Global Security Mag : Quelles sont les principales menaces que nous devons craindre actuellement ?

Candid Wüest : Les menaces se trouvent aujourd’hui principalement sur les pages Web. Ce que l’on appelle le « drive-by download ». Une page Web peut être infectée par un script malicieux invisible. L’utilisateur n’a même plus besoin de cliquer sur quoi que ce soit. Il suffit que la page soit affichée et le script exploite les vulnérabilités du navigateur et vous redirige sur une autre page Web. En 2007, 476 vulnérabilités plugin ont été recensées (122 concernaient Modzilla et 57 Internet Explorer). L’utilisateur ne s’en rend généralement même pas compte puisque aucun pop-up n’apparaît. Aucun secteur n’est épargné : sites érotiques, touristiques, bancaires… Police et ambassades ne sont pas en reste. Les bannières de publicité en flash sont également un vecteur privilégié d’attaque.

GS Mag : Quel est le quotidien d’un chasseur de virus ?

Candid Wüest : La menace évolue sans cesse donc mon travail quotidien aussi. L’objectif est d’abord de trouver le fichier malveillant pour pouvoir ensuite l’analyser. Il s’agit de déterminer de quel type d’attaque il s’agit. Pour ce faire, nous recherchons dans notre base de données. Parfois, la « famille » existe d’ores et déjà, et nous observons juste quelques petites variations. Il faut donc trouver la version correspondante. Si ce n’est pas le cas, nous devons lui trouver un nom, en s’assurant qu’aucun autre éditeur ne l’ait précédemment nommé et répertorié. Dans cette optique de collaboration entre éditeurs, Symantec soutient, depuis quelques années, l’initiative CME (Common Malware Enumeration), menée par le groupe américain United States Computer Emergency Readiness Team. Il s’agit de l’adoption d’une méthode d’identification neutre et partagée, permettant de réduire la confusion du public quant au référencement des menaces et d’améliorer la communication et le partage d’informations entre les éditeurs d’antivirus.

Nous analysons en moyenne de 300.000 à 400.000 fichiers par mois. Heureusement, la plupart des processus sont aujourd’hui automatisés. Cependant, nous en analysons de 100 à 200 manuellement par jour. Il faut environ 10 à 15 minutes pour faire l’analyse et la signature. Cette dernière doit être suffisamment générique pour couvrir les différentes variantes mais pas trop pour éviter les faux positifs.

Les méthodes de détection ont évolué. Avant, nous utilisions des solutions à base de signatures, ce qui était efficace uniquement pour les menaces connues. A cette première méthode sont venues progressivement s’ajouter les systèmes de détections à base de réputation, le whitelisting, ou encore le « behavior detection » ; il s’agit d’une analyse comportementale permettant de détecter tout comportement anormal sur le réseau.

GS Mag : Quel est le profil des hackers aujourd’hui ? Quels sont leurs objectifs et d’où viennent-ils ?

Candid Wüest : L’argent est la principale motivation des hackers aujourd’hui. Nous avons à faire à une criminalité organisée qui sévit sur un marché souterrain. Il s’agit de la même structure que dans la vie réelle. Vous pouvez acheter vos attaques en ligne, les tester, vous offrir les services de quelqu’un pour les déployer,… Les personnes oeuvrant pour la cybercriminalité ont chacune leurs fonctions et leurs spécificités. La plupart d’entre elles proviennent de pays comme la Russie, la Chine, les USA, l’Allemagne, le Brésil… Les attaques peuvent également avoir des objectifs politiques ou économiques. On parle alors d’espionnage industriel. Ce fut le cas l’an passé en Estonie et récemment en Géorgie. Avec les systèmes de rebond, il est généralement difficile de prouver la provenance exacte de l’attaque. De plus, le temps que les polices des différents pays se coordonnent, il est souvent trop tard.

GS Mag : Recensez-vous beaucoup d’attaques sur mobiles ?

Candid Wüest : Aujourd’hui, tout le monde veut avoir quelque chose de mobile. Mais à ce jour, seuls 350 virus ou vers ont été recensés sur l’ensemble des smartphones. Le marché n’est donc pas encore là. L’objectif d’un pirate est de créer et mettre en oeuvre une attaque qui va atteindre le plus grand nombre de personnes possible ; ce qui n’est pas vraiment possible sur les mobiles. C’est d’ailleurs pourquoi Windows est plus touché que les autres ; il est beaucoup plus utilisé. Un attaquant attaquera plus facilement un laptop car ce dernier a plus de chances de contenir des informations importantes. La qualité d’une chose que l’on peut voler rentre donc en compte.

GS Mag : Qu’en est-il des réseaux sociaux ?

Candid Wüest : Sur les réseaux sociaux, la motivation des hackers est importante puisque ce sont de véritables mines d’informations personnelles, à partir desquelles ils pourront procéder à des attaques ciblées de spam ou de phishing. La chance sera, en effet, plus grande que l’attaque se réalise si elle vous est adressée nominativement et contient des informations qui sont personnelles. Votre méfiance sera moindre et vous ouvrirez plus facilement le message compromettant. Il y a deux ans sur MySpace, un pirate avait diffusé un script malicieux sur sa page. L’infection s’était propagée très rapidement. Un million de profils étaient bloqués après seulement 20 heures, ce qui avait stoppé le système de MySpace.

Prenons l’exemple des mots de passe, sur chaque site nécessitant une identification « login/mot de passe », vous disposez d’un recours en cas d’oubli du mot de passe « mot de passe oublié ». Afin de récupérer ce dernier, il vous suffit de répondre à une question toute bête (Quel est votre lieu de naissance ? Quel est le prénom de votre chien ?...), en général la réponse à ces questions se trouve sur votre Facebook, … Une personne mal intentionnée peut donc facilement récupérer votre mot de passe et l’utiliser ensuite à sa guise.

GS Mag : Que présagez-vous pour 2009 ?

Candid Wüest : Une croissance exponentielle du nombre d’attaques et de plus en plus de cas d’espionnage industriel.