Christian Pijoulat

Après le message de bienvenue de Christian Pijoulat, VP de Sophos Europe du Sud, il a cédé la parole à Michel Lanaspèze, directeur marketing et communication de Sophos France. Après une présentation rapide des Sophos Labs présent sur tous les continents, Michel Lanaspèze a dressé un panorama des menaces dans le monde en s’appuyant sur le rapport 2010 de l’évolution des menaces édité par son entreprise . Selon les Sophos Labs, il y aurait 20.000 nouvelles pages web infectées par jour, soit une page toutes les 3,6 secondes. 95% des courriels seraient du spam et seraient en relation avec 6.500 nouvelles pages web malicieuses. Enfin, la Black Hat SEO (Search Engine Optimisation) est le nouveau type de malware « à la mode ». Il a segmenté ces menaces en 4 grandes parties : le Web, les réseaux sociaux, Windows 7 et les OS, et les fuites de données.

Michel Lanaspèze

Sur le Web les attaques sont de plus en plus générées par des groupements mafieux qui utilisent tous les moyens possibles pour faire de l’argent. Ils vont même jusqu’à monter de véritables réseaux d’affiliés en recrutant des Webmestres rémunérés à la commission en fonction des ventes de faux médicaments, antivirus… qu’ils génèrent. D’ailleurs, ils leur fournisseurs des outils pour « travailler » avec même des kits de suivi des gains ! La France n’est pas épargnée par leurs exactions puisque elle figure à la fois dans le palmarès des nations qui à la fois visitent leurs site et sont des acheteurs.

Les réseaux sociaux sont selon Michel Lanaspèze le nouveau talon de la sécurité. Il a donné l’exemple de Hacker Croll, un pirate informatique français qui a obtenu les identifiant Twitter du Président américain Barack Obama. De plus, le spam, le phishing….et plus généralement toutes sortes de malwares sont de plus en plus présents sur ces réseaux. Les internautes sont sous le feu des attaques, tout en étant souvent inconscients des dangers. Ainsi, un travail de sensibilisation et d’éducation doit être mené.

Selon les experts de Sophos Windows 7 amène plus de sécurité en particulier du chiffrement avec Bitlocker, du VPN, des fonctionnalités de pare-feu, ASLR et DEP pour prévenir contre les buffers overflow et du Heap Spraying, du filtrage… IE8 et UAC aussi amènent plus de sécurité. Pourtant, ces avancées restent encore insuffisantes et doivent être accompagnées de déploiement d’outils de sécurité. Si Windows reste une cible privilégiée, Apple et Linux sont aussi de plus en plus piratés. Ainsi, Apple a fait une release de son OS pour le protéger contre un Trojan. iPhone du fait de sa démocratisation connait ces premiers malwares. Quant à Linux très largement présent sur les serveurs, un logiciel a été déployé en juin 2010 afin de supprimer un cheval de troie qui s’était glissé dans le code source de l’application depuis novembre 2009. Pour en terminer avec les OS Android reste aussi sous la menace.

Quant à la fuite de données les possibilités sont multiples. Elles concernent en premier la perte de PC portables, les clés USB, CD, DVD… et autres devices amovibles. Les législateurs sont de plus en plus présents sur ce domaine et prennent des mesures de plus en plus sévères afin de prévenir les fuites de données et surtout les pertes de données personnelles. Les auditeurs les rejoignent et multiplient les contrôles dans les entreprises.

Bruno Rasle

Puis Michel Lanaspèze a cédé la parole à Bruno Rasle, Délégué général de l’AFCDP qui a présenté les implications du projet de loi Détraigne Escoffier sur la protection des données dont notre magazine c’est fait écho dans le hors série disponible en ligne http://www.globalsecuritymag.fr/Vie-privee-numerique-Tous,20100609,17974.html. Aujourd’hui, il y a 1800 CIL en France qui travaillent dans 6.000 entreprises (du fait des CIL mutualisés pour certaines professions comme les notaires) et cette profession devrait connaître un essor durant les prochaines années sir le projet de loi passe en l’état. Par ailleurs, ce projet propose de notifier les pertes de données personnelles à la fois à la CNIL et aux intéressés. Pourtant, selon Bruno Rasle cette proposition venant des sénateurs et non du gouvernement ses chances de passer rapidement sont plus ou moins faibles même si l’Etat reconnait qu’elle devra s’appliquer au minium dans le paquet Télécom avant le 25 mai 2011. Déjà de nombreux pays ont des législations similaires comme les Etats-Unis, le Royaume-Uni, tout récemment l’Allemagne, les Pays-Bas… Il a conclu son intervention en précisant que dans tous les cas, il y a une volonté au niveau européen et mondial d’aller vers une plus grande protection des données à caractères personnelles, donc une mise à niveau des systèmes d’information doivent être fait au plus tôt. On est passé d’une défense périmétrique à une sécurité « data centric » c’est donc bien la donnée qui est au centre de toutes les préoccupations et les directions générales en sont de plus en plus conscientes. Le travail commun des RSSI et des CIL doit se poursuivre pour une meilleure prise en compte des enjeux de sécurité.

Vanja Svajcer

Vanja Svajcer, Principal Research de Sophos a procédé à une démonstration de différents types d’attaques. Aujourd’hui, les malwares sont de plus de petites tailles inférieures à 100K et ciblés. On les appelle les APT (Advanced Persistent Threat). Ils n’ont pas de packing et ils ressemblent à n’importe quel fichier Windows légitime. Ils sont très difficiles à éradiquer. Ils ont plusieurs méthodes d’attaque :

1) La redirection vers un site compromis De nombreux sites utilisent des solutions Open Source, ainsi les pirates informatiques cherchent les vulnérabilités et les exploits qu’ils contiennent. Ils utilisent des outils pour identifier les pages potentiellement vulnérables aux injections SQL en envoyant des requêtes HTTP. Enfin, ils injectent un script malveillant pour compromettre ces pages. Leur objectif est d’infecter les visiteurs de ces pages en leur faisant télécharger un Trojan ou un rootkit pour récupérer leurs identifiants, mots de passe…

2) La redirection contrôlée par l’attaquant ou la Black Hat SEO (Search Engine Optimisation). Dans ce cas, les pirates créent des pages Web en nombres afin d’améliorer leur référencement et se trouver en haut de page des recherches sur les principaux moteurs Google, Yahoo… Ils utilisent même des outils pour trouver les mots clé les plus demandés afin de les inclure dans les textes de leurs fausses pages. Ainsi, les visiteurs cliquent généralement sur les premiers sites qui proposent de faux antivirus, médicaments…

3) Téléchargement de contenu d’un site d’attaque. Le pirate là va utiliser un rootkit du marché comme MPack, IcePAk, GPak, Eleonore, Yes… Ils utilisent des malwares polymorphes qui mutent à chaque visite du site infecté. Ces systèmes fonctionnent à la fois côté sites et serveurs.

4) Le vol de donnée par l’utilisation d’exploit : Zeus ou Zbot. Ce malware est constitué de trois partie un Builder, un Loader (pour infecter la machine), un panel control pour contrôler le réseau de botnet constitué.

Puis Michel Lanapèze a présenté les nouvelles solutions de Sophos en matière de protection de données avec la gamme d’anti-malware, le NAC et le chiffrement des postes le tout dans une optique de DLP. La gamme d’anti-malware repose sur les signatures mais surtout l’analyse comportementale « behavioral genotype » qui permet d’analyser le comportement des malware et donc de bloquer préventivement les attaques. Les nouvelles solutions proposent de l’HIPS couplé à de l’analyse comportementale pour faire de l’HIPS Phenotype. Cette nouvelle offre permet des mises à jour plus rapide et plus précise pour une détection plus efficace. Enfin la protection en temps réel se fait « in the cloud » grâce à des éléments collaboratifs. Cette technique est utilisée depuis 8 ans déjà pour le Spam par Sophos, elle est maintenant étendue aux malwares. Un système de liste blanche se trouve dans le Cloud qui est comparé à des fichiers suspects adressés par les machines des clients.

Laurent Gentil Sales Engineering Manager a présenté une stratégie de protection qui passe par le déploiement de solutions multi-niveaux : anti-malware, firewall personnel, du filtrage, du contrôle d’applications, une stratégie de chiffrement incluant : les postes de travail portable (chiffrement intégral de toute la surface du disque), des mails (chiffrement universel avec une solution basée sur le PDF), des fichiers hébergés par les serveurs, des médias amovibles clé USB, CD, DVD… avec par exemple un chiffrement des données exportables… du DLP en capitalisant sur le déploiement des anti-malware qui font du scan de fichiers sortants. L’objectif étant soit d’autoriser la sortie de fichier, de bloquer certains ou de prévenir et de demander la confirmation à l’utilisateur. Enfin de la Conformité (NAC) qui permet de vérifier l’application de la politique de sécurité en particulier par rapport aux normes et standards ISO27001, ITIL… et au politique interne : chiffrement, contrôle d’accès, PRA…