)
Norton Café
Expérience très originale, Norton vient de monter un café virtuel en français, où les internautes
viennent questionner les experts Norton, échanger leurs expériences, déboires et solutions, etc.
Accessibles aux experts comme aux néophytes, le site comporte également de nombreux conseils,
des définitions, etc. Une idée sympathique qui pourrait bien faire école.
Mission impossible : protéger le navigateur
Directement exposé à toutes les attaques du Web, le navigateur reste le talon d'Achille
de tout ordinateur. Que le navigateur s'appelle IE, Firefox ou Safari, les pirates ne sont
pas sectaires.
agrandir la photo
Pour protéger le navigateur, et plus encore l'utilisateur en contrôlant les sites auxquels il accède,
de nouveaux outils ont fait leur apparition.
TrendProtect
TrendProtect est un plug-on gratuit qui protège l'accès aux sites contenant un danger potentiel.
Arme contre le phishing et les webstorms, TrendProtect indique à l'utilisateur si la page qu'il
souhaite visiter (ou l'occurrence remontée par le moteur de recherche) présente ou non un risque.
Il catégorise les sites, donne des indications sur leur réputation, etc.
ZoneAlarm ForceField
Actuellement en bêta, ForceField est un nouvel outil qui crée une bulle protectrice autour du
navigateur et virtualise toutes les opérations réalisées depuis ce dernier. Il protège ainsi votre
installation contre tous les types d'attaque passant par le navigateur Web.
La protection dans une clé USB !
Un ordinateur accessoire, entièrement dédié à la sécurité de votre PC, et qui tient sur
une clé USB ! C'est l'idée hyperoriginale de Yoggie avec son FireStick Pico.
agrandir la photo
Les suites de sécurité consomment approximativement 20 % des ressources de votre ordinateur.
C'est considérable, mais c'est le prix à payer pour être bien protégé. La société Yoggie a imaginé
de déporter ces traitements sur une clé USB afin de soulager le PC lui-même !
Comment ça marche ?
C'est un processus ingénieux : un pilote sur le PC redirige toutes les communications réseau vers la
clé. Cette clé est un véritable micro-ordinateur doté d'un processeur rapide, d'une mémoire, d'un
système Linux et d'un jeu de protections (antimalwares, pare-feu, antispams, etc.) provenant
notamment de Kaspersky. Bref, il suffit d'installer le pilote, de connecter la clé et votre machine est
instantanément protégée tout en conservant toute sa puissance pour vos applications. C'est
étonnant, ça marche remarquablement bien, mais c'est plutôt destiné à des machines autonomes
et mobiles qu'à des PC connectés au réseau d'une entreprise par exemple.
SuperAntiSpyware v4.0
SuperAntiSpyware est l'une des surprises de l'année 2007. En quelques mois, ce scanner
spécialisé dans l'éradication des spywares est devenu une référence. La version 4.0 est
dans les starting blocks.
agrandir la photo
SuperAntiSpyware. Le nom sonne comme une plaisanterie de mauvais goût. Pourtant, grâce à la
qualité de ses détections mais encore plus grâce à l'efficacité de ses techniques d'éradication, cet
utilitaire a relayé les Spybot et autres AdAware au rang de figurants. Mais en matière de spywares,
le plus dur n'est pas d'arriver au top, mais d'y rester. D'autant qu'aujourd'hui les antivirus font
aussi bien. La nouvelle version 4.0 vient d'être dévoilée et peut-être téléchargée en version bêta.
Elle dispose de nouveaux mécanismes pour éradiquer et détecter les menaces les plus récentes
PC Tools ThreatFire
Un peu dans le même esprit que Norton AntiBot, Threatfire est une protection
comportementale destinée à protéger les PC contre les attaques « Zero Day ».
agrandir la photo
Les attaques « Zero Day » sont la hantise de Microsoft et des autres éditeurs. Ce sont les failles qui
sont découvertes avant que des correctifs n'existent. S'engage alors une lutte contre la montre
pour fabriquer un patch avant que l'attaque ne se répande.
ThreatFire de PC tools est un outil sécuritaire en temps réel basé sur la détection comportementale
des programmes malveillants des chevaux de Troie, logiciels spywares , rootkits et enregistreurs
de frappes.
ThreatFire est capable de stopper une attaque informatique en observant le comportement des
différents processus, fichiers et applications en cours et de proposer une protection contre les
menaces. ThreatFire vient en complément de vos protections actuelles. Le logiciel est actuellement
gratuit.
Secunia PSI
Secunia PSI est un logiciel qui analyse tous les programmes présents sur votre PC. Il
vous signale leurs failles et vous alerte de leurs mises à jour.
agrandir la photo
Les cybercriminels ne ciblent plus uniquement l'e-mail et le système d'exploitation. Ils profitent de
plus en plus des failles de sécurité présentes dans les programmes pour percer vos protections et
infester le PC. QuickTime, Flash ou Adobe Acrobat ont notamment été particulièrement attaqués
en 2007. Tout comme les outils bureautiques.
Secunia PSI est un utilitaire qui analyse tous les programmes installés sur votre PC. Il vérifie que
vous disposez bien des dernières mises à jour de chacun d'eux. Il signale les failles découvertes,
vous alerte des risques encourus, etc. Secunia PSI est un outil gratuit !