Épidémie de virus par mail : d’où ils viennent et comment s’en protéger
Un récent rapport émis par la firme FireEye a établi les circonstances précises de l'attaque informatique subie par les réseaux d'ordinateurs de l'OTAN. Il s'agissait d'un phishing (hameçonnage) avec une pièce jointe qui, une fois ouverte, infecte l'ordinateur et remplit la mission programmée. Des hackers sponsorisés par la Russie avaient ainsi pu accéder à des informations confidentielles.
Atlantico : Qui aujourd'hui est le plus susceptible d'être confronté à ce type d'attaque, qui techniquement semble à la portée de tous ?
Guillaume Tissier : Tout le monde est malheureusement susceptible d’être confronté à ce type d’attaque. En 2011, c'est le Ministère de l'économie et des finances qui en avait fait les frais. On avait alors suspecté une opération d'espionnage concernant les positions de la France sur le G20. 150 postes sur les 170 000 du ministère avaient été infectés.
Dans une organisation, les maillons les plus vulnérables sont évidemment les personnes non sensibilisées, celles qui vont cliquer sur les liens internet contenus dans les mails ou ouvrir les pièces jointes piégées. Les sous-traitants constituent aussi des cibles de choix.
Quel est le mode d'action de ces hackers ?
On pourrait qualifier ces attaques de semi-opportunistes : elles visent d'abord une entreprise ou une administration puis cherchent à tester ensuite le maximum de cibles en interne pour avoir une chance de pénétrer les systèmes d'information de l'organisation.
Leur objectif est clairement le vol d'information, soit dans le cadre d'une escroquerie à grande échelle (extorsion de fonds par exemple), soit dans le cadre d'une opération d'espionnage économique ou politique. On parle aussi souvent d'attaque APT ou Advanced Persistent Threat, c'est à dire d'attaques sophistiquées permettant aux attaquants de se maintenir durablement chez leur cibles. De fait, les intrusions sont souvent détectées avec plusieurs mois de retard lorsqu'elles sont détectées.
Les attaques se déroulent toujours en plusieurs étapes :
1. La reconnaissance : l'objectif est de reconnaître la cible, de constituer un fichier d'adresses mail à cibler et de créer un message contenant les arguments qui pousseront les cibles à ouvrir le document piégé ou cliquer sur un lien internet. Pour piéger l'internaute, plusieurs techniques de persuasion sont possibles : l'argument d'autorité, qui consiste par exemple à se référer à une autorité qui accrédite l'information contenue dans le message, l'argument de proximité (l'attaquant joue la carte de l'appartenance à une même communauté, donne des éléments de contexte dans lesquels se reconnaît la cible, voire usurpe l'identité d'une personne connue de la victime), l'argument d'urgence, qui pousse la cible à abandonner tout réflexe logique et à ne pas procéder à des vérifications.
2. La création d’un document infecté. Les hackers développent des malwares « sur-mesure » pour les environnements matériels et logiciels de leurs victimes.
3. L'envoi des mails piégés. Le code s'exécute lorsque l'une des cibles lance le fichier attaché.
4. Le code malveillant se connecte au serveur de contrôle et télécharge l’intégralité du malware.
5. Le malware se déploie dans sa forme complète. Il est alors en mesure d'exfiltrer des données.
A noter que le malware peut également se répandre via des clés USB. Il est donc susceptible d'atteindre des réseaux non connectés à Internet. C'est ce mode de propagation qui avait permis à Stuxnet d'atteindre les centrifugeuses iraniennes.
Par qui sont-ils financés ?
D’après le rapport de FireEye, ces attaques ne sont pas de nature économique (vol de propriété intellectuelle), mais visent à collecter des informations stratégiques liées à des enjeux politique et sécuritaires. Cela sous-entend donc le parrainage d’un gouvernement.
Il est cependant difficile de séparer les différentes menaces et types de motivation : le cybercriminel peut se mettre au service d’intérêts étatiques ou économiques
Bien que l'attention et la vigilance soient la meilleure barrière contre ce type d'attaque, quelles sont les autres précautions à prendre ? Sont-elles à la portée de tous ?
La première protection est et demeurera l'utilisateur qui ne doit pas ouvrir les pièces jointes de personnes qu'il ne connaît pas et doit procéder à des vérifications basiques : orthographe des messages, identité de l'émetteur, destination des liens internet proposés.
Au delà de ces règles de vigilance, chaque utilisateur (ou administrateur système) doit aussi s’assurer que ses logiciels sont bien à jour et qu'il dispose bien d'un anti-virus également à jour : de nombreuses attaques utilisent des vulnérabilités connues qui ont déjà été corrigées par l’éditeur.
Il est donc capital de maintenir son environnement logiciel à jour.
Dans certains cas cependant, les attaques sont particulièrement sophistiquées et utilisent des vulnérabilités dites 0-day, c'est à dire non corrigées par les éditeurs. Les protections classiques se révèlent alors insuffisantes et seuls des systèmes de détection sophistiqués permettent de détecter quelque chose.
Le rapport de FireEye mentionne également plusieurs sites internet spécialement créés pour crédibiliser les auteurs de ces mails. En quoi les cookies, ces programmes qui s'installent sur un navigateur peuvent-ils aider en quelque chose ces cyber-attaques ?
Les cookies peuvent être dangereux à partir du moment où l’attaquant y a accès et y trouve des informations qui peuvent lui servir pour monter son attaque. Les cookies peuvent donc être des moyens de collecte d'information. En revanche, ils ne constituent pas des vecteurs d'attaque puisqu'ils ne peuvent pas exécuter du code malicieux par eux-mêmes.
On peut ensuite distinguer deux types de cookie. Les cookies-navigateurs sont de simples fichiers texte, qui contiennent des informations de navigations de l’utilisateur sur un site donné, y compris les formulaires qui ont été remplis. C’est le site web qui détermine quelles informations sont stockées dans un cookie. En général, les mots de passe ne sont malgré tout pas sauvegardés tels quels dans le cookie, ou sont a minima chiffrés.
On n’est cependant jamais à l’abri d’un site très peu sécurisé... Les flash-cookies font quant à eux partie d’un système d’authentification plus poussé : ils sont cachés quelque part sur l’ordinateur de l’utilisateur et servent de jeton (ou token) de confirmation lorsque l'utilisateur se connecte sur le site de sa banque par exemple, après avoir entré son login/password. Cela permet de s’assurer que l’utilisateur se connecte bien depuis son ordinateur habituel, et si tel n’est pas le cas, il lui sera demandé des informations supplémentaires pour l’authentifier.
____________________
Atlantico : Le nouveau système d'exploitation de Microsoft, Windows 8, possède son propre système de sécurité avec un pare-feu et un anti-virus intégré (Windows Defender). Cependant, des spécialistes indépendants estiment que le système de sécurité intégrée de Windows 8 n'est pas infaillible. Alors, est-il possible d'installer un anti-virus externe à Microsoft sur son PC Windows 8 ? Si oui, lequel est le plus approprié en termes d'efficacité et quelles précautions prendre dans un souci de compatibilité ?
Mickaël Guillerm : Effectivement, et on peut féliciter Microsoft pour cette avancée majeure. Cependant, il faut prendre l'anti-virus Microsoft comme une première couche de protection et non comme une protection totale. Je veux dire par là qu'il est indispensable d'ajouter un antivirus supplémentaire à celui de Microsoft. L'année dernière, nous avons appris que même Microsoft conseillait d'utiliser un anti-virus en plus du leur. En effet, son anti-virus était très bon au lancement de Windows 8, mais plus les jours passent et moins Microsoft arrive à suivre la cadence des nouveaux virus. On retrouve d'ailleurs l'anti-virus de Microsoft au plus bas de l'échelle sur les derniers tests du site AV-Test [un laboratoire d'analyse informatique indépendant, NDLR].
Il est donc tout à fait possible d'installer un autre anti-virus et c'est même fortement conseillé. La plupart de mes clients installent Avast, car il est gratuit. C'est vrai qu'il fonctionne plutôt bien mais il affiche parfois quelques fenêtres de sollicitation pour la version payante qui peuvent paraître gênantes. Pour ceux qui sont prêts à payer pour la protection de leurs données, je conseille Bitdefender : Internet Security 2014 ou Kaspersky : Internet Security 2014 qui sont tous deux très bons en toutes circonstances.
Et sinon, quel est le meilleur anti-virus sur le marché ?
Si je n'avais qu'un anti-virus à choisir à l'heure actuelle, ce serait Bitdefender : Internet Security 2014. On le retrouve d'ailleurs à la première place sur AV6test.org. Il est simple d’utilisation et ne consomme pas trop de ressources.
On pense généralement que les anti-virus les meilleurs sont les plus chers. Est-ce vrai ? Quel est le meilleur anti-virus parmi les moins coûteux ? Qu'offre-t-il ?
Non, les meilleurs anti-virus ne sont pas toujours les plus chers. Vous pouvez trouver de très bon anti-virus gratuits qui parfois égalent les anti-virus payants. C’est pourquoi il m’arrive de conseiller à mes clients d’utiliser des anti-virus gratuits. Au lieu de chercher le meilleur anti-virus en déboursant le moins de sous possible, autant opter pour une solution gratuite.
Selon les tests, l'anti-virus gratuit qui s'en sort le mieux actuellement est AVG Free 2014 (Anti-Virus Free Edition 2014).
En effet, le dernier classement d'AV-Test a donné la note de 15 sur 18 à la version gratuite d'AVG Free 2014 tout comme à l'antivirus payant Norton Internet Security 2014 de Symantec. Alors les anti-virus gratuits pourraient être comparables aux payants ? Quels anti-virus gratuits privilégier et pourquoi ?
Oui, parfois les anti-virus gratuits égalent voire surpassent les anti-virus payants. AVG Free est très performant, complet et ainsi vous permettra d'avoir une très bonne protection. Cet antivirus fonctionne en fond de tâche sur l’ordinateur et bloque automatiquement virus ou spyware. Il contient également une fonction de protection sur les liens indésirables. Tout lien internet indésirable (site de phishing ou spyware par exemple) sera instantanément bloqué. On retrouve ces fonctions sur d’autres anti-virus gratuits mais à ce jour AVG est celui qui vous protègera le mieux.
________________________
Atlantico : Le malware est le mal des clés USB qui sont considérées comme des passoires informatiques. Est-il possible de les contrôler et d'échapper à ces logiciels malveillants ?
Michel Nesterenko : Depuis l'an 2000, les risques inhérents à l'utilisation des clefs USB sont bien connus. Un virus dans une clef USB est un peu comme le virus du Sida. La clef USB est l'acte sexuel et la personne infectée à cause de comportements à risques propage le virus. Notre ordinateur est la victime. Ce n'est pas l'acte sexuel (la clef USB) qui est coupable, c'est le virus du Sida. De même pour la clef USB, c'est le virus informatique qui pose problème, pas la clef USB en elle-même. Ce sont les comportements à risques, c'est à dire la non utilisation de parre-feu et d'antivirus (les préservatifs dans l'analogie du Sida) au niveau de l'ordinateur qui facilitent la propagation.
Si on supprime la clef USB, ce serait comme si on interdisait l'acte sexuel. Dans ce cas la race humaine disparaitrait à terme.
Il n'est pas concevable aujourd'hui pour les entreprises de fonctionner sans clefs USB, la perte de productivité serait très sensible. Le petit format facilite le transport d'une très grande quantité de données au fond de nos poches. Rien de plus facile que de transporter la clef en salle de conférence pour une présentation au Conseil d'administration. Et voilà un virus et ou cheval de Troie qui prend en otage l'ordinateur de la salle du conseil et enregistre tous les débats. Puis au moment donné, l'intrus informatique se connecte automatiquement sur internet pour transférer les enregistrements à son maître. Qui n'a pas récupéré des fichiers volumineux sur l'ordinateur d'un collaborateur via une clef USB ? Ou ramené des dossiers sensibles à la maison pour y travailler pendant le weekend sur l'ordinateur familial non protégé ? Tout contact avec une clef infectée est source de compromission grave.
Quel est le degré de risque d'une clé USB aujourd'hui ? Comment détecter qu'une clé USB contient des logiciels malveillants capables de détruire un appareil informatique ?
On ne peut pas parler de sécurisation d'une clef USB, cela relève du non-sens. Dans une certaine mesure des ordinateurs avec logiciels à jour, un parre-feu bien structuré, un anti-virus à jour, avec en plus une surveillance du réseau intégrant les derniers perfectionnements, tout cela peut permettre de limiter la propagation des virus et chevaux de Troie ainsi que les dégâts qui en résultent.
Deux chercheurs en sécurité informatique, Karsten Nohl et Jakob Lell, ont détecté une faille plus importante qui peut être source de piratage. En développant une solution de piratage (BadUSB) pour un test, ils ont conclu qu'une fois le firmware infecté, il est impossible de faire marche arrière. La clé USB peut-elle être utilisée comme arme ?
Cette détection d'une nouvelle faille n'est qu'une péripétie dans une course sans fin entre les moyens d'attaque et les moyens de défense. La clef USB est un outil de productivité mais aussi une arme de premier ordre entre les mains d'un espion industriel ou d'un espion cherchant à neutraliser les ordinateurs des forces militaires ennemies. Au début de l'informatique, c'était les aimants pouvant effacer les bandes magnétiques qui étaient la source principale d'inquiétudes. Aujourd'hui, la clef USB pratiquement indétectable permet d'introduire, en quelques instants, un logiciel d'attaque complexe, de grande taille, au cœur même du système informatique de l'ennemi. Plutôt que de mettre en panne l'ordinateur cible, il est souvent plus efficace de le faire mentir d'où l'utilité du logiciel complexe.
Quels pourraient être les potentiels dangers de son utilisation dans des zones à risque ? La seule solution pourrait-elle être de ne plus utiliser cet outil à terme ?
Dans certains laboratoires de recherche, les clefs USB sont totalement interdites mais il s'agit là de cas très limités et circonscrits. La clef USB ne tue pas les êtres humains directement comme un fusil ou une bombe. Mais les pannes informatiques peuvent avoir des effets secondaires graves. Par exemple, sur des voitures de plus en plus informatisées, il serait possible de neutraliser à un point donné le système de freinage. Comme pour le sexe, dont on ne peut pas se passer, il est illusoire de vouloir se passer de clefs USB ou du système de mémoire flash qui en est l'essence. Il faut donc apprendre à vivre avec et bien utiliser tous les vaccins informatiques à notre disposition.
From : Atlantico ,...................