Vincent Gullotto :
Nous recensons désormais entre 50 et 100 nouveaux virus par jour. Mais ce qui a le plus changé depuis deux ans, c'est que nous détectons entre 25 et 50 "bots" par jour [des ordinateurs infectés de manière à autoriser leur contrôle à distance, on parle également de "PC zombies", NDLR], soit beaucoup plus que par le passé.
D'autre part, les virus sont maintenant compressés de multiples fois et cryptés, ce qui les rend plus difficiles à repérer et nous oblige à faire évoluer nos technologies en conséquence. Nous avons ainsi dû retarder de deux ou trois mois le lancement de la nouvelle version de notre moteur, prévue à l'origine pour novembre 2004, car il nous faut intégrer de nouvelles technologies de décompactage.
VNUnet : Comment expliquez-vous l'augmentation du nombre de PC zombies alors que les problèmes de sécurité informatique sont de plus en plus médiatisés ?
V. G. :
La contamination des machines est due à la présence d'une porte dérobée et, généralement, à l'absence de pare-feu personnel. De plus, les ordinateurs achetés dans le commerce ne sont pas équipés d'un antivirus à jour mais d'une version vieille de plusieurs semaines, voire de quelques mois.
Les utilisateurs ne sont donc pas protégés contre les virus les plus récents quand ils se connectent et ne font pas nécessairement la mise à jour immédiatement. Signalons également que nombre d'utilisateurs n'appliquent pas les mises à jour ou ne renouvellent pas leur contrat au bout d'un an. Enfin, si les entreprises sont généralement bien protégées, les particuliers le sont beaucoup moins, notamment avec le développement du haut débit et des connexions permanentes. Les statistiques indiquent clairement que 20 % des e-mails qui circulent sont des fichiers infectés. Ce qui prouve que de nombreux ordinateurs ne sont pas protégés, essentiellement du côté des particuliers.
VNUnet : Au delà de la complexité des virus, en quoi la méthodologie des pirates a-t-elle évolué ?
Aujourd'hui, les auteurs de virus ne cherchent pas seulement à infecter les utilisateurs en les invitant à ouvrir une pièce jointe dans un e-mail. Ils recherchent les machines accessibles, via une porte dérobée notamment, pour placer eux-mêmes un virus sur l'ordinateur distant.
VNUnet : Quels sont leurs objectifs ?
V. G. :
Ils sont nombreux et variés : exploiter la machine pour envoyer du spam, programmer des attaques par saturation... Il y a deux semaines, nous avons par exemple détecté un bot qui avait la possibilité d'installer un adware [une application qui affiche des bannières publicitaires, NDLR] à partir d'un site Web...
Ce qui est nouveau, c'est la frontière de plus en plus floue entre les programmes malveillants, les malwares, et les programmes indésirables (adwares et spywares) installés insidieusement avec un logiciel commercial - comme les applications de peer-to-peer. Ainsi, la limite entre la simple gestion de bannières publicitaires et la récupération d'informations personnelles est parfois franchie par certains adwares.
On peut admettre qu'une personne ne souhaite pas avoir ces programmes sur sa machine mais il faut les détecter en tant que programmes et non en tant que virus. VirusScan offre une détection de près de 2 000 adwares qui sont des programmes connus puisque commerciaux.
VNUnet : Inclurez-vous dans VirusScan des outils de détection et de suppression de l'ensemble des programmes indésirables ?
VG :
Oui, nous y travaillons. Nous avons récemment étudié les différentes familles de programmes indésirables afin de les classer par catégories : spywares, adwares, dialers, aspirateurs de mots de passe, outils de piratage et de prise de contrôle à distance. A ce jour, nous n'avons pas de solution de nettoyage pour 90 % de ces programmes que nous appelons "Pups" (potentialy unwanted programs mais nous réfléchissons à un produit qui permettra de les éradiquer simplement.
Car s'il est facile de nettoyer un virus en supprimant son fichier, ça l'est beaucoup moins pour une application qui s'installe dans différents répertoires, qui modifie la base de registres, etc. Une véritable désinstallation est alors nécessaire, un processus différent qui entraîne une nouvelle technologie à intégrer dans nos produits. Pour lutter contre les spywares, qui sont peut-être le problème numéro 1 des entreprises, nous proposons déjà le module Spamkiller, indépendant de VirusScan.
VNUnet : McAfee propose également des outils de détection préventive à travers Intrusion Prevention System (IPS). Destinés aux réseaux d'entreprise, ces outils seront-ils déployés vers le grand public?
V. G. :
Oui, mais j'ignore encore quand. Probablement dans le courant du premier semestre 2005. Mais nous devons simplifier les interfaces pour les utilisateurs grand public.
VNUnet : Pensez-vous que le SP2 de Windows XP va renforcer la sécurité comme le prétend Microsoft ?
V. G. :
Cela devrait aider mais c'est loin d'être la solution idéale. Le SP2 devrait connaître un déploiement rapide sur les PC des particuliers grâce à l'automatisation des mises à jour. Mais les grandes entreprises ont besoin de tester la compatibilité du SP2 avec les nombreuses applications qu'elles ont dans leur environnement. Et cela devrait prendre du temps.
Au delà de ces problèmes de délais, je ne suis pas convaincu que les améliorations de sécurité du SP2 vont pousser les entreprises à effectuer les mises à jour car ce sont des mesures génériques qui ne résoudront pas tous les problèmes. Le SP2 simplifie la gestion de la sécurité mais n'est pas une application dédiée à la sécurité.
VNUnet : Considérez-vous comme concurrentes les technologies de sécurisation des PC au niveau des composants physiques comme, par exemple, No eXecute qui permet aux Athlon 64 d'AMD combinés au SP2 d'éviter les attaques par débordement de mémoire tampon ?
VG :
Je ne les considère pas comme des technologies concurrentes dans l'immédiat. Ces technologies seront capables de réaliser certaines fonctions, autant dans le 64 bits, le NX et même Longhorn [avec le Next-Generation Secure Computing Base qui s'appuiera sur une zone sécurisée du PC, NDLR], mais j'ignore si elles seront en mesure d'être aussi efficaces qu'une application dédiée, simplement à cause des limitations qu'elles risquent d'imposer au niveau du système d'exploitation.
Christophe Lagane Source de l'article : VNUNET (FR)
http://www.vnunet.fr/actu/article.htm?numero=12831&date=2004-10-01