Select Page

Bonne nouvelle, je suis victime d’un ransomware

Bonne nouvelle, je suis victime d’un ransomware

Le marché de l’antivirus se renouvelle, avec pour nouvelle philosophie, de prévenir plutôt que de devoir guérir. Une méthode autrement plus satisfaisante que le rétablissement du système, qui n’offre pas encore le retour de ses données volées et la solution pour en empêcher l’exploitation par des tiers. Mais savoir prévenir une attaque, c’est savoir qu’on peut être vulnérable, même avec un antivirus. Une situation qui est encore trop ignorée par les entreprises, jusqu’à ce qu’une attaque visible les frappe. De quoi réfléchir sérieusement à ses méthodes.

Des malwares de plus en plus habiles

Un SI est comme un domicile. Pour qu’un voleur y entre, il doit pouvoir fracturer la serrure. S’il y parvient, c’est bien que la serrure est vulnérable, « fracturable ».

En général, s’il y a attention portée au sujet, elle se concentre sur la problématique des ransomwares, qui font régulièrement les choux gras de la presse, en particulier quand l’attaque est internationale. Pourtant, le chiffrement, aussi handicapant soit-il, n’a pas l’impact économique et d’image que peuvent avoir les malwares destinés au vol de données. Or, tournant en tâche de fond, ces logiciels espions savent se rendre imperceptibles.

Si l’on s’autorisait un peu de cynisme, nous pourrions (presque) remercier le ransomware d’être aussi visible. Il apporte ainsi la preuve factuelle à l’entreprise de la persistance de sa vulnérabilité, de la perméabilité de son SI, malgré la présence de solutions de protection.

Oui mais. Sur le marché de l’antivirus aujourd’hui, nous rencontrons principalement trois méthodes, classiquement cumulatives. La détection, basée sur la signature du virus, qui suppose on l’aura compris, de connaître l’existence du malware au préalable. L’analyse comportementale, elle, présente le regrettable défaut d’avoir besoin de l’exécution du virus pour le stopper, est également gourmande en ressources et provoque bien trop de faux-positif pour être exploitée aisément. Enfin, le sandboxing n’offre plus les mêmes garanties qu’hier, les hackers étant parvenus à dissimuler le comportement malicieux du virus quand il est dans l’environnement virtuel d’une sandbox !

Par ailleurs, en cas d’attaque, le gros des solutions proposent le rétablissement d’une situation antérieure. C’est un pis-aller, étant entendu qu’on ne fera pas disparaître des mains du ravisseur les données volées. Et dans le cas d’un ransomware, cela n’a pas de sens dans une démarche de serveurs, lesquels sont évidemment les premiers visés par le logiciel rançon.

Prévenir plutôt que guérir, la philosophie des nouvelles sécurités

En d’autres termes, les méthodes de détection – réaction restent en partie inefficaces. C’est un modèle qui a déjà une quinzaine d’années, apparu en même temps que les premiers virus. On ne disposait pas, à l’époque, de la puissance machine qui aurait permis de faire autrement. Les technologies, à commencer par les solutions big data, permettent maintenant de comprendre le comportement des process sur un système et sa mémoire, afin de prévenir un caractère malicieux.

« C’est devenu absolument indispensable aujourd’hui, face à l’extrême ingéniosité des pirates. Nous détectons jusqu’à 500 000 nouveaux malwares par jour. Une sécurité à 99 %, c’est encore 5000 malwares susceptibles de pénétrer le système ! Nos environnements de sandboxing physiques révèlent 30 % de plus de malwares qu’un environnement virtuel mais ce sont surtout les nouvelles plateformes axées sur la prévention qui prennent la défense active de l’entreprise. » souligne Cyril Simonnet, expert protection Endpoint chez Palo Alto Networks.

Faire autrement, c’est donc intervenir avant que le malware ne s’exécute, dans une démarche de prévention. En s’intéressant aux techniques d’exploitation de vulnérabilité et aux techniques de malware, on est en mesure de bloquer la chaîne d’attaque, et ce, le plus tôt possible. C’est en outre une sécurité multicouches car une attaque ne se déroule jamais en ligne droite. Le collaborateur par exemple porte une vulnérabilité de premier ordre. Un service comptable a pour mission de traiter des factures. Une direction RH, des CV. Il faut donc s’attendre à ce que les collaborateurs ouvrent des dizaines de documents word et pdf par jour. Le logiciel n’est ici pas en cause.

Techniques et chaîne d’attaque : le maillon faible du virus

Une chaîne d’attaque passe par une phase de reconnaissance (comment vais-je entrer ? Avec quelles méthodes ? Sur quels schémas ?). Vient ensuite la phase de delivery, au cours de laquelle les méthodes choisies sont élaborées. La troisième phase exécute les méthodes et exploite les vulnérabilités. Dès lors, appelons cela la phase quatre, le malware s’installe là où il doit être, prend le contrôle de son environnement et dialogue avec des serveurs pour prendre ses ordres ou même attendre, tout simplement (postes zombies). L’exemple du virus dissimulé dans une version récente du logiciel ccleaner est typique de l’incapacité des antivirus traditionnels à signaler la présence d’une backdoor car sur la majorité des ordinateurs infectés, le logiciel n’a strictement rien volé. Le comportement attendu n’a pas eu lieu. Les nouvelles techniques de prévention interviennent pour leur part dès l’étape d’exploitation des vulnérabilités, empêchant le malware de s’exécuter, par la reconnaissance des techniques d’attaques.

Le marché de l’antivirus était actif il y a une dizaine d’années mais il est devenu un marché de commodité, associé aux logiciels d’entreprise. La compétence en sécurité s’est raréfiée, pendant que le malware devenait de plus en plus intelligent. En parallèle, les entreprises (et beaucoup d’éditeurs) n’ont pas su gérer la grande problématique des faux positifs, reconnus à l’unanimité ennemi absolu de la sécurité. L’on a fini par trop souvent désactiver d’utiles fonctionnalités pour cette raison. Faut-il pour autant balayer d’un geste la détection dans son ensemble ? C’est bien sur le terrain de l’innovation qu’il faut se tourner, vers des méthodes qui prennent le contre-pied de modèles anciens et partent d’une page blanche, pour renouveler toute son approche du piratage. Mais gardons à l’esprit que les méthodes de détection sont un complément aux nouvelles façons de faire, qui ensemble, devraient aider à rapprocher sensiblement l’entreprise du fameux graal sécurité 100 %.

About The Author

Et si nous parlions métiers ?Rendez-vous sur le blog AucoeurdesMétiers
+