Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

L'impasse

L'impasse
2009-09-252013-02-11sécurité du poste de travailfr
Je viens de voir des chiffres intéressants. Bien sûr, comme d'habitude, ils sont à prendre avec des pincettes, manipulées elles-mêmes par des gants. Dans une enquête Gartner, il est écrit que si 93% des entreprises sont équipées de logiciels anti-virus (Ou sont les 7% ?), 68%...
Publié le 25 Septembre 2009 par Philippe Maltere dans sécurité du poste de travail
Je viens de voir des chiffres intéressants. Bien sûr, comme d'habitude, ils sont à prendre avec des pincettes, manipulées elles-mêmes par des gants. Dans une enquête Gartner, il est écrit que si 93% des entreprises sont équipées de logiciels anti-virus (Ou sont les 7% ?), 68% d'entre elles se déclarent infectées. Intéressant, non ?

Au commencement (et je vous parle d'un temps que les moins de vingt ans ne peuvent pas connaître) de l'apparition des virus, certains ont eu une excellente idée (à l'époque, c'était révolutionnaire) de mettre la signature de ceux-ci dans une base, et en comparant, on pouvait alors séparer le bon grain de l'ivraie. Et cela a marché pendant quelques temps. Malheureusement, la conception des virus a évolué rapidement. Ils sont devenus polymorphiques, pouvant évoluer (bien sûr, en changeant de signature), excessivement nombreux (des millions). Tant et si bien qu'une base de signature n'était jamais à jour, et en plus ne pouvait les contenir tous pour des raisons de performances. D'ailleurs si on prend une des premières définition d'un virus, il s'agissait d'un programme ralentissant le pc, prenant toutes les ressources mémoire et unité centrale disponibles, cela ne vous rappelle rien ? Pas de polémique. Alors, les concepteurs de logiciel anti-virus ont eu une autre idée(ni géniale, ni révolutionnaire), le rendre plus intelligent. Comment ? Simplement, en lui donnant en gros un moteur d'analyse statistique pour pouvoir détecter un virus même s'il n'est pas dans la base. Avec en plus des noms si ronflant que je ne peux les écrire sans être victime d'un fou rire. Cette méthode a prouvé son efficacité à laisser passer tout ce qui ne fallait pas (voir le chiffre cité plus haut, et le gros succès de Conflicker cette année).

Il fallait donc trouver autre chose, et vite. Et là, l'idée, que dis je THE IDEA (in french), on va mettre une note sur chaque site, chaque fichier pour prouver sa bonne foi, en un mot sa réputation. Et en plus, comme nous sommes dans la génération Internet, la base de connaissance se trouvera sur des sites Internet, donc plus simple à mettre à jour. Bonne idée, si si. Je pense qu'il y en a qui vont être content, ce sont les concepteurs de virus. Car grosso modo, la base de signature n'est plus sur la machine, mais dans les nuages, on a juste déplacé le problème. En y ajoutant des risques plus importants, deux me viennent à l'esprit : modification d'un  fichier de bonne réputation (assez simple à réaliser), et cerise sur le gâteau modification de la base centrale (une seule manipulation, et c'est le jackpot) ou agir comme homme du milieu entre la station et la base centrale (voir technique utilisée pour les updates automatique). Cette technique risque fortement de devenir une impasse technologique, et en plus de générer des menaces beaucoup plus importantes qu'avant. Et pourtant, il existe des moyens de protéger un poste de travail. Une voie longue et difficile, contrôler tous les processus de la machine (HIDS). Et des méthodes plus simples, comme par exemple de virtualiser le système d'exploitation lui-même (au reboot, il reviendra non modifié, pour être plus efficace cette solution est à coupler avec une approche NAC), ou simplement virtualiser le vecteur d'infection lui-même le browser. Ces solutions existent et sont matures. Ah, j'oubliais, on peut aussi virtualiser tout le poste pour qu'aucunes données et programmes n'y résident (en fait, on réinvente le concept mainframe).

1 Commentaire

  • 25 Septembre 2009
    2009-09-25
    par
    ROFL
    Cf les conférences de Benjamin Bayart et le minitel 2.0.
    Ce n'est pas une nouvelle cependant que les éditeurs d'antivirus ne traitent que le gros du problème. Le moindre élément qui passe à travers les mailles du filet est susceptible de donner bien du fil à retordre aux services informatiques. D'où l'idée que ne traiter que le gros du problème, c'est loin d'être suffisant.

    Et s'il faut quelque chose pour secouer tout ça, il me semble que ce n'est pas des couches supplémentaires mais plutôt la rationalisation des couches déjà existantes. Réparer les vulnérabilités connues, partager les méthodes et les outils de développement, donner un coefficient non-négligeable aux questions techniques lors d'un appel d'offre pour un produit ou un service informatique, etc...

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage