L’éditeur de solutions de sécurité IT reconnaît qu’au regard du type d’assaut repéré à Bercy, l’approche d’une simple protection anti-virus ne suffit pas. Symantec préconise une détection des malwares prenant en compte leurs spécificités et leurs configurations uniques : la technologie de « réputation » qui sera prochainement intégrée dans sa gamme de solutions professionnelles (et qui déjà donne lieu à un site dédié sur le Web).
Nos confrères d’ITespresso.fr ont donc pu interviewer Laurent Heslault. Voici ses réponses…
Dans quelle mesure Symantec a caractérisé le type d’attaque qui a affecté Bercy ?
Laurent Heslault : On peut cerner quatre phases. Primo, l’incursion ou l’intrusion. L’objectif étant d’introduire un logiciel malveillant dans le système visé. Il faut que le mail-leurre soit plausible avec un sujet pertinent, en provenance d’une personne de confiance. On a vu des choses comme cela au cours du Forum de Davos avec des mails issus de proches collaborateurs de dirigeants. « Dans la pièce jointe, votre agenda pour demain ». Difficile de ne pas cliquer. C’est bien fait en termes d’ingénierie sociale. On introduit souvent un malware par le biais d’un PDF en pièce jointe. C’est pas confirmé dans le cadre de l’attaque de Bercy. Les pirates établissent ensuite une vraie cartographie du système : ils regardent ce qu’il y a en accès local dans les serveurs et la messagerie. La phase 3 correspond à la capture des documents : « je prend des documents existants » et/ou « j’introduis des Advanced Persistent Threats ». Ce sont des gros spywares qui enregistrent tout ce que la personne visée tape sur son clavier, envoie ou imprime via son ordinateur. Hors de la France, on a même vu dans un cas similaire que le microphone de la machine était activé pour enregistrer les entretiens. Reste la phase 4 : l’exfiltration des données de manière discrète. Dans le cas de Bercy, ce serait associé à du flooding. On bourre un serveur de données, en mélangeant du faux et du vrai pour brouiller les pistes. Du coup, cela donne trop de travail pour trier du grain de l’ivraie. On peut aussi remarquer des similitudes avec l’attaque survenue au Canada lorsque ce pays présidait le G20. Elle visait les même types de documents portant sur ce forum international.
(lire la fin de l’interview page 2) : Les outils anti-virus inefficaces ? Quelle(s) parade(s) ?
L’ANSSI indiquait dans sa conférence de presse « post-attaque de Bercy » que les outils anti-virus étaient « relativement inefficaces » pour contrer les menaces ciblées…
Laurent Heslault : C’est exact. L’anti-virus moyen qui travaille sur des signatures heuristiques – même associé à une dose de technologie comportementale – passe à travers. C’est pour cela que Symantec travaille sur la réputation. A partir de la version 12 des nos produits pros qui sortent au printemps (Symantec Endpoint Protection), nous allons rajouter une fonctionnalité qui consiste à dire : « si je détecte un code que je n’ai pas vu avant, je le considère comme malveillant ». On calcule un score de réputation sur tous les exécutables. Cela fait quatre ans que nous travaillons sur ce concept. Et cela fait deux ans que la technologie est disponible dans nos outils Norton pour le grand public.
Pourquoi les outils pros de Symantec n’intègrent pas la réputation ?
Laurent Heslault : C’est plus facile à proposer sur une version indépendante à destination des particuliers que dans le cadre d’une implémentation au sein des grandes organisations. Il faut revoir un certain nombre de paramètres au sein des entreprises ou grandes structures, notamment en termes de management (installation de règles). C’est en phase de bêta-tests chez un certain nombre de clients professionnels et chez nous. Dans notre base, nous avons recensé 2,5 milliards de codes Internet que nous exploitons. Nous avons développé la sécurité basée sur la réputation pour répondre à cette micro-distribution de malwares. C’est une couche technologique que nous rajoutons. Plus un fichier est unique, plus il devient suspect à nos yeux. Cela nous donne un avantage considérable sur les faux-positifs. Avant de mettre un fichier en quarantaine, nous serons en mesure de réduire drastiquement cette probabilité. Nous sommes les seuls à avoir cette technologie. Une fois que l’on a instauré un score de réputation, on ne re-scanne pas le fichier. Et du coup, on gagne 80 à 90% de temps de scan.