Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

FIC : la lutte anti-virale en environnement informatique

avril 2010 par Emmanuelle Lamandé

Garance Mathias, Avocate, animait un atelier sur la lutte anti-virale en environnement informatique, à l’occasion du 4ème Forum International sur la Cybercriminalité. L’occasion de revenir sur des cas qui ont marqué les esprits dernièrement : Conficker, bien sûr, mais aussi Gumblar… et autres malwares.

Nobutaka Mantani, Technical Official, High-Tech Crime Technology Division, National Police Agency- Tokyo, est revenu sur le cas Gumblar, apparu en 2009. Gumblar a été l’une des menaces les plus insidieuses pour les internautes et les opérateurs de sites Web de mai à décembre 2009. Gumblar a pour particularité de se reproduire très rapidement et d’injecter du code javascript dans les sites internet. Ainsi, il compromet automatiquement des sites internet et distribue le code malveillant aux visiteurs de la page Web. Les webmarchands sont les plus touchés par cette attaque.

Comment se protéger de Gumblar ? Nobutaka Mantani conseille d’effectuer les mises à jour de sécurité des OS, applications, antivirus, …, pour le site Web, d’utiliser FTPS ou SSH au lieu de FTP…

Philippe Loudenot, Fonctionnaire de sécurité des systèmes d’information adjoint, Ministère de la Santé, nous a, quant à lui, fait part de son retour d’expérience sur les infections virales dans le monde de la santé. Un hôpital n’est plus rien aujourd’hui s’il ne communique pas avec le reste du monde, ce qui accroît de fait le risque pour les établissements de soins. Concernant l’exemple de Conficker en milieu hospitalier, il en ressort que 100% des cas infectés connus avaient des anti-virus, mais mal mis à jour. Les systèmes d’information étaient non-homogènes. Un CHU avait même 63 browsers différents ! Le plus souvent, Conficker est rentré dans les hôpitaux par les laboratoires, l’imagerie et GTC. Peu de personnes infectées ont accepté de communiquer. En outre, il apparaît que ce type d’attaque engendre une perte de confiance des médecins sur les appareils bio-médicaux.

Parmi les principaux risques de ce type d’attaque, on retrouve la perte de patrimoine informationnel, l’interruption des missions de santé, la modification de données… mais comment savoir si les données ont été modifiées ou non ? Généralement, les entreprises ne s’en rendent même pas compte.

Que faire ? Il conseille, entre autres, de définir le périmètre de la SSI, d’inventorier les actifs, d’impliquer l’ensemble des acteurs dans le monde de la santé et de partir du principe que tout ce qui n’est pas autorisé est interdit.

Aujourd’hui, les infections sont sur les applications communicantes

Marc Blanchard, Epidémiologiste, Directeur des laboratoires technologiques & scientifiques BitDefender, et Cyrille Renaud, Expert en attaques réseaux de malwares, BitDefender, constatent l’évolution de nouveaux codes malveillants. Aujourd’hui, les pirates codent avec du code déporté. Les contaminations arrivent de manière séquentielle et non plus de type 1 code = 1 malware. Avant, les vers arrivaient via emails. Aujourd’hui, les infections sont sur les applications communicantes (blogs, moteurs de recherche, …). Chaque internaute est une cible potentielle. De plus, nous ne sommes plus dans une épidémie, mais dans une pandémie. De plus, un ver a une durée de vie épouvantable (ex : Linda).

Les cibles sont le plus souvent sélectionnées en fonction de leur puissance CPU. L’attaque s’adapte à votre microprocesseur, ce qui fait que l’utilisateur a une perception 0. Les zombies attaquent généralement tous au même moment sur une période réduite (environ 18 à 20 minutes). Les DNS locaux de l’entreprise sont stoppés temporairement (pas assez longtemps pour inquiéter la société), puis sont remis en état ni vu ni connu. Il s’agit donc d’attaques fulgurantes.

Pour conclure, Marc Blanchard recommande fortement de cloner la machine physiquement dès que vous percevez l’attaque, et de l’envoyer aux entités de police.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants