Sécur-Info: décembre 2010

mardi 7 décembre 2010

Sécur-Info #6 - Spécial "Faux Anti-virus" + Actualités Gaspésiennes

En résumé dans ce numéro :

Ce numéro de Sécur-Info, "LE bulletin de nouvelles de sécurité informatique Gaspésien", prend une toute nouvelle signification en ce sens que pour la première fois, j'y relate des informations liés à des incidents de sécurité réels qui sont survenus récemment ici, en Gaspésie. Ces informations seront mêlées avec les dossier promis sur les "Faux Anti-Virus", qui représente une niche particulière et très lucrative de la panoplie de maliciels présents sur Internet à l'heure actuelle. On parle ici de la pointe très visible de l'iceberg, mais toujours aussi efficace malgré tout. Finalement je conclurai avec un bref retour sur certaines actualités mentionnées lors des précédents numéros.

------------------------------------------------------------------------------------

Bonjour cher lecteur à cette sixième édition du bulletin de nouvelles Sécur-Info, axé sur la sécurité informatique et destiné aux entreprises et organismes opérant sur le territoire Gaspésien

Ce bulletin consiste en un résumé en français de manchettes récentes originalement parues en anglais et triées sur le volet ou d'un blog traitant d'un sujet en particulier sur la sécurité informatique. Le contenu n'est pas très technique en soi et vise surtout à faire prendre conscience de l'ampleur du problème en ce qui à trait à la vulnérabilité des systèmes informatiques que nous utilisons tous les jours et que nous prenons trop souvent pour acquis.

La protection des données informatiques est un enjeu crucial pour les entreprises et organismes de toutes tailles, mais malheureusement trop souvent négligé à cause d'un manque de connaissances dans la matière. Le but de ce bulletin de nouvelles est donc de vous initier tranquillement au merveilleux monde de la sécurité informatique et des sujets qui s'y rattachent. Mieux informé, vous serez ainsi plus en mesure de mieux évaluer les risques auxquels vos systèmes informatiques ont à faire face.

En espérant donc que vous trouverez ce bulletin intéressant et pertinent pour votre organisation.

Adam Richard, Consultant en Sécurité de l'Information

------------------------------------------------------------------------------------

Incidents de sécurité informatique en Gaspésie

Lors de mes nombreuses démarches afin d'obtenir du financement pour le démarrage de mon entreprise, à un certain moment donné, j'ai été confronté à une demande à laquelle je ne m'attendais pas : fournir des statistiques sur les incidents de sécurité informatique en Gaspésie. J'ai eu beau arguer que de telles statistiques n'ont jamais été compilées auparavant, que justement, pour qu'elles le soient, cela prendrait justement une compagnie telle que la mienne pour le faire; que les statistiques mondiales et canadiennes étaient déjà très éloquentes (63% des internautes victimes d'une forme de cyber-crime, 65% au Canada, 73% aux É-U); que des événements récents tels que des inondations (comme celle à Rivière-au-Renard au moment d'écrire ces lignes), vols ou actes de vandalisme (feu) survenu récemment sur le territoire étaient tout autant d'incidents où mes services auraient pu être salutaires, ou encore que j'avais deux témoignages distincts de personnes vivants à Gaspé alléguant avoir l'impression qu'un individu (le même dans les deux cas) s'était introduit dans leur ordinateur après lui avoir confié celui-ci pour des réparations mineures (à titre d'information, cet individu aurait quitté la Gaspésie selon les dernières nouvelles que j'en ai eu); j'ai eu beau arguer de tout cela, donc, mais sans "statistiques" en bonne et due forme concernant le territoire Gaspésien, c'était comme si toutes ces menaces que j'amenais, tout ces chiffres, ils n'étaient qu'une conception de mon esprit. Un peu comme si, par je ne sais quel principe, la Gaspésie n'était pas connectée au même réseau Internet que le reste de la planète, ou que personne en Gaspésie n'utilise Internet dans un cadre professionnel ou d'affaires.

Et bien peu s'en faut, car même s'il ne s'agit pas là de véritables statistiques, des incidents reliés à la sécurité informatiques surviennent bel et bien sur notre beau territoire.

En effet, il y a moins de deux semaines, le site web d'une auberge de ski de Murdochville s'est fait "hacker", comme on dit dans le jargon. J'ai appris cela tout à fait par hasard, au travers d'un de mes contacts que je venait de faire la journée même! Je ne suis pas au courant des détails de l'attaque, mais de ce que j'ai pu en constater d'ici, il semblerait que ce soit le site de leur fournisseur d'hébergement web au grand complet qui a été la victime principale de l'attaque, fournissant ainsi au pirate un accès aux comptes de tous leurs clients, incluant notre auberge Murdochvilloise. Il a fallu quelques jours avant que tout ne semble être rentré dans l'ordre. Sans être dans le secret des dieux, tout me porte à croire que le but de cette attaque était la distribution d'une suite malicielle à travers ces sites webs qui infecte à leur insu les visiteurs légitimes qui ne se doutent de rien. Cela ne serait pas surprenant, puisque cette méthode est maintenant beaucoup plus utilisée pour propager des maliciels que l'ancienne mode des pièces-jointes dans les courrier électroniques, quoique cette méthode à toujours cours aujourd'hui.

On pourrait penser qu'il s'agit d'un fait isolé, mais malheureusement, ce n'est pas le cas.

Sans nécessairement toujours en devenir victime, le cyber-crime prend diverses formes, et nul n'est à l'abri de celui-ci dès l'instant où il se connecte au réseau Internet. Et le fait d'être une "région éloignée" perd tout son sens une fois sur le réseau des réseaux. C'est ainsi que j'ai été mis au courant par un de mes contacts Facebook d'une tentative d'extorsion ayant l'apparence d'une opportunité d'affaires légitime (le fait que le message provenait du Nigéria était un gros indice, mais il s'agit ici d'une tentative beaucoup plus subtile qu'un vague transfert de fonds internationaux pour un héritage non-réclamé ou un trésor national public volé), ou qu'un autre de mes contacts Facebook s'est plaint cette semaine des alertes provenant de son antivirus en lisant un de mes messages et celui de quelqu'un d'autre sur un mur FB. Discutant de la situation avec elle, ne pouvant re-créer avec exactitude ce message de son côté et ne voyant rien d'anormal de mon côté non plus, j'en suis venu à la conclusion que son anti-virus a été déclenché possiblement par une publicité malicieuse, qui est un autre moyen pour les pirates de propager leurs maliciels, principalement les faux antivirus, comme nous allons voir.

Je voudrais seulement terminer cette section en mentionnant que tous les incidents rapportés dans ce bulletin liés à la Gaspésie ne m'ont été rapportés que par le pur fruit du hasard, et qu'en tant que tel, ils ne représentent qu'une toute petite partie visible d'un iceberg que je soupçonne d'être beaucoup plus gros que ce à quoi personne ne s'attend.

Dossier "Faux Anti-Virus"

Cette catégorie de maliciels est aussi appelée an anglais "Rogue Anti-Malware" ("anti-virus voyou"), "Scareware" (logiciel basé sur l'exploitation de la peur), dans certains cas "Ransomware" (logiciel qui demande une rançon pour que vous récupériez le contrôle de votre ordinateur) ou quelques autres noms encore. Pour question de simplicité, appelons-les simplement "faux anti-virus". Ils sont dans la nature depuis plusieurs années déjà, et bizarrement n'ont pas subi d'évolutions majeures, malgré quelques nouveautés intéressantes récemment. Malgré ce manque apparent d'innovation, ce type de maliciel connait toujours beaucoup de succès et représente une tranche très lucrative des revenus provenant du cyber-crime. Toujours près de chez nous, une de mes connaissances, comptable travaillant dans le secteur para-public à Gaspé en a été victime chez lui il y a quelques années, et plus récemment un organisme para-public qui compte parmi mes prospects-clients a subi le même problème sur le lieu de travail plus récemment. Dans les deux cas, il y a eu perte de sommes d'argent.

La caractéristique principale de ces logiciels est qu'il vous présente une interface similaire à celle des véritables logiciels anti-virus que vous êtes susceptible de connaitre. Dans certains cas, l'interface est la même mais seul le nom change. La méthode la plus efficace pour les identifier cependant consiste à regarder de plus près le fonctionnement réel du programme (idéalement, vous les aurez reconnus avant d'en arriver là). Dans le cas de la plupart (sinon tous) les logiciels anti-virus légitimes, une version gratuite et pleinement fonctionnelle est habituellement offerte aux côtés d'une version payante à titre de version d'essai. Certaines fonctions peuvent être désactivées, comme la mise-à-jour automatique ou des modules de détection supplémentaires, mais pour l'essentiel, la version gratuite offre les mêmes capacités de détection ET de nettoyage que la version payante, et ce, sans payer un seul sou. Dans certains cas, la période d'essai est limitée dans le temps, 30 jours par exemple, mais durant cette période le logiciel offre ses pleines capacités.

Figure 1 : L'interface de Security Master AV
Dans le cas des faux anti-virus, les personnes derrière ces logiciels tentent par tout les moyens de rendre leur logiciel frauduleux similaire aux logiciels légitimes, afin de mieux se faire passer pour eux. Ainsi, eux aussi vont tenter de vous convaincre qu'ils vous offrent une version "gratuite" de leur logiciel (très souvent, un "scan gratuit", ce qui est un indice très clair qu'il y a anguille sous roche), et vont tenter par tout les moyens de vous inciter à l'utiliser pour scanner votre ordinateur dans les plus brefs délais. Bien que jusqu'à maintenant, tout semble normal, c'est au moment de nettoyer ce que ce "scanneur gratuit" à détecté (parce qu'il trouve invariablement quelque chose, que votre ordinateur soit réellement infecté ou non) que les choses se corsent. C'est en effet à ce moment que le logiciel vous informe qu'il vous faut maintenant payer pour la version complète afin d'enlever les maliciels supposément trouvés. De plus, il vous sera impossible de désinstaller ce faux logiciel, qui continuera à vous envoyer des alertes dans le but de vous convaincre de payer pour la "version commerciale".

Ceci décrit en gros les principes de bases qui caractérisent cette catégorie de maliciels depuis les début de son existence. Cependant, quelques innovations d'apparence mineure en surface, mais qui démontre bien la volonté de pousser ces logiciels et de les faire passer pour légitimes le plus possible, ont récemment fait leurs apparitions.

Tout d'abord, au niveau de la distribution, comme on l'a vu plus haut, la solution pour les cyber-fraudeurs est parfois aussi simple que de s'acheter un bandeau de publicité sur un site populaire comme Facebook, Twitter, Google, Yahoo ou encore le site du New York Times, ou bien plus près de chez nous le site de Canoe.ca, par exemple. Le coût relativement faible de l'achat de ces publicités en fait un vecteur de choix pour les pirates, qui en obtiennent une rentabilité des plus intéressantes.

Les cyber-fraudeurs ne sont pas tous paresseux ou dépourvus de connaissances techniques, cependant, comme le démontre cette étude en profondeur sur le fonctionnement interne d'un tel faux anti-virus. Cette étude fait mention d'un script (c'est-à-dire un petit bout de programme) qui contrôlait plus ou moins l'entièreté de l'opération de distribution. Les pirates scannait l'Internet à la recherche de serveurs web légitimes vulnérables (comme celui de notre auberge de ski de Murdochville), et utilisaient ensuite ces vulnérabilités pour y insérer leur script.

À partir de là, le serveur web se met à distribuer des maliciels de manière silencieuse, à l'insu du propriétaire du site et de ses visiteurs.

C'est à ce moment que le script entre en action et utilise à son avantage les forces des engins de recherche comme Google. Dans un premier temps, une partie du script va analyser les recherches récentes sur Google les plus populaires dans le but d'en tirer les mots clés les plus pertinents à l'actualité du moment. Le script va ensuite insérer des liens sur le site web piraté contenant ces mots-clés, dans le but évident d'être intercepté et référencé par l'engin de recherche Google. Dans un deuxième temps, le script va également insérer des liens vers d'autres sites webs piratés contenant les même mots-clés. Le but de cette opération est "d'empoisonner" l'engin de recherche Google en lui faisant croire que ces liens sont plus pertinents qu'ils ne le sont en réalité à l'aide d'un réseau de référencement factice. Il faut savoir que c'est par le nombre de références à un article que Google détermine sa pertinence, et donc son emplacement dans la liste des sites retournés pour une recherche quelconque. En procédant ainsi, les cyber-fraudeurs sont donc en mesure d'utiliser la force de Google à leur avantage de sorte à ce que les sites piratés qu'ils utilisent pour distribuer leurs maliciels se retrouvent souvent en tête de liste, surtout lors de recherches sur des sujets marquants de l'actualité susceptibles d'attirer l'attention du plus grand nombre possible.

Figure 2 : L'interface de My Security Engine. Remarquez à quel point il est identique à celui de Security Master AV.

Cependant, ce qui a attiré le plus l'attention récemment au sujet des faux anti-virus est l'ajout d'un "service d'aide technique" incorporé au maliciel (voir la partie encerclée dans le coin supérieur droit des Figures 1 et 2), avec un vrai être humain à l'autre bout pour vous guider comme un vrai technicien le ferait, tout cela bien entendu dans un effort supplémentaire d'avoir l'air le plus "légitime" que possible. Un chercheur s'est même donné la peine de prétendre d'être une victime qui vient de tomber au piège, et a contacté le support technique pour de l'assistance concernant le message d'alerte qui est apparu (dans ce cas-ci de manière provoquée) sur son écran. Il en a tiré deux séquences vidéos de ses séances de clavardage avec le "technicien", duquel en ressort que le "technicien" possède déjà des réponses toutes prêtes qu'il n'a qu'à copier-coller (que l'on devine au temps incroyablement court pour taper des réponses relativement longues), qu'il transmet à la victime des informations techniques erronées et complexes, mais se pose ensuite comme étant celui ayant la solution pour l'aider, le but ici étant de gagner la confiance de la victime et l'inciter à télécharger encore plus de composantes malicielles sur son ordinateur.

Figure 3 : Session de clavardage avec un faux représentant de support technique.

Comme nous venons de le voir, ces logiciels ressemblent en tout point à de véritables anti-virus, et donc il n'est pas difficile de comprendre pourquoi tant de gens se font prendre. Les techniques pour convaincre la victime qu'il s'agit d'un logiciel légitime s'apparentent à ce que l'on appelle en sécurité l'Engineering Social. L'Engineering Social, qui peut être effectué de plusieurs façons, consiste à adopter un discours et une image propices à induire confiance et amener la victime à agir selon les désirs de l'ingénieur social.

Figure 4 : Engineering Social 101 - Auriez-vous idée de vous méfier d'un tel sourire?
Est-ce que ces techniques sont efficaces?

Plutôt, oui. Jugez-en par vous même avec l'anecdote qui suit.

Au cours de mes recherches au cours de l'été dernier afin de tenter de dénicher des statistiques de sécurité informatique propres à la Gaspésie, je suis tombé sur une dépêche publiée par la liste de distribution ThreatPost, gérée par le fabricant d'antivirus très réputé Kaspersky Labs. Cette dépêche faisant mention de la "compagnie" Enigma Software Group, qui venait de mettre en ligne un outil qui montre le nombre d'infections malicielles pour chaque ville sur une carte géographique de type Google Map. Et, oui, il y avait des statistiques sur la Gaspésie. Très peu, mais il y en avait.

Figure 5 : Le "Malware Tracker" d'Enigma Software Group.
Initialement, en partie à cause de ma joie sur le moment et en partie à cause du fait que je n'avais pas de raison de douter de la légitimité de cette information du fait qu'elle me provenait de Kaspersky, je n'ai pas porté attention à la source de ces statistiques ni à leur véracité. Cependant, mes soupçons ont commencé à se former quand j'ai tenté de communiquer avec cette compagnie afin de rapporter une erreur sur leur site web, et que j'ai été incapable de trouver ne serait-ce que l'ombre d'une adresse courriel sur le site. Au mieux, je n'ai trouvé qu'une page sur leur site où l'on peut laisser un message destiné au support technique de leur "logiciel anti-virus" SpyHunter. Un seul petit problème cependant, cette option n'est disponible que pour les utilisateurs payants de ce logiciel.

Ne désirant aucunement débourser de l'argent pour simplement pouvoir les contacter, pour leur signifier un problème sur leur site web de surcroit, j'entrepris donc de lancer mon navigateur web préféré pointé sur Google, et j'ai commencé à enquêter sur cette compagnie, leur logiciel, ainsi que certains de leurs employés et dirigeants. J'ai trouvé une quantité d'informations colossale et parfois même des plus loufoques, ce qui m'a permis de rapidement identifier les gens derrière Enigma Software Group comme étant des gens totalement incompétents en informatique et avec un très lourd passé en termes de pratiques douteuses qui les ont officiellement catégorisés comme "Faux Anti-Virus" pendant de nombreuses années. Ils ne sont plus officiellement identifiés comme tels de nos jours suite à une poursuite judiciaire contre Lavasoft, qui s'est réglée par une entente hors-cours dont les termes n'ont pas été révélés.

Je me suis quand même posé la question à savoir comment ces gens ont fait pour passer à une des "compagnies" de sécurité informatique les plus controversée et mal réputée de l'industrie formelle et informelle (certains les traitent carrément de fraudeurs et de voleurs) à une compagnie qui fait les manchettes sur une liste aussi réputée que ThreatPost? Et bien la réponse est très simple et très longue à la fois. Le contenu complet de mon enquête est exposé dans un article, an anglais, que je compte publier sur Internet bientôt.

Mais en bref, ce qu'ils ont fait, c'est simplement pousser les principes de l'Engineering Social à un autre niveau, en s'attaquant non pas aux gens directement mais en s'adressant aux médias de masses. Ce faisant, ils ont corrigés leurs pratiques les plus répréhensibles, sans pour autant adopter une nouvelle attitude plus éthique. Ils ont largement profité de la tempête médiatique crée par le ver Conficker il y a environ 2 ans, pour lequel ils ont lancés un outil de suppression entièrement gratuit, et grâce à ce pied dans la porte, petit à petit ils ont réussi à se monter un dossier de presse qui au fur et à mesure qu'il grandissait, leur conférait une certaine "crédibilité journalistique". Il est clair cependant qu'aucun de ces journaux n'a procédé à la moindre vérification. À la lumière des choses que j'ai trouvées sur eux, ils n'auraient jamais obtenu une ligne de texte ou une seconde de temps d'antenne si ça avait été le cas.

Plus tard, quand ils ont pensé à mettre les statistiques des "infections détectés" sur une carte Google Map, s'en est suivi une autre ronde médiatique, car il s'agit vraiment d'une bonne idée même si elle est imparfaite, et à ce moment, ils avaient apparemment réussi à faire oublier leur passé chargé, car de toute évidence tous ces médias les ont pris pour des experts sur parole, sans effectuer aucune recherche sur leur crédibilité. Pire, certains de ces articles en ont tirés des études démographiques sur les taux d'infections de maliciels! Nul besoin de préciser que je ne me suis plus servi de ces chiffres comme statistiques valables, quoiqu'elles démontrent tout de même une partie visible de l'iceberg qui se trouve devant nous.

Figure 6 : Zoom sur la Gaspésie. Au mieux, ces statistiques montrent combien de gens sont tombés dans le panneau de SpyHunter. Au pire, ils ne représentent rien du tout.

Retour sur les actualités précédentes

Dans cette section, je pourrais continuer de lister les manchettes concernant les nouvelles vulnérabilités découvertes dans nos système depuis la dernière édition de ce bulletin, ou de la rapidité à laquelle ces nouvelles vulnérabilités sont rapidement exploitées dans de nouvelles attaques, mais sincèrement je crois que cela deviendrait redondant à la lumière des manchettes de ce type que j'ai déjà couvert.

Cependant, deux parmi celles-ci méritent que j'y revienne un bref instant, car je les considère particulièrement importantes.

La première concerne le ver StuxNet, dont j'ai fait mention dans mon dernier bulletin. La particularité de ce ver (en plus des vulnérabilités intéressantes qu'il a permit de découvrir) était qu'il s'attaquait à des types d'ordinateurs très spécifiques, les systèmes SCADA, qui sont utilisés dans le contrôle industriel des chaines de montage et des systèmes d'infrastructure, tels que les usines d'épuration d'eau ou les centrales électriques. Ce ver avait toutes les apparences d'être la création d'un État-Nation voulant prendre le contrôle des infrastructures d'un autre État-Nation.

Il est apparu à la lumière des dernières révélations que le pays visé par ce ver ne serait nul autre que l'Iran. Ce qui veut dire que le créateur de ce ver est possiblement soit les États-Unis, soit un de leur proches alliés. Le but de celui-ci serait de ni plus ni moins de s'introduire dans les systèmes de contrôle des centrales nucléaires controversées d'Iran qui font si souvent les manchettes aux actualités du soir à la télévision. L'Inde aurait également été affecté par StuxNet.

Donc, après les épisodes de déstabilisation des infrastructures électroniques et bancaires qu'ont connu certains pays de l'ex-U.R.S.S. (particulièrement l'Estonie), c'est un autre chapitre de l'histoire des cyber-guerres qui est en train de s'écrire.

Parlant de cyber-guerre, cela m'amène à vous parler d'une autre manchette, parue l'hiver dernier celle-là, et dont je fait mention lors de mes conférences. Il s'agit de l'attaque que les médias et experts ont baptisé "Opération Aurora". La portée réelle de cette attaque n'est pas encore entièrement connue. Il s'agirait cependant d'une attaque provenant de la Chine et qui a touché une cinquantaine de compagnies aux États-Unis, dont Google, Symantec (oui, le fabricant d'antivirus), Juniper Networks, Adobe, Yahoo, Dow Chemical et Northrop Grumman. Le but de cette attaque aurait à la fois été d'espionner les comptes de courriel Gmail de dissidents chinois et d'activistes des Droits Humains ainsi qu'une vaste opération d'espionnage industriel.

La raison qui m'amène à vous parler d'Opération Aurora aujourd'hui provient de WikiLeaks, qui a récemment fait les manchettes avec la nouvelle fuite d'environ 250 000 câbles diplomatiques sur son site et au travers de quelques journaux réputés. Certains de ces câbles confirmeraient l'implication directe du Politburo chinois dans la responsabilité d'Opération Aurora. Sans grande surprise de ma part, "le gouvernement chinois se serait introduit à l'intérieur d'ordinateurs du gouvernement américain et de ses alliés occidentaux depuis... 2002".

Les "alliés occidentaux", c'est nous, ça.

D'ailleurs, vous avez peut-être vu le reportage d'Enquêtes sur Radio-Canada (reportage non-disponible en ligne) il y a un peu moins de 2 ans de cela, sur le piratage informatique. On y faisait mention d'un mystérieux ver (Storm) qui était indétectable par les anti-virus et dont on ne savait trop quelle était sa raison d'exister, ainsi que le ver "Microsoft Word" qui infectait et copiait le contenu des disques durs sur Internet sans aucune discrimination. Sans vouloir sauter trop vite aux conclusions, on peut facilement penser que la Chine ou un autre pays ait pu conduire de telles attaques, complètement indétectées, automatisées, à grande échelle et ce pendant plusieurs années. Dans une optique comme celle-ci, toutes les entreprises, grandes ou petites, en centre urbain ou en région éloignée, peut devenir victime d'un tel espionnage industriel de masse, motivé par le gain économique et technologique, et financé par le gouvernement d'États-Nations ou d'organisations criminelles. Dans notre économie mondialisée, les dangers de perdre un avantage compétitif lié à une innovation technologique sont réellement présents pour tous. Il en va de même pour nos institutions gouvernementales.

C'est en prévoyant de tels scénarios que je me suis mis, aussi tôt qu'en 2000, à développer les outils de sécurité et de surveillance en temps-réel à distance que j'ai présenté dans mon bulletin sur les Systèmes de Détection d'Intrusion. Les théories et concepts présents dans ces outils étaient plutôt novateurs à cette époque, mais font maintenant de plus en plus partie de l'offre commerciale de nos jours. Ces technologies offrent une protection nettement supérieure à la simple utilisation d'un antivirus et d'un pare-feu, et sont disponibles à prix abordables même pour la plus petite des PME.

La sécurité est une chose que l'on prend trop souvent pour acquis, surtout dans la confiance que nous plaçons dans nos ordinateurs. Ce n'est malheureusement qu'une fois qu'il est trop tard que l'on réalise ce à quoi on était vulnérable.

Adam RichardConsultant en Sécurité de l'Information

Sécur-Info #5 : Dossier "Vulnérabilités" + Suivi de l'actualité de l'été

Bonjour cher lecteur à cette cinquième édition du bulletin de nouvelles Sécur-Info, axé sur la sécurité informatique et destiné aux entreprises et organismes opérant sur le territoire gaspésien, de retour après la pause estivale.

Ce bulletin consiste en un résumé en français de manchettes récentes originalement parues en anglais et triées sur le volet ou d'un blog traitant d'un sujet en particulier sur la sécurité informatique. Le contenu n'est pas très technique en soi et vise surtout à faire prendre conscience de l'ampleur du problème en ce qui à trait à la vulnérabilité des systèmes informatiques que nous utilisons tous les jours et que nous prenons trop souvent pour acquis.

La protection des données informatiques est un enjeu crucial pour les entreprises et organismes, mais malheureusement trop souvent négligé à cause d'un manque de connaissances dans la matière. Le but de ce bulletin de nouvelles est donc de vous initier tranquilement au merveilleux monde de la sécurité informatique et des sujets qui s'y rattachent. Mieux informé, vous serez ainsi plus en mesure de mieux évaluer les risques auxquels vos systèmes informatiques ont à faire face.

En espérant donc que vous trouverez ce bulletin intéressant et pertinent pour votre organisation.

Adam Richard, Consultant en Sécurité de l'Information

En résumé cette semaine : Cette semaine, je vais effectuer un survol rapide de l'actualité survenue en sécurité informatique au cours des derniers mois d'été. Plutôt que d'y aller manchette par manchette comme par le passé, j'ai décidé de couvrir l'évolution de certains dossiers qui sont plus à même de vous concerner au cours de cette période qui fut très fertile en nouveaux développements. On y verra entre autre que les chercheurs de sécurité indépendants qui trouvent et rapportent les vulnérabilités trouvées aux vendeurs concernés commencent de plus en plus à être rémunérés pour le fruit de leurs efforts. Il s'agit d'un petit pas dans la bonne direction pour stimuler la recherche, car 2010 s'annonce comme une année record en termes de nouvelles vulnérabilités trouvées sur les systèmes informatiques que nous utilisons tous les jours. Il n'en demeure pas moins qu'il est toujours plus lucratif pour quelqu'un de mal intentionné d'exploiter ses découvertes pour le profit personnel. Nous verrons également que les nouveaux téléphones cellulaires possèdent exactement les mêmes problèmes que les ordinateurs avaient 10 ans passés. Finalement, nous allons examiner quelques unes des vulnérabilités qui ont eu le plus d'impact sur la sécurité de vos systèmes au cours de l'été.

La manchette qui résumerait le mieux toute l'actualité qui s'est déroulée au cours de l'été est parue sur les fils de presse il y a à peine 3 semaines, au début de ce mois de septembre, et fut reprise partout dans le monde, y compris au Québec ("Les deux tiers des internautes victimes de fraudes" - CyberPresse; "Cybercriminalité: les Montréalais insouciants" - Canoe-TVA). Cette manchette, basée sur un sondage effectué par Symantec, révèle que près des deux tiers des internautes Canadiens (64%) sont victimes de fraude sur Internet sous une forme ou sous une autre. La Chine (83%), le Brésil et l'Inde (ex-aequo à 76%) occupe les trois premières places de ce classement tandis que nos voisins États-Uniens arrivent quatrièmes avec 73% de ses internautes qui se disent victimes de fraude en ligne. Non seulement ces chiffres sont-ils très significatifs, mais ils ne devraient pas représenter une surprise pour quiconque à suivi l'évolution de l'actualité en sécurité informatique au cours des dernières années, et encore plus à la lumière des événements survenus au cours des derniers mois.

Malheureusement, les dommages liés aux logiciels malveillants ne sont pas toujours d'ordre financier ou économique, comme le laisse sous-entendre les derniers détails parus dans l'enquête sur l'écrasement du vol de la SpanAir JK5022 survenu il y a maintenant environ 2 ans. En effet, un maliciel de type Cheval-de-Troie aurait été malencontreusement introduit par l'insertion d'une clé USB dans un des ordinateurs de la tour de contrôle la journée même de l'écrasement de l'avion, et aurait joué un rôle dans le mauvais traitement de signaux de défaillances techniques de l'avion, contrairement à quoi, certaines alertes auraient pû être détectées à temps pour effectuer un atterrissage d'urgence, et ainsi sauver 162 vies humaines. (Article Original - Source : El Païs).

Afin de mettre un peu d'ordre dans le brouhaha de manchettes qui sont dignes de mention au cours des derniers mois, j'ai décidé de les regrouper en quelques thèmes qui apporteront un peu de sens et de recul à ce qui ressemble à première vue à des manchettes sans liens particuliers entres elles.

Mais tout d'abord, puisqu'il sera largement question de vulnérabilités dans ce buletin-ci, je veux prendre quelques mots afin de bien définir ce qu'est le concept de "vulnérabilité" dans le contexte de la sécurité informatique.

Une vulnérabilité, en gros, c'est n'importe quelle faille, erreur de conception, de programmation ou de configuration d'un système ou d'un programme par laquelle une personne au courant de l'existence de cette faille est en mesure de l'exploiter dans le but de contourner les mécanismes de sécurité en place et d'y effectuer des opérations non-autorisées. Une vulnérabilité peut être exploitable localement ou à distance, selon sa nature, et peut donner accès à des niveaux de contrôle différents en fonction toujours de la nature propre à chaque vulnérabilité. Pour cette raison, il n'est pas rare de nos jours de voir des maliciels ou des attaques de piratage ciblées faire appel à la combinaison de plusieurs vulnérabilités qui, une fois exploitées en séquence, finissent par donner un accès complet de votre système.

Je pourrais résumer ceci en comparant l'exploitation de chacune des vulnérabilités comme un vendeur porte-à-porte qui réussit à faufiler son pied pour garder ouverte une porte qui allait se refermer devant lui. Du fait que la première porte lui soit maintenant ouverte ne veut pas dire qu'il a nécessairement accès à toute la maison, mais c'est déjà amplement suffisant pour lui afin de bloquer la prochaine porte avec son autre pied, ou un objet quelconque, et ainsi de suite jusqu'à l'ouverture de la toute dernière porte protégeant l'accès à l'intérieur de notre maison (et de notre tranquillité).

Ces vulnérabilités sont présentes dans tous les systèmes informatiques et logiciels que nous utilisons tous les jours dans le cadre de nos travail et de nos temps libres.

Ce qui me ramène donc aux actualités des derniers mois.

Nouvelle tendance : Des chercheurs indépendants se font rémunérer pour le fruit de leur labeur

Cela pourra paraître surprenant pour les profanes et les néophytes, mais presque tout le travail de recherche de vulnérabilités effectué par des chercheurs indépendants (lire : non employés par la compagnie fabriquant le logiciel vulnérable) depuis les derniers 15 ans a surtout été le fait de contributions volontaires partagées à la communauté par souci de bien commun, quoique certains fabricants de logiciels diffèrent d'opinion sur ce sujet. Dans le meilleur des cas, ces chercheurs étaient à l'emploi d'une compagnie informatique spécialisée en sécurité; dans plusieurs autres il s'agissait pour beaucoup de se faire une notoriété permettant d'aboutir éventuellement à un emploi dans une terme firme de sécurité informatique. Mais à aucun moment les compagnies bénéficiant directement du fruit de ces recherches n'ont jugé bon de récompenser ce travail volontaire par une compensation monétaire, malgré des profits astronomiques dans certains cas.

Cette tendance est cependant en train de changer quand, en début juin, Google a annoncé qu'il venait de payer une somme de 2000 $ à un chercheur qui a découvert une faille dans son navigateur Chrome. Ce montant étant le plus haut montant payé par Google pour ce type d'activité à ce jour, cette nouvelle a non-seulement fait les manchettes, mais à également incité Mozilla un mois plus tard à hausser ses primes pour les chercheurs de bugs à hauteur de 3000 $, ceci dans un effort avoué d'encourager les efforts de recherche indépendants, et par la bande d'améliorer la qualité de leurs produits. Non désireux de rester en arrière-plan, Google annonce la semaine suivante qu'il augmente ses propres primes à 3133.70 $. On est encore loin des niveaux de rentabilité que les pirates atteignent par l'exploitation illégale de leurs découvertes, mais Google et Mozzila espère de cette façon à rendre la voie légale plus rentable et attrayante pour ceux qui empruntent cette voie.

Deux jours après la nouvelle annonce de Google, Microsoft annonce haut et fort qu'il ne planifie pas de suivre cette tendance pour la simple et bonne raison (selon eux) que les montants en question ne représentent pas un incitatif financier suffisamment important pour pouvoir causer quelque changement significatif par rapport à la situation actuelle. Bien que Microsoft a peut-être raison sur le fond, on ne peut que hocher la tête face à un tel manque de leadership et la pingrerie d'une compagnie telle que Microsoft dans un enjeu qui concerne au bout du compte la sécurité des données et systèmes de ses clients.

Bizarrement, cependant, tout aussi riche et voulant bien faire que Google soit, je ne sais que penser d'une manchette parue un peu plus tard, à la mi-août, selon laquelle on apprend que Google a payé une somme de 10 000$ à un groupe de chercheur pour un total de 10 vulnérabilités. Cette somme ne correspond qu'à 1000$ pour chaque vulnérabilité en moyenne, ce qui est bien en deçà du montant annoncé un mois plus tôt. Ce qu'il faut savoir, c'est que Google paie les chercheurs en fontion de la gravité de la vulnérabilité trouvée et en fonction du temps requis pour effectuer la recherche, le paiement minimum étant de 500 $.

On peut donc voir que la seule activité de recherche légale indépendante de vulnérabilités informatiques n'est pas encore si lucrative que ça, même si ces activités profitent directement à des compagnies bien nanties telles que Microsoft, Google, Mozilla ou même Apple ou Adobe, pour n'en nommer que quelques unes.

Hausse dramatique des vulnérabilités trouvées en 2010

Malgré les relativement faibles investissements monétaires en recherche de vulnérabilités, il n'en demeure pas moins que le nombre de nouvelles vulnérabilités découvertes et rapportées chaque année ne cesse d'augmenter de manière plus que significative. J'aurais pu citer en exemple, en plus des autres manchettes similaires que j'ai cité dans les précédentes éditions de ce bulletin, les manchettes concernant les 225 bugs corrigés dans une mise-à-jour de Firefox, ou bien les nombreuses manchettes concernant Apple apportant des correctifs à Mac OS-X, le lecteur multimédia Quicktime, le plug-in du lecteur Flash ou même le système iOS 4 pour ses téléphones portables. Microsoft et Adobe ne sont bien sûr pas en reste.

Cependant, la manchette la plus éloquente sur ce sujet précis concerne la publication d'un rapport de la compagnie Secunia (Secunia Half Year Report 2010) selon lequel l'année 2010 constitue un record en terme de nouvelles vulnérabilités découvertes, ayant atteint en juin 2010 pratiquement un nombre équivalent que pour toute l'année 2009, et laisse donc entrevoir une hausse de près de 100% (le double) du nombre de nouvelles vulnérabilités pour la seule année 2010 par rapport à 2009.

Ces vulnérabilités se chiffrent par milliers dans leut totalité, et selon les systèmes que vous utilisez, seulement une fraction de celles-ci ne vous concernent vraiment.

À titre d'indication concernant l'exposition aux vulnérabilités propre à l'utilisateur typique de PC, le rapport de Secunia nous fournit les quelques métriques suivants. Ils ont tout d'abord dressé un portfolio comprenant les 50 logiciels les plus susceptibles d'être présents sur un ordinateur en environnement d'entreprise, 26 logiciels de Microsoft et 24 provenant de tierces parties pour un total de 14 différents fabricants de logiciels. En comparaison, on nous indique également que typiquement, 50% des ordinateurs de bureau en entreprise ont plus de 66 logiciels installés provenant de 22 vendeurs différents.

De cette liste Top 50, les vulnérabilités présentes sur un PC typique sont passées de 220 en 2007 à presque le double, 420, en 2009. Pour les 6 premiers mois de 2010 seulement, 380 nouvelles vulnérabilités ont été découvertes, ce qui représente 89% du chiffre total de 2009. En extrapolant ces chiffres pour l'année complète, on obtiendrait un total de 760 nouvelles vulnérabilités pour l'année 2010, et ce, pour un ordinateur "typique" roulant sous Windows.

Je parle ici de 760 vulnérabilités susceptibles d'être présentes sur les ordinateurs mêmes que vous utilisez, et ce sans parler de celles qui ont été trouvées dans les années antérieures et qui sont potentiellement toujours présentes également à ce jour. Le nombre de vulnérabilités réellement présentes dans vos systèmes est peut-être moins élevé, en partie grâce aux différents systèmes de mise-à-jour automatique de logiciels, mais vu le manque de standard à cet effet, le nombre élevé et la nature variée des vulnérabilités, il est très difficile de s'assurer d'être complètement à jour en tout temps à moins d'y dédier une ressource humaine exclusivement à cette tâche. Le fait que certaines de ces vulnérabilités peuvent être potentiellement très dommageables, il est très important d'être bien au fait de son niveau d'exposition aux risques. Le consultant en sécurité est là justement pour dresser un bilan exhaustif de la situation, apporter des recommandations comme mesures correctives, jumelée à une analyse de risques afin de prioriser les mesures suggérées. Avec ces informations en main, le client est alors en mesure de prendre des décisions éclairées concernant les mesures qu'il jugera le plus appropriées à sa situation.

Toujours selon ce rapport, 10 compagnies regroupent à elles seules pour 38% des vulnérabilités découvertes au cours de la dernière année. Ce Top-10 est constitué de Apple, Oracle, Microsoft, HP, Adobe Systems, IBM, VMware, Cisco, Google et Mozilla Organization.

Les téléphones intelligents ne sont pas en reste

Les nouvelles générations de téléphones cellulaires telles que le iPhone, le BlackBerry et l'Android comportent maintenant des fonctionnalités similaires à celles contenues dans nos ordinateurs personnels, à un point tel que de plus en plus de gens utilisent désormais un tel téléphone comme principal outil informatique dans le cadre de leurs fonctions professionnelles. Il est vrai que les fonctionnalités présentes dans ces téléphones en font une alternative viable et attractive pour bien des gens. Malheureusement, il semble cependant que les firmes derrière le développement de ces téléphones n'aient tout simplement rien appris des déboires des 15 dernières années de l'industrie informatique en terme de sécurité, et ne font que répéter les mêmes erreurs.

Plusieurs chercheurs ont en effet profité du cycle de conférences de l'été dernier afin de démontrer leurs dernières découvertes en matière de contournement des mesures de sécurité de ces téléphones. Aucun produit n'est épargné. Certaines attaques les plus simples consiste tout bonnement à l'introduction d'application malicieuse de type Cheval-de-Troie dans les magasins d'applications (App Store), qui font l'objet de très peu de vérification du code des applications soumises par de tierces parties. Certains téléphones ne permettent pas l'installation d'applications provenant de tierces parties, mais une technique appelée le Jailbreaking (la sortie de prison) permet justement de contourner ce mécanisme. Ou bien c'est carrément le système d'exploitation qui est vulnérable. En résulte les même problèmes que pour les ordinateurs : bris de la confidentialité des données présentes sur le téléphone, et perte de contrôle du téléphone au profit du pirate. Les mécanismes de localisation GPS et GSM posent également des problèmes au niveau de la protection de la vie privée.

Les attaques informatiques contre ces téléphones ne sont pas encore monnaie courante, bien que certains cas d'infection malicielle ont été rapportés. Il n'en demeure pas moins que ces attaques sont possibles, telles que démontrées par les chercheurs, et que cette situation n'est pas sans ressembler à celle qui prévalait en informatique il y a environ 10 ans de cela. Je vous réfèrerai au tout début de ce bulletin afin de vous donner une idée à ce que pourrait ressembler la situation de la sécurité sur la téléphonie portable dans 10 ans d'ici.

Comme le dit la fameuse expression popularisée par Bernard Derome, "Si la tendance se maintient..."

Importantes vulnérabilités découvertes au cours de l'été

L'été a été très mouvementé question sécurité pour Microsoft, alors que plusieurs failles importantes ont été découvertes dans presque toutes les versions de Windows. Certaines de ces vulnérabilités ont même été découvertes par l'analyse de nouveaux maliciels qui en faisaient l'exploitation. C'est ce qu'on appelle dans le jargon un "0-day" ("0-jours"), c'est-à-dire une vulnérabilité activement exploitée par les cyber-criminels qui était encore inconnue des chercheurs à ce jour, et donc contre laquelle il n'y a pas de parade.

La première vulnérabilité en question concerne le système d'aide de Windows qui est vulnérable à un type d'attaque permettant à quelqu'un de mal intentionné de créer un hyperlien (sur une page web, par exemple) de façon telle à exploiter ce système d'aide et l'utiliser comme porte d'entrée pour faire éxécuter son propre code sur l'ordinateur de la victime qui cliquera ce lien. Bien que cette vulnérabilité soit très importante, relativement simple à exploiter et affecte pratiquement TOUS les utilisateurs de Microsoft Windows, la principale raison qui a fait que cette vulnérabilité à tellement fait parler d'elle tient du fait que c'est un employée de Google, Travis Ormandy, qui en a fait la découverte. Jusque là, pas de problèmes. Le problème est survenu quand Ormandy, qui prétend agir de manière personnelle et non-reliée à son emploi chez Google, a révélé publiquement les détails de la vulnérabilité 4 jours seulement (dont une fin de semaine) après en avoir averti Microsoft. Bien que ce ne soit pas la première fois qu'un tel événement survienne, surtout à Microsoft, la compagnie de Bill Gates a très mal réagit face à ce geste, prétextant (avec raison) que Tormandy n'a pas laissé suffisamment de temps à Microsoft pour apporter un correctif au problème avant d'en dévoiler les détails publiquement. Sachant que Ormandy est un des experts en sécurité des plus réputés chez Google, Microsoft n'a pas hésité à associer ses activités avec celles de son employeur. Sachant également que Microsoft avait déjà, par le passé, trouvé des vulnérabilités dans les produits Google, et qu'ils avaient collaboré avec eux pour en dévoiler les détails publiquement de manière "responsable" (c'est-à-dire une fois qu'un correctif est disponible), nous avons ici tous les ingrédients pour un incident diplomatique de haut niveau entre deux géants corporatifs du logiciel.

Cependant, tout ce débat fut très vite éclipsé lorsque la découverte d'un nouveau maliciel, appelé StuxNet, attira toute l'attention médiatique spécialisée en sécurité informatique, et ce pour plusieurs raisons.

Tout d'abord, une des particularités de ce maliciel est qu'il s'installe au moyen d'un pilote matériel (driver) qui était numériquement signé par un certificat d'authenticité tel qu'émis par la firme VeriSign. VeriSign étant le chef de file dans l'industrie pour ce qui est des technologies d'authentification, cette nouvelle à elle seule est loin d'être banale et à causé tout un remous. VeriSign a depuis révoqué ce certificat.

L'étude approfondie de StuxNet a également permis de révéler une faille présente dans TOUS les systèmes Windows et encore totalement inconnue jusqu'alors. Cette faille concerne les fichiers .LNK, qui sont utilisés par Windows pour le système de "raccourcis" (ces icones sur votre Bureau avec une petite flèche incurvée dans le coin inférieur droit). Cette vulnérabilité fait en sorte qu'une personne mal intentionnée pourrait confectionner une icone de type .LNK de façon à ce que le simple fait de VISUALISER l'icone est suffisant pour éxécuter le code malicieux de son choix sur l'ordinateur de la victime. Il est très important de noter qu'il n'est aucunement nécessaire de cliquer sur QUOI QUE CE SOIT. Par exemple, une clé USB pourrait contenir un tel fichier .LNK. En branchant cette clé dans votre ordinateur, le simple fait de regarder le contenu de la clé est suffisant pour déclencher l'attaque, sans même cliquer sur quelque icone ou programme que ce soit, et ce même si votre système n'est pas vulnérable aux attaques de type AutoRun (je dois mentionner ici que je rencontre constamment des ordinateurs encore vulnérables aux attaques de type AutoRun).

Il ne fallu pas très longtemps par la suite pour que d'autres suites malicielles intègrent cette nouvelle vulnérabilité dans leur arsenal.

Suivant cette découverte, le chercheur HD Moore a entrepris d'étudier plus en profondeur cette vulnérabilité .LNK, et ce faisant a découvert une autre vulnérabilité présentes dans tous les systèmes Windows et qui est tout aussi importante que celle que je viens de vous décrire. Cette vulnérabilité remonte à une ancienne erreur de conception dans Windows, et qui s'est maintenue par la suite pour des raisons de compatibilité entre les différentes versions du système. Cette vulnérabilité permet à une personne mal intentionnée de faire charger en mémoire le code de son choix à travers un fichier .DLL (sous-composantes de programmes) en forçant le logiciel ciblé à charger en mémoire le fichier .DLL du pirate plutôt que le fichier légitime. Bien que la faille concerne les systèmes Windows, la faille est ainsi faite que ce sont les fabricants de logiciels tierces-parties qui doivent apporter des correctifs à leurs logiciels. Une liste faisait état à un certain moment de plus de 40 logiciels affectés, mais le consensus général étant que la liste est en réalité beaucoup plus longue et que pratiquement tous les logiciels fonctionnant sous windows étaient vulnérables à ce type d'attaque. Cette nouvelle a créé un tel impact qu'il a fallu à un certain moment démèler la fiction de la réalité.

Mais des faits encore plus troublants concernant StuxNet ont été révélés. Comme le fait, par exemple, que la confection de ce maliciel semble avoir été commandité par un État-Nation. Le fait que ce maliciel ne comporte aucune composante destinée à obtenir un gain monétaire en est un bon indice. Mais encore plus troublant est le fait que ce maliciel comportait des vecteurs d'attaques destinés à des vulnérabilités présentes dans les systèmes SCADA de Siemens. Ce type de logiciel SCADA est utilisé entre autre dans les centrales électriques, les stations d'épuration d'eau, les chaines de montage, etc., bref il s'agit d'un système de contrôle pour les opérations physiques sur de la machinerie industrielle lourde, donc quelque chose de vraiment spécifique et pas très répandu sur des ordinateurs typiques. Le fait qu'un État-Nation commandite une attaque lui permettant de prendre le contrôle des infrastructures critiques d'un autre État-Nation n'augure rien de bon pour la victime, et nous pourrions être en présence des prémisses de la prochaine Cyber-Guerre.

StuxNet contient encore quelques secrets, et ceux-ci seront dévoilés au grand public lors de la prochaine conférence annuelle Virus Bulletin par des chercheurs de Microsoft, Kaspersky Labs et Symantec.

StuxNet était actif sur Internet depuis au moins 1 an avant d'être finalement découvert et décortiqué.

Finalement, la dernière manchette de l'été que je considère comme étant significative pour vous, cher lecteur, ne concerne pas tant un vulnérabilité en tant que tel, mais plutôt un piratage qui en dit long sur le fait que nul n'est à l'abri d'une attaque malicielle. La compagnie en question ici est Network Solutions. En quoi cette attaque vous concerne-t-elle? Et bien Network Solutions est le leader dans l'industrie en ce qui a trait à l'enregistrement de noms de domaine (par exemple, www.monsite.com) et pour l'hébergement de sites web. Si vous possédez vous même un nom de domaine enregistré sur Internet, ou même juste une page hébergée, il y a de fortes chances que votre enregistrement soit passé par Network Solutions, et ce même si vous avez originalement fait affaire avec une tierce-partie. Le fait que Network Solutions soit victime d'une attaque de piratage informatique devrait donc être un sujet préoccupant pour vous.

L'attaque en question concerne les centaines de milliers de pages "temporaires" associées aux noms de domaine détenus par Network Solutions pour lesquelles personne ne s'en est encore porté acquéreur. Le but principal de ces pages est justement de signifier à quiconque les trouverait par l'entremise d'un engin de recherche que ce nom de domaine est bel et bien toujours disponible à quiconque voudrait l'acheter. Certains clients de Network Solutions ont également été impactés par cette attaque.

L'attaque en question consistait en une petite application web appelée "Small Business Success Index" fournie par Network Solutions et qui a été exploitée de façon à distribuer des maliciels sur les pages de ceux qui ont utilisent cette application, ainsi que sur les pages "stationnées" (parked domains).

Voici donc, chers lecteurs, le survol rapide des principales manchettes liées au domaine de la sécurité informatique survenues au courant de l'été qui vient de passer. Comme vous pouvez le voir, les pirates ne semblent pas prendre de vacances.

Prochaine édition : Dossier Spécial sur les faux anti-virus (Rogue Anti-Malware)

Adam Richard

Consultant en Sécurité de l'Information

Sécur-Info 4ième Édition - Les Systèmes de Détection d'Intrusions et Vous

Bonjour cher lecteur à cette quatrième édition du bulletin de nouvelles Sécur-Info, axé sur la sécurité informatique et destiné aux entreprises et organismes opérant sur le territoire gaspésien.

Ce bulletin consiste en un résumé en français de manchettes récentes originalement parues en anglais et triées sur le volet ou d'un blog traitant d'un sujet en particulier. Le contenu n'est pas très technique en soi et vise surtout à faire prendre conscience de l'ampleur du problème en ce qui à trait à la vulnérabilité des systèmes informatiques que nous utilisons tous les jours et que nous prenons souvent pour acquis.

La protection des données informatiques est un enjeu crucial pour les entreprises et organismes, mais malheureusement trop souvent négligé à cause d'un manque de connaissances dans la matière. Le but de ce bulletin de nouvelles est donc de vous initier tranquilement au merveilleux monde de la sécurité informatique et des sujets qui s'y rattachent. Mieux informé, vous serez ainsi plus en mesure mieux évaluer les risques auxquels vos systèmes informatiques ont à faire face.

En espérant donc que vous trouverez ce bulletin intéressant et pertinent pour votre organisation.

Adam Richard, Consultant en Sécurité de l'Information

En résumé cette semaine : Cette semaine, bien que l'actualité ne cesse de me fournir d'excellents sujets, je continue en format blog en continuité avec mon dernier bulletin sur les anti-virus et suite à la conférence de Martin Roesch à laquelle j'ai eu le plaisir d'assister le 13 juillet dernier à l'Auberge Saint-Gabriel à Montréal. Le sujet que je vais tenter de démystifier pour vous aujourd'hui sont les Systèmes de Détection d'Intrusion, mieux connus sous leur acronyme en anglais, IDS, et aussi en quoi ces systèmes sont supérieurs aux antivirus traditionnels. Nous verrons aussi pourquoi ces technologies ne sont plus exclusivement réservées aux systèmes de la NASA ou du Pentagone, ou même des très grandes entreprises, mais également disponibles et utiles pour les plus petits organismes et entreprises.

Préambule

J'ai démontré dans mon dernier bulletin, assez clairement je crois, les faiblesses et limitations de la technologie anti-virus sur laquelle beaucoup de gens fondent tous leurs espoirs en matière de protection informatique. Et encore! J'ai même omis de mentionner une expérience personnelle à moi, relatée dans un de mes anciens articles, au cour de laquelle je devais effectuer des tests de pénétration pour un de nos plus gros client. À un certain stade, j'avais réussi à assez facilement exploiter un de leur nombreux serveurs web, sur lequel je pouvais passer toutes les commandes que je voulais, incluant le téléchargement d'outils de hacking me permettant de prendre un meilleure controle de la machine. Cependant, je n'étais seulement capable que de passer mes commandes en mode usager normal, et non en tant qu'administrateur de la machine, ce qui donne le contrôle total de l'ordinateur.

Aucun problème. Il existait, à cette époque, une vulnérabilité sur Windows NT 4 permettant un exploit appellé "escalation de privilège", et qui fait justement ça, il permet à un compte d'utilisateur normal de pouvoir passer des commandes en mode Administrateur, ou encore mieux, en mode Système. Malgré mes connaissances en programmation, utiliser les connaissances de cette vulnérabilité pour m'en faire mon propre programme pour l'exploiter était au-dessus de mes capacités et connaissances. Qu'à cela ne tienne, après quelques recherches plus approfondies sur Internet, je trouve finalement un outil qui correspond justement à ce que je recherche, qui exploite précisément cette faille. L'outil se nomme hk.exe. Je le télécharge donc, le teste, et satisfait du résultat, je l'envoie sur le site que je suis en train de hacker.

Je tente ensuite de passer des commandes avec mon nouveau super-statut de Système... seulement pour me rendre compte que mon outil n'est plus là! Croyant une possible erreur de ma part, je télécharge le fichier sur le serveur avec mes autres outils encore une fois... je re-teste... et l'outil est toujours introuvable, me privant du statut tant recherché pour passer mes commandes. Cette fois-ci, je me suis bien assuré de mes manipulations, et aucune erreur de ma part n'est en cause. Je devine que c'est l'anti-virus sur le serveur qui détecte et place en quarantaine mon outil sitôt qu'il est téléchargé. Ces suspicions furent plus tard confirmées lorsque j'ai pris contrôle de l'interface graphique (ce que vous voyez normalement à l'écran, avec le contrôle de la souris) et que j'ai vu les 2 alertes de Norton, si je me rappelle bien.

Toujours est-il qu'avant d'en arriver à cette étape, je me devais d'abord et avant tout contourner le logiciel antivirus. Connaissant le fonctionnement interne de ces logiciels, basé sur la reconnaissance de signatures de virus à l'intérieur des fichiers, je me mis donc à tenter de modifier la signature de mon programme hk.exe. Sauf que voilà : sans le code source du programme à ma disposition (je n'avais que la version compilée, éxécutable), je ne pouvais pas modifier le code ou le recompiler comme dans l'exemple plus récent que j'ai fait avec Netcat que je mentionne au cours de mes conférences.

Demandant conseil à un collègue possédant un peu plus d'expérience que moi dans le domaine du piratage, il me fit remarquer que lorsque mon programme était éxécuté, il affichait un court message, du genre "Your wish is my command, Master!" ("Vos désirs sont des ordres, Maître!"), témoignage flagrant du sens de l'humour particulier propres aux informaticiens. Il me suggéra alors de prendre un éditeur hex (l'équivalent de Notepad ou Bloc-Notes, mais pour les fichiers binaires) et d'aller modifier cette séquence de caractères (Your wish is my command, Master!) directement à l'intérieur du fichier binaire. La logique derrière cette tentative à l'apparence trop simple pour pouvoir réussir étant que cette manipulation est somme toute très simple à faire, prend très peu de temps, et c'est à peu près la seule portion du fichier que l'on peut modifier à notre bon vouloir sans risquer d'en modifier le comportement, ou même carrément le rendre inutilisable.

Comme on dit souvent, ça ne coute rien d'essayer. Je remplace donc le message par une série de XXXX.

Et quelle ne fut pas ma surprise, ainsi que joie et bonheur associés au devoir accompli, de voir que mon outil était maintenant sur le serveur que je piratais, complètement indétecté par le logiciel antivirus qui me posait problème jusqu'alors! Ma confiance envers ces produits déjà érodée par la désuètude annoncée de cette technologie, cette expérience m'a complètement convaincu de leur quasi-inutilité. Lorsque j'ai relaté les détails de cette attaque dans mon article "Autopsy of a successful intrusion (well, two actually)" 2 ans plus tard, les compagnies antivirus en ont pris note et ont amélioré leur signatures de détection pour ce programme en conséquence. Il leur a fallu tout ce temps, et le fait que je me décide de partager cette expérience avec la communauté Internet, pour se rendre compte de la facilité déconcertante avec laquelle leurs produits étaient facilement contournés dans le cas de ce programme, que l'on pourrait qualifier de maliciel.

J'ose croire qu'aujourd'hui, ces compagnies ont appris de leurs erreurs et qu'ils dérivent de meilleures signatures dès le départ, mais même si c'est le cas, il est encore relativement facile de contourner les antivirus, comme on l'a vu dans mon troisième bulletin.

Virus, Maliciels, et Attaques Ciblées

Ce qui m'amène à vous parler un peu de terminologie et du flou artistique que l'on peut trouver dans ces termes. En effet, on parle allègrement d'antivirus, alors qu'en réalité il s'agit aujourd'hui d'anti-maliciels. La différence peut paraître subtile, mais comme on l'a vu plus haut, mon logiciel hk.exe est vraiment un logiciel malveillant, mais ne comporte pourtant aucune caractéristique propre aux virus, c'est-à-dire que le programme n'est pas virulent, donc qu'il ne cherche pas à infecter d'autres machines. La différence est énorme, puisqu'il s'agit de comportements tout à fait différents.

Cela explique également pourquoi nos PCs ne sont pas constamment infectés et bombardés de vers et de virus à la hauteur astronomique des 1.5 million de nouveaux maliciels par mois présentement, comparativement à ce qui existait il y a 10 ans par exemple. 1.5 nouveaux maliciels (connus) par mois ne veut pas dire 1.5 million de nouveaux virus par mois. Plus un maliciel est virulent (virus, vers), plus vite il sera détecté par la communauté, et rapporté aux compagnies anti-virus, et plus vite des mesures seront déployés afin de l'éradiquer. Mais pour chaque virus ou ver qui culmine au sommer du Top 10 à chaque instant donné, il existe des milliers, voire des dizaines de milliers d'autres maliciels de types différents, beaucoup plus dangereux et pernicieux que le simple virus ou ver, qui eux ne causent souvent guère d'autre que quelques désagréments temporaires. La panoplie de maliciels s'étant diversifiée avec les années, la liste ne cesse de s'allonger avec des maliciels de plus en plus subtils dans leur spécialisations. Sans aller jusqu'à expliquer chacun de ces maliciels dans ce bulletin, je vais tout de même vous en énumérer quelques uns afin de vous donner une idée.

Il y a tout d'abord les Chevaux de Troie, les RootKits et autres portes dérobées (backdoors), les keyloggers (capture des touches tapées au clavier), capture d'écran, de mot de passe et autres espionligiels (spyware), les programmes zombie qui enliste votre ordinateur dans un réseau de bots (Bot-Net), qui eux-même se spécialise, soit pour faire du déni-de-service, ou bien envoyer du spam à partir de votre machine (Spam-Bot), ou encore pour couvrir les traces d'une attaque plus importante (Proxy-Bot) en vous utilisant comme relais; on assiste même des spécialisations maintenant tels que les "banking trojans" (Chevaux-deTroie spécialisés dans la collecte d'information bancaire et financière). Il ne faut pas oublier non plus les programmes qui télécharge ces panoplies sur vos ordinateurs (Dropper) ou encore les logiciels pouvant aider à prendre un contrôle total de votre ordinateur (Exploit), afin de mieux se cacher. Et encore, la liste n'est pas complète.

Ce qu'il faut retenir, cependant, c'est que ces maliciels ne sont pas virulents, ils ne vont pas chercher à infecter d'autres ordinateurs à partir de votre machine une fois qu'elle est infectée. La présence de ces maliciels est souvent imperceptible à l'utilisateur de par le fait même qu'ils ont tendance à garder un profil bas. Les antivirus ont donc dû s'adapter, mais cela ne change rien au fait que le principe de base de ces produits, basé sur les signatures, est défaillant à la base. Et les concepteurs de maliciels en sont bien au courant. Il est possible aujourd'hui, pour quiconque sans connaissances particulières en informatique mais prêt à débourser de quelques centaines jusqu'à quelques milliers de dollars, de se procurer soit une série de maliciels spécialisés avec les options désirées offrant des variantes afin d'échapper à la détection anti-virus, soit carrément un outil de création de maliciels sur lequel il suffit de cliquer sur les options désirées. Ces outils viennent avec une garantie d'échapper à la détection antivirus, avec une nouvelle version fournie si jamais c'est le cas, support technique, et même mécanismes de protection anti-piratage similaires à ceux employés par Microsoft afin de protéger la valeur commerciale de leur produit. C'est ce qui explique le nombre astronomique de maliciels en cours sur Internet présentement, et la difficulté pour les antivirus de garder la cadence.

Quand à la propagation, elle, même si elle n'est pas virulente, elle a tout de même évoluée de manière à être tout aussi efficace. Peut-être même plus, vu que cette propagation se fait maintenant au travers de votre propre navigation sur le web, évitant ainsi de causer des pics de traffic sur le net propres aux infections de virus et de vers. Les sites webs légitimes, que vous êtes susceptibles de naviguer dessus à tout les jours, incluant même peut-être même le vôtre, sont piratés à l'insu de leurs propriétaires, et sont utilisés comme bases de transmission de maliciels par les cyber-criminels, en utilisant des vulnérabilités présentes dans votre navigateur web pour forcer le téléchargement à votre insu de leurs codes maliceux.

Donc, bien que non-virulents, il n'en demeure pas moins que l'infection se fait à grande échelle, seulement de façon plus silencieuse et camouflée.

Les Systèmes de Détection d'Intrusion

Ce qui m'amène finalement à vous parler des Systèmes de Détection d'Intrusion. Ces systèmes furent conçus à la base surtout pour détecter les attaques de piratage plus sophistiquées et ciblées telles que celle partiellement décrite plus haut, que l'on dénome aujourd'hui sous le terme de Menaces Persistantes Avancées (ATP - Advanced Persistant Threats), contrairement aux infections de masses de type virus ou vers informatiques. Toujours est-il que ces technologies, lorsqu'utilisées adéquatement, sont tout de même aptes à détecter également les vers et virus. Et comme nous avons pu le constater lors de ce long préambule, la ligne est mince entre une attaque à grande échelle sans cible particulière à part le plus grand nombre et une attaque ciblée; dans les deux cas, les procédés et mécanismes sont les même... Il faut placer ses programmes, éviter la détection antivirus, cacher ses maliciels convenablement afin de ne pas attirer l'attention, acquérir les privilèges d'éxécution supérieurs, capture et transfert d'information, etc... En bref, dans un cas comme dans l'autre, il s'agit d'une intrusion illégitime dans votre ordinateur, et une brêche sérieuse de sécurité. Et c'est ici que les systèmes IDS entrent en jeu.

On peut classer les Systèmes de Détection d'Intrusion en trois grandes catégories : les systèmes IDS basé sur l'analyse du flux de données sur votre réseau (NIDS); les systèmes IDS basé sur l'intégrité de l'hôte, c'est à dire, votre ordinateur (HIDS); et troisièmement une tendance plus récente dans laquelle j'ai fait figure de pionnier, les systèmes IDS basés sur l'analyse des fichiers journaux (SIEM). Originalement l'apanage exclusif des grosses corporations et d'organisations telles que le Pentagone ou la Nasa, pour ne nommer que ceux-là, principalement par le coût quasi-prohibitif de ces technologies au niveau de l'offre commerciale. Encore aujourd'hui, il peut en coûter entre 5000 et 25 000 $ au départ selon les types des systèmes désirés. À ces prix, ces systèmes sont surtout destinés au marché des moyennes entreprises et plus, comprenant au réseau d'au moins 500 ordinateur pour justifier un tel prix d'acquisition. La complexité relative de certains de ces produits, ainsi que le manque de connaissance de ceux-ci par plusieurs professionnels en informatique, font qu'encore aujourd'hui ce type de produits connait un faible taux de pénétration dans le marché, malgré la valeur ajoutée en terme de sécurité.

Heureusement, il existe une alternative peu coûteuse et équivalente, voire même supérieure en terme de qualité et d'innovation technologique, grâce aux logiciels en Code Libre (Open Source). Non seulement ces logiciels sont-ils totalement gratuits au moment de l'acquisition, mais ces outils bénéficie également de l'apport volontaire d'une communauté de programmeurs et chercheurs motivés principalement par l'exploit technique et la reconnaissance des pairs qui assiste le concepteur original, ce qui assure en général une mise-au-par plus rapide et souvent mieux appropriée à l'évolution de nouvelles menaces que leurs contre-parties commerciales. De plus, les options Code Libre de systèmes IDS sont supérieurs dans bien des cas aux solutions commerciales. Je prendrai l'exemple de Snort (NIDS), qui se classe bon premier chaque année dans les différents classements depuis plus de 10 ans. Ou encore Tripwire (HIDS), qui est maintenant fourni seulement en version commerciale, mais qui à connu ses débuts en Code Libre, encore et toujours la référence en terme de solutions HIDS. Même le tout premier pare-feu (firewall) fut conçu comme programme Code Libre par Marcus Ranum, que j'ai eu le plaisir de rencontrer lors d'une de mes conférences internationales dans le passé.

Demeure toujours la complexité technique de ces produits, qui requiert souvent un savoir-faire spécialisé, et qui empêche ces technologies d'être plus largement répandues. Et c'est ici que j'entre en jeu, en tant que spécialiste de sécurité de l'information au service des PME et organismes de la Gaspésie.

Jetons-donc un coup d'oeil sur les particularités et le fonctionnement de ces technologies.

IDS Réseau (NIDS) : LA référence en la matière est le logiciel Snort, que j'ai mentionné plus haut, et dont j'ai eu la chance d'assister à une conférence de son créateur il y a 2 semaines. M. Roesch devant quitter rapidement après sa présentation pour prendre un avion, je n'ai malheureusement pu m'entretenir directement avec lui, mais la présentation qu'il a donné, ainsi que la démonstration qui a suivi, ont été des plus enrichissantes.

Ce type de système IDS "sniffe" le traffic circulant sur votre réseau et tente de détecter divers types d'anomalies, comme par exemple des vecteurs d'exploitation de vulnérabilités connues, ou bien de simples anomalies sur les transferts de paquets d'information au niveau des protocoles de communication de base, qui peut également être signe d'activité suspecte. Son fonctionnement est un peu similaire à celui d'un anti-virus, dans le sens qu'il utilise un ensemble de signature et de règles. Cependant, ces signatures et règles sont beaucoup moins nombreuses que pour un antivirus, puisqu'il focalise sur les vecteurs de transmission au moment où elle circule sur votre cable réseau, et non sur l'actuel fichier une fois téléchargé. Dans le cas de l'antivirus, il doit se protéger contre une légion de variantes de fichiers utilisant le même vecteur de propagation, alors que le NIDS va détecter chaque essai sur ce seul vecteur, peu importe la variante. De plus, il est possible de configurer le logiciels de façon à exclure les règles qui ne s'applique pas à votre environnement informatique. En effet, aucun besoin de se protéger contre les attaques dirigées vers les systèmes Linux/Unix si vous n'utilisez que des systèmes Microsoft.

Contrairement à Tripwire, dont je vais parler un peu plus bas, Snort est encore et toujours disponible gratuitement sous forme Code Libre, et est toujours activement développé par son concepteur, Martin Roesch. Par l'entremise de la compagnie qu'il a fondée, SourceFire, il a un incitatif monétaire à poursuivre le développement de se produit, puisqu'il constitue le coeur du produit commercial développé par sa compagnie, SourceFire 3D. Sa compagnie offre également une license commerciale qui donne accès à leur support technique comme pour n'importe quel produit commercial. Il y a donc plusieurs bonnes raisons d'en faire un choix d'excellence dans une stratégie de sécurité informatique.

IDS Hôte (HIDS) : Tripwire, le tout premier système HIDS, fonctionne de manière tout à fait différente que les systèmes NIDS. Au lieu de se concentrer sur le réseau. ce type de système se concentre sur la protection de l'ordinateur et du système d'exploitation et applications au niveau local. La façon de procéder est très simple, et fut reprise par de nombreux programmeurs par la suite.

La technique consiste à effectuer un scan de tous les fichiers systèmes important, les éléments de configuration, etc. sur un système considéré comme étant "sain" et d'en dériver 2 signatures (appelées "hash") basées sur 2 algorithmes différents (traditionellement, MD5 et SHA1) pour chacun des éléments scannés. Ces signatures sont ensuite entreposées de manière sécuritaire afin d'éviter qu'il ne soit modifié de façon malveillante. Ne reste plus par la suite qu'à opérer des scans de façon régulière du système, et de comparer les signatures obtenues lors du scan avec celles du scan original. Les algorithmes de hashage sont conçus de façon à ce que le moindre changement dans un fichier, ne serait-ce qu'un seul bit, entraine une signature résultante complètement différente. L'utilisation de 2 algorithmes plutôt qu'un seul renforce le procédé, parce qu'en théorie, il est possible d'avoir 2 fichiers différents qui produisent la même signature, quoique dans la réalité, ce type d'attaque est trop complexe à mettre sur pied vs. les bénéfices à en tirer (autrement dit, les cyber-criminels s'en sortent déjà très bien comme cela sans avoir à se donner la peine de mettre sur pieds des attaques si couteuses en temps à développer).

La détection du moindre changement dans un fichier critique du système est donc un indice sérieux que l'intégrité de notre système à été compromise, puisque nous savons que l'ordinateur n'est plus dans son état original où il était considéré "sain". Il suffit ensuite de remédier à la situation. Contrairement à l'antivirus, qui scanne les fichiers en tentant de détecter les maliciels en fonction de la liste qu'il connait, les systèmes HIDS vont scanner les fichiers et vont détecter n'importe quel changement suspect sur votre ordinateur, que la menace soit déjà connue ou complètement nouvelle.

J'ai moi-même conçu un scanner de type Tripwire il y a quelques années, et j'ai même poussé le concept un peu plus loin en développant le concept de Liste-Blanche (While-Listing) en Code Libre sur Windows. N'étant pas très répandu sur le marché à l'époque, de nouvelles compagnies se sont développées dernièrement pour tenter d'offrir des alternatives commerciales aux antivirus traditionnels en offrant des produits basés sur ces mêmes techniques. Ici aussi le principe est simple, on prend note de divers éléments critiques du systèmes (les comptes d'utilisateurs, les répertoires en partage, les éléments de démarrage du système, les programmes authorisés d'éxécution, etc.), et par la suite, on détecte (ou même bloque carrément) tout changement à l'un ou l'autre de ses éléments. La différence majeure ici avec un système tradionnel comme Tripwire, c'est que ces changements peuvent être détectés soit en temps-réel, sois à l'intérieur de quelque minutes après le fait, selon le cas, grâce à des scans plus fréquents car plus légers qu'un scan complet du système, ce qui a pour effet d'améliorer considérablement le délai de réaction face à une attaque réussie contre vos systèmes.

Contrairement à l'antivirus, qui authorise tout ce qui n'est pas sur sa Liste-Noire (Black-List), les systèmes Liste-Blanche vont détecter tout ce qui ne se trouve pas sur la liste, sans avoir à effectuer des mises-à-jour constantes pour pallier au nombre toujours grandissant de nouveaux maliciels.

Les Systèmes d'Analyse de Journaux (SIEM) : La série de logiciels que j'ai créé durant la première moitié de cette décénnie, et qui m'ont donné mes lettres de noblesses en sécurité informatique, ont fait de moi un pionnier de la première heure sur ce type de technologie. Autrefois appelé Gestion de Journaux (Log Management), les produits commerciaux offrant ce type de technologie de puis peu en ont modifié l'appellation en Gestion d'Information et d'Événements de Sécurité (Security Information and Event Management - SIEM), mais il s'agit en fait de la même chose.

Le problème que cherche à solutionner ce type de solution est simple à comprendre et complexe à résoudre. Tous les logiciels et systèmes de sécurité, de l'antivirus, au firewall jusqu'au systèmes IDS ou même votre système d'exploitation lui-même, génèrent des messages sur leurs activités, et c'est de ces messages, ainsi que de l'interprétation du spécialiste en sécurité en fait de ceux-ci, que tous ses systèmes tirent leurs valeurs. On voit donc que plus on ajoute d'éléments de sécurité sur notre réseau, plus la charge du spécialiste augmente. Et analyser ces fichiers journaux ne constitue pas sa seule tâche de la journée, loin de là. Si on adhère aux meilleures pratiques en sécurité et qu'ajoute une protection maximale en incluant les postes de travail en plus des serveurs, on se rend vite compte que la tâche devient collossale, surtout dans les grandes organisations.

Détecter une attaque devient alors un peu comme chercher une aiguille dans une botte de foin, et l'analyse peut se faire une semaine, voire même un mois après qu'une attaque a été perpétrée, ce qui laisse amplement le temps à un pirate de faire ses méfaits et même d'effacer ses traces!

Au moment donc où les firewalls étaient vu par plusieurs comme la panacée en sécurité informatique, peu après les premiers balbutiement du alors très révolutionnaire logiciels Snort, en devinant les premiers indices de la croissance exponentielle des maliciels et en tirant profit de mes propres expériences sur le terrain, je me mis donc à concevoir un système de détection d'intrusion basé sur la collecte et l'analyse en temps-réel des fichiers journaux provenant de sources aussi divers que variées pour les plates-formes Microsoft. Mon but alors était d'offrir au monde Windows des options équivalentes à ce qui existait alors dans le monde Linux/Unix, ainsi que d'abattre certaines des limitations sévères énumérées plus haut.

La plupart des solutions de ce type qui existaient à l'époque souffrait de plusieurs parmi les limitations suivantes : ne roulaient que sur Linux, ne considéraient que des outils roulant sur Linux, n'incluaient que l'analyse que de quelques systèmes bien spécifiques, offraient peu d'options de customisation, présentaient l'information sous forme de tableaux statistiques, ne fonctionnaient pas en temps-réel (ce qui laisse toujours une fenêtre d'opportunité pour le pirate d'effacer ses traces), et absolument aucune solution commerciale tellement ce domaine en était encore au stade expérimental à l'époque. Je me rapelle même que le très réputé chercheur Dr. Eugene Schultz m'a affirmé un jour lors d'une conférence qu'un système tel que je lui décrivais était impossible à réaliser, mentionnant que certains systèmes produisent plus d'un million de messages par secondes, rendant difficile toute analyse automatique en temps-réel pour des raisons de performance. Je lui rétorquai que mon type de système n'était peut-être pas apte à faire face à de tels volumes de données, mais mon intuition étant que la sécurité informatique étant un sujet qui touche tout le monde, mon système fonctionnerait parfaitement dans des environnements d'affaires typiques pour des entreprises et organismes de toutes tailles. Mon intuition semble avoir été correcte, puisqu'une poignée de produits commerciaux similaires sont maintenant disponibles sur le marché depuis environ 2 ou 3 ans, à un coût minimal à l'achat autour des 5000$.

Le défi devant moi à l'époque étant considérable, mais en y allant par étape et en me tenant à ma vision initiale de ce qu'était un système de sécurité idéal selon moi, je me mis de m'attaquer à ce défi étape par étape. Tout d'abord, adapter une approche universelle aux fichiers journaux, afin d'offrir la flexibilité maximale en ce qui à trait à rajouter de nouveaux outils de détection dans l'ensemble. Ensuite, la détection en temps-réel de l'ajout de nouvelles données dans ces fichiers, afin d'en déclencher la capture, la pré-analyse, et le transfert vers un endroit centralisé et sécurisé. De là, j'ai conçu les consoles d'observation qui me permettent de voir les actions suspectes là où elles se déroulent sur le réseau, au moment où ça se passe, ce qui était jusqu'alors inédit. Est venu ensuite le développement de modules de sécurité de type Liste-Blanche et HIDS complémentaires, un module d'analyse dédié à Snort, et un moteur d'analyse plus puissant avec d'avantage d'options à son arsenal, incluant la possibilité de déclencher des ripostes automatiques.

Le résultat final donne un système de détection d'intrusion basé sur l'ensemble de l'information des autres systèmes de détection d'intrusion (parmi lesquels on pourrait inclure les antivirus), ce qui permet une compréhension beaucoup plus claire de ce qui se passe réellement sur les systèmes, et en étant alertés des risques critiques dans les plus brefs délais. Pour vous donner une image plus claire, vous pouvez voir sur la figure suivante la détection d'une attaque similaire à celle que j'ai mentionné au début de cet article alors que j'étais en train de la perpétrer sur un de mes systèmes, volontairement laissé vulnérable mais sous surveillance étroite. Le résultat est assez éloquent, comme vous pouvez le voir.

Figure 1.

Il est donc facile par la suite de stopper l'attaque le plus rapidement possible et d'apporter les correctifs qui s'imposent sur le système attaqué. On peut noter les trois fenêtres superposées dans le coin gauche de l'écran, on y voit exactement ce que le pirate voit sur sont écran lors de l'attaque, au même moment que lui, ce qui est également un de mes hauts faits d'armes en matière de recherche et développement dans la matière.

J'ai également développé une autre console basé sur le même moteur d'analyse, mais qui me présente la même information de manière différente, c'est-à-dire par application plutôt que par location sur le réseau :

Figure 2.

En ayant l'information présentée de ces deux façons de manière simultanée, il devient alors beaucoup plus facile pour le spécialiste de sécurité de rapidement identifier les problèmes dès qu'il surviennent, et de prendre les mesures appropriée dans les meilleurs délais possibles, remplissant enfin efficacement le mandat qui lui incombe, c'est-à-dire de protéger efficacement les actifs informatiques et informationnels des organisations qui l'emploient, d'une manière pro-active et sur-le-champ, plutôt que d'une manière réactive et après le fait accompli.

Conclusion

Comme nous venons de le voir, les alternatives de sécurité offrant une protection supérieure aux antivirus traditionnels sont nombreuses, mais ces technologies sont encore peu répandues dans les plus petites organisations, en grande partie à cause du coût plutôt élevé des solutions commerciales, l'expertise technique requise les faire fonctionner convenablement ou tout simplement d'un manque de connaissances sur le sujet. De plus, il est pris pour acquis en sécurité informatique qu'aucun système de sécurité ne peut protéger un réseau informatique à 100%, d'où l'intérêt de combiner plusieurs technologies complémentaires plutôt que de mettre tous ses oeufs dans le même panier.

D'où l'intérêt d'utiliser également une technologie d'analyse globable qui est capable d'ingérer tout l'information produite par ces systèmes de protection avancée. Heureusement, il esxiste aujourd'hui plusieurs solutions de calibre supérieur disponible à un prix minimum. Combiné avec mes propres outils de surveillances, le coût d'acquisition de ses systèmes est quasi-nulle pour moi, ce qui me permet d'offrir un service de qualité supérieure à prix réalistes et abordables adaptés la réalité économique des organisations opérant sur le territoire de la Gaspésie.

N'ayant pas à financer l'achat de solutions commerciales onéreuses, vous ne payez ainsi donc que pour le service professionel de surveillance 24/7 en temps-réel de vos installations informatiques par un expert spécifiquement attitré à cette tâche. Il m'est donc ainsi possible d'offrir ce type de service avancé, généralement disponible que dans les grands centres urbains, pour seulement quelques dizaines à quelques centaines de dollars par mois, selon la taille de votre organisation, sous forme de forfaits incluant un bilan de santé initial de vos installations, qui peut également être récurrent, selon vos besoins. Vu la croissance accrue des risques, un tel investissement en vaut vraiment la peine.

Pour plus d'informations sur comment se protéger efficacement contre les menaces informatiques d'aujourd'hui ou sur mes prix, n'hésitez-pas à me contacter.

D'ici jusqu'au prochain bulletin, je vous souhaite donc de bien profiter de l'été!

Adam Richard - Sécur I.-T.

Consultant en Sécurité de l'information