Passer au contenu

Attaques virales : un risque sous-estimé

L’attaque du virus Nimda aurait pu être évitée, preuve que le risque viral est encore trop souvent sous-estimé. Trois éléments très simples servent à dresser un cordon sanitaire efficace : un antivirus, des mises à jour régulières et la formation des utilisateurs.

“Les deux dernières attaques virales d’envergure, CodeRed et Nimda, ont exploité une faille de sécurité dans le serveur IIS de Microsoft. Je veux bien croire qu’il y ait eu un effet de surprise avec CodeRed, mais pas avec Nimda. Tous ceux qui ont été touchés par le deuxième n’ont pas d’excuse : IIS chez eux n’était pas à jour”, accuse sans détour Pascal François, consultant senior réseaux et sécurité chez CF6. C’est un fait : les attaques virales deviennent de plus en plus fréquentes et sophistiquées ; les plus virulentes paralysent des entreprises entières. Les deux derniers fléaux en date ont couvert la planète en quelques heures.Après quelques nuits passées à “désinfecter” les ordinateurs, les responsables informatiques accusent les éditeurs d’antivirus de laxisme ou d’un manque de réactivité, malgré le coût élevé des licences. De leur côté, ces éditeurs accusent les responsables informatiques de ne pas prendre sérieusement en compte le risque des attaques virales. Les polémiques n’ayant jamais protégé les entreprises, celles-ci devraient commencer par mettre en place des méthodes de prévention et d’action. Pierre-Olivier Mouton, consultant sécurité et réseaux chez Unilog, est formel : “Lors de mes interventions, je constate qu’une grande partie des dommages aurait pu être évitée par une prise en compte minime du risque”.

Attaques et contre-attaques se font la course

Créés par des étudiants ou par de véritables cybercriminels, les virus ne sont pas nouveaux. Il en existe de différents types. Les plus destructeurs répondent à trois objectifs : bloquer volontairement le fonctionnement d’un ordinateur, causer la perte des données qui s’y trouvent et se propager. Avec le temps, c’est surtout la vitesse de propagation qui s’accélère. Le premier virus reconnu comme tel, Brain, a été créé en 1987 au Pakistan par les frères Alvi. Les spécialistes estiment qu’il lui a fallu un an pour contaminer les États-Unis. Un aussi long délai étonne, mais, outre l’effet de surprise, Brain se propageait alors par échange de disquettes, en se greffant à des fichiers.Aujourd’hui, grâce à internet, les épidémies de virus tels que I Love You, Melissa, CodeRed ou Nimda, contaminent la planète entière en quelques heures seulement. Ces virus se révèlent plus actifs que leur ancêtre, puisqu’ils utilisent les annuaires des serveurs de messagerie pour s’autopropager. Le résultat est foudroyant : sous l’afflux d’e-mails infectés, moins de cinq minutes suffisent pour paralyser une entreprise. La réactivité des éditeurs d’antivirus, face aux épidémies les plus graves, se chiffre pourtant en heures, comme le confirme Fabienne Vincent, responsable marketing chez Sophos Antivirus : “Selon la complexité du virus, la fabrication d’un remède nécessite entre 2 heures et une demi-journée de travail. Notre réactivité est assurée 24 heures/24 par deux laboratoires, situés aux antipodes de la planète.”

Première prévention : la veille

Cette excellente réactivité ne fait pourtant pas le bonheur des responsables informatiques. L’un d’entre eux, qui souhaite conserver l’anonymat, remarque, fataliste, “que les attaques touchent les États-Unis avant d’arriver en France. Quand l’alerte parvient dans l’Hexagone, les serveurs FTP des éditeurs d’antivirus, situés outre-Atlantique, sont inaccessibles. Nous devons donc attendre, parfois jusqu’à six heures, avant d’accéder enfin au site et télécharger la mise à jour.””C’est exact, reconnaît Teddy Lacerda, directeur technique chez McAfee. Mais en attendant un antidote, les alertes peuvent toujours servir aux administrateurs pour établir des règles de filtrage sur leurs serveurs de messagerie, de façon à bloquer les e-mails infectés.”L’alerte constitue en effet le meilleur moyen de réaction à très court terme de ce côté-ci de l’Atlantique. Elle donne aux administrateurs tous les mots clés qui identifient un virus. Grâce à eux, quelques secondes suffisent pour configurer les serveurs de messagerie afin de bloquer l’entrée des courriers qui comporteraient les termes redoutés. Les entreprises les plus fortunées ont la possibilité de souscrire à des services d’alertes envoyées par fax, téléphone ou pager. Les autres, plus nombreuses hélas, s’en chargent comme elles le peuvent, le plus souvent en s’abonnant à des listes de diffusion. Ces dernières, bien qu’efficaces, sont envoyées par e-mail et ne sont donc d’aucun effet quand les réseaux s’engorgent.

Une mise à jour hebdomadaire des antivirus est conseillée

Outre les alertes, les sociétés doivent disposer d’un antivirus doté d’une architecture distribuée, ce qui est le cas des produits de Sophos, Network Associates, Computer Associates, Symantec et de Trend Micro. Cette architecture autorise la mise en place rapide de parades adéquates sur tous les serveurs et les postes de travail. D’autre part, les responsables informatiques doivent mettre à jour le plus souvent possible leurs antivirus. “Au moins une fois par semaine”, conseille Pascal Lointier, ingénieur sécurité des systèmes d’information chez l’assureur ACE Limited. Dans l’absolu, “avec 700 nouvelles signatures par semaine, confie Fabienne Vincent, de Sophos Antivirus, il faudrait passer son temps à remettre la base de l’antivirus à jour, ce qui est inconcevable. Il ne faut pas rester passif ; on ne doit pas attendre les grandes alertes relayées par la presse pour le faire.”A contrario, mettre à jour les logiciels les plus sensibles de l’entreprise, de façon à limiter les failles de sécurité, ne constitue pas une priorité. “Personne ne doit appliquer de patch systématiquement”, martèle Pascal Lointier. Pour en rectifier un, un correctif malheureux a créé une kyrielle de dysfonctionnements. Les administrateurs testent donc désormais systématiquement les mises à jour en vase clos avant de les basculer sur les machines de production. D’autre part, “ces phases de validation prennent du temps, coûtent de l’argent, et ces investissements sont mis en balance avec la gravité de la menace. L’équation économique est simple : le coût de la sécurité ne doit pas être supérieur au coût du sinistre”, analyse Pascal Lointier. Chez CF6, Pascal François déconseille également d’installer les correctifs directement sur les machines de production. “Mais il ne faut pas hésiter à le faire sur les ordinateurs utilisés en frontal”.

Sensibiliser l’utilisateur

Le cordon sanitaire réalisé par l’antivirus et les alertes restent insuffisants. La formation des utilisateurs constitue la composante primordiale d’une stratégie de prévention. Pour Hugues Metayer, directeur informatique et télécommunications chez Securinfor, le message est simple : “Il ne faut pas ouvrir n’importe quoi n’importe comment !”. Un autre responsable, employé dans une entreprise de 500 salariés, constate que “lorsque des attaques virales se produisent chez nous, ce sont toujours les mêmes personnes qui les déclenchent. À force d’être à l’affût de ce qui pourrait être la blague du jour, ces gens-là ne regardent même plus qui est l’expéditeur ni le contenu de l’e-mail. Et si l’on interdit l’envoi de fichiers “doc”, “exe” ou “scr”, ils se les envoient au format Zip…”L’interdiction de tel ou tel type de pièce jointe ne représentera jamais une solution efficace. D’autant que certains services de l’entreprise ont besoin de recevoir des documents au format “doc” par exemple. Chez Securinfor, Hugues Metayer constate que “le des ressources humaines reçoit par courrier électronique des dossiers de candidature infestés”. Les attaques virales ne sont pas toutes liées à des fichiers corrompus. Certaines sont de fausses alertes ; baptisées Hoax par les spécialistes, elles provoquent, en toute bonne foi, des mauvais agissements chez les utilisateurs. L’un d’entre eux conseillait par exemple de supprimer un fichier système dans les répertoires de Windows, laissant entendre que ledit fichier avait été ajouté par un virus.Tous les experts sont unanimes, la meilleure des politiques à tenir consiste à sensibiliser les utilisateurs. “Mais cela doit être fait avec tact, rappelle Pierre-Olivier Mouton d’Unilog. Tout ce qui est mis en place sans l’assentiment des utilisateurs risque d’échouer ; il ne faut pas donner l’impression d’entraver le personnel.” De toute façon, la parade universelle n’existe pas, comme le rappelle, sans être visionnaire, Pascal Lointier : “Il y aura toujours de nouveaux virus. On peut les circonscrire ou arrêter leur propagation, mais pas y échapper.”

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Lionel Sarrès