Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Gerhard Eschelbeck, Webroot Software : Bloquer les éléments néfastes pour ne garder que le meilleur

octobre 2007 par Gerhard Eschelbeck, Chief Technology Officer, Webroot Software

Au cours de ces dernières années, les malware ont énormément évolué et n’ont cessé de mettre la barre toujours plus haut en termes de sophistication et de contamination. La première génération de menaces, avec les virus informatiques, est devenue un problème grand public avec la prolifération abondante des emails. Les virus et les vers informatiques étaient virulents et se propageaient largement pendant les tentatives de mise en panne des ordinateurs. Les utilisateurs comptaient sur les mécanismes de défense contre les virus traditionnels reposant sur une mise à jour constante des listes de signatures pour lutter contre ces menaces de première génération. Le défi pour ces « gentils garçons » est de maintenir à jour la liste des codes malveillants.

Les cyber criminels ont rapidement compris l’énorme potentiel économique et ont commencé à développer des malware d’une incroyable complexité dans le but d’infiltrer et de mettre à découvert les données sensibles. Cette nouvelle génération de menaces n’est pas aussi visible, mais beaucoup plus fréquente qu’on le pense, bien ciblée et elle cause ses dégâts en silence. Les motivations financières entretiennent cette évolution et l’objectif des prochaines menaces est de ne pas être détectées grâce à un système de mutation et de changement d’apparence plus rapide que celui des menaces précédentes.

Ce changement dans le paysage des menaces informatiques nécessite une refonte de nos systèmes de défense. L’industrie de la sécurité s’est essentiellement concentrée sur l’identification et le développement de vaccins pour toutes les variantes possibles de nouveaux codes malveillants, non seulement ceux référencés mais également ceux inscrits sur la liste noire. Quand une nouvelle menace se fait connaître, la liste nécessite d’être mise à jour pour offrir une protection. Alors que ce schéma traditionnel de blocage de codes malveillants fonctionnait auparavant, nous ressentons clairement ses limites aujourd’hui en partie liées au laps de temps nécessaire et une augmentation rapide du nombre et de la diversité des malware. Les menaces apparaissent et mutent plus vite que jamais, révélant la fragilité de cette méthode jour après jour. En référence à ces dernières années, entre le moment où une mise à jour pour la liste noire est développée et le moment où elle est lancée, de nouvelles générations de malware circulent déjà.

Il est nécessaire de revoir le système de protection contre les malware. Puisque les créateurs de malware affinent leurs techniques sophistiquées, les systèmes de défense doivent prendre de l’avance sur cette tendance. Au lieu d’essayer de traquer toutes les sortes possibles et imaginables de codes malveillants, les technologies de protection de seconde génération contre les malware seront uniquement autorisées à reconnaître les « bonnes » applications. Au lieu de se concentrer sur le blocage des mauvaises applications, la liste blanche se concentre sur la définition en amont des bonnes applications et les autorise à tourner sur la machine. A terme, toutes les autres, y compris les dernières variétés de malware seront interdites, sans avoir besoin d’une mise à jour permanente pour être protégé. Autoriser seulement les « bonnes » applications fournit une arme de défense contre n’importe quel code malveillant – peu importe la vitesse d’évolution et l’agressivité des prochaines variétés de malware. La liste blanche n’apporte pas seulement une protection absolue contre les malware, mais elle permet également un système de contrôle des applications validées, et une application des politiques de sécurité en conformité avec les exigences règlementaires.

Mais la confiance pure et simple envers les listes blanches et l’identification ainsi que la gestion validée des bonnes applications peuvent représenter un défi. C’est surtout vrai pour n’importe quelle mise à jour ou patch logiciels. D’un point de vue pratique, nous allons presque toujours tomber sur une approche intégrée, où la liste blanche définit les applications autorisées et où la liste noire définit les applications considérées comme néfastes. Les applications inconnues seront validées et classées par catégories à la demande avant d’être lancées, pour assurer une protection maximale avec un minimum d’intervention. Une telle association liste blanche/liste noire a été utilisée de nombreuses années pour gérer l’explosion des emails et des spams, et pour filtrer également le Web. L’introduction de ces nouvelles techniques pour se protéger des malware est un changement naturel pour se protéger contre les menaces fréquentes à venir.

Mais ce n’est pas fini. Si nous regardons un peu vers l’avenir, la convergence imminente des données et de la voix va devenir la nouvelle proie des criminels et des malware. Nous devons prendre des mesures proactives aujourd’hui pour éviter des attaques sur la vie privée et des activités frauduleuses. Les malware ne se limiteront plus à attaquer nos données mais les communications téléphoniques et vidéos seront également visées. Les mêmes principes s’appliquent et la transition qui consiste à passer du blocage des mauvais messages à la libre circulation des bons apportera sécurité, respect de la vie privée et disponibilité que nous prenons aujourd’hui pour argent comptant sur nos téléphones.

Les entreprises se préparent sérieusement à cette évolution. Selon une étude réalisée par Webroot en mars 2007, près de 40% des sociétés auditées prévoient de mettre en place une liste blanche basée sur la protection de malware au cours de l’année prochaine. Plus de 30% des sociétés indiquaient qu’elles considéraient la liste blanche comme un des meilleurs outils à utiliser pour se protéger ; 1) Il faut toujours mettre à jour les machines et télécharger les tout derniers patchs sécuritaires, 2) Se connecter à des systèmes en tant qu’utilisateur non privilégié – les privilèges de l’administrateur doivent être utilisés si c’est vraiment nécessaire et 3) mettre toujours à jour les solutions de protection anti-virus et anti-spyware.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants