Les zombies continuent de faire un massacre

Les zombies continuent de faire un massacre, c’est ce titre du quotidien 20 minutes (édition du 28 Septembre, page 14) qui m’a donné l’envie d’écrire ce post.

Même si le sujet traité par le quotidien est totalement différent de notre centre d’intérêt ici, le titre n’en reste pas moins légitime. Même la première phrase de l’article « Les zombies semblent éternels » est tristement d’actualité lorsque l’on parle de sécurité informatique.

La France occupe la 7ème place des pays relayant le plus de spam dans le classement publié par Sophos avant l’été (source: Rapport de milieu d’année de Sophos (en anglais).

La principale source de ces spams reste évidemment les machines Zombies (ordinateurs infectés qui sont en attente d’ordres reçus de leur centre de commandes et de contrôle (C&C), pour envoyer du spam, participer à un déni de service distribué (DDos), ou encore à des attaques plus ciblées.

Ci-dessous une représentation des tentatives d’envoi de spams reçus sur une passerelle de messagerie de tests que j’utilise. Chaque point jaune sur le globe représente une tentative d’envoi de spam depuis une machine Zombie. Il s’agit d’une carte reprenant uniquement l’activité de la journée d’hier.

Pour conclure, laissez moi citer à nouveau cet article du quotidien « Et comme l’apocalypse est toujours à venir, le voilà bien parti pour durer ce zombie moderne ».
A défaut d’apocalypse, il est malheureusement peu probable que l’on puisse prévoir une amélioration de la situation rapidement.

10 idées fausses sur la navigation Web

Dans la continuité de mon post précédent « Infections web: comment ça marche? », dans lequel je vous proposait de comprendre comment l’infection d’un site web était conduite, je vous propose aujourd’hui un document qui reprend 10 fausses idées sur la navigation web.

Nous avons tous des idées reçues, des principes devenus tellement communément acquis qu’on n’ose pas ou ne pense même pas à les remettre en cause, et pourtant, la navigation web ne présente pas de risque que lors de la visite de sites pornographiques, le filtrage d’URLs est essentiel, mais pas forcément suffisant, l’acte de téléchargement n’est pas forcément indispensable pour conduire à une infection …

Je vous propose de retrouver ces idées reçues dans ce document que je vous laisse découvrir plus en détails:

10_mythes_sur_la_securite_web.pdf
md5 : fada724c85985085364e11aefd5397d3

Infections web : comment ça marche ?

Tout administrateur système, responsable sécurité ou responsable informatique le sait probablement en analysant les rapports fournis par sa solution antivirale, le premier vecteur d’infection est la navigation internet. Malheureusement, après avoir mentionné ceci, on a tout et rien dit en raison du caractère trop généraliste utilisé.

Loin de se vouloir un descriptif complet de l’ensemble des méthodes d’infection par le web, ce billet a pour but de répondre aux interrogations du plus grand nombre sur le « pourquoi la navigation n’est pas toujours une activité sûre ».

Le scénario est en général assez classique pour la plupart des cas. Je ne parlerais donc pas dans ce billet des attaques très ciblées, mais de ces attaques de masse auxquelles on doit faire face au quotidien.

Le scénario le plus typiquement utilisé est le suivant :

(1) L’attaquant a besoin d’un site web sur lequel il peut déposer ses fichiers malveillants, on retrouvera ici beaucoup d’hébergeurs gratuits, et proposant des ressources dans des pays peu regardants sur le contenu hébergé, mais les pays occidentaux ne sont pas exempts, loin de là.

(2) Un site web légitime est identifié comme vulnérable aux attaques (typiquement Injection SQL dans un formulaire vulnérable).

(3) Le site web est attaqué afin d’inclure dans les pages légitimes le chargement des fichiers malveillants présents sur le serveur web mentionné en (1), grâce à du code javascript ou des balises Iframe

(4) Des visiteurs sur le site web légitime, mais infecté.

Avec cette « recette », l’attaquant peut donc tenter d’infecter tout visiteur peu ou mal protégé, et malheureusement, ça marche.

Afin de se protéger contre ces menaces, le filtrage d’URLs n’est pas suffisant car un site web peut très bien avoir une bonne réputation, et être néanmoins attaqué et porteur de code malveillant. Il est donc nécessaire de s’assurer que les solutions de protection de poste de travail, ainsi que les proxys déployés sont en mesure d’analyser le code téléchargé, et notamment de prendre en compte dans ses algorithmes de détection le code Javascript masqué.

En effet, Javascript peut etre écrit de manière très lisible, ou au contraire totalement illisible par l’oeil humain sans assistance. Les SophosLabs décrivent deux techniques de masquage du Javascript dans ces deux billets ici et ici (liens en Anglais).

Le but du masquage du Javascript étant de transformer la chaîne « Bonjour cher visiteur ! » en ceci afin de tenter de berner les moteurs de détection et ainsi porter l’infection jusqu’à son destinataire :

Un cheval de troie suspecté d’avoir contribué au crash de l’avion de la Spanair en 2008

Les autorités qui enquêtent sur le crash en 2008 d’un avion de la Spanair juste après son décollage de l’aéroport de Madrid lors d’un vol qui se voulait de routine entre Madrid et les Iles Canaries ont fait une découverte intéressante : l’ordinateur utilisé pour superviser les problèmes techniques de l’avion était infecté.

Ce crash est la pire catastrophe dans l’histoire de l’aviation espagnole depuis 25 ans, avec seulement 18 survivants.

Selon El Pais, un rapport interne de la compagnie mentionnerait qu’une machine située dans les locaux de la maison mère de la compagnie aérienne et qui aurait du identifier les problèmes de l’avion, était infectée.

Selon El Pais toujours, l’avion n’aurait pas du être autorisé à décoller si les problèmes avaient été identifiés. Le rapport final des enquêteurs ne devrait pas être disponible avant décembre, et il est possible que cette infection ne soit pas l’unique facteur ayant conduit au crash, ces derniers survenant la plupart du temps en raison d’une corrélation d’événements comme nous l’a malheureusement appris l’histoire de l’aviation.

Toutefois, la prochaine fois que vous entendrez quelqu’un vous dire que les auteurs de malwares ne font finalement pas grand chose de dangereux, peut-être vous souviendrez-vous de cette histoire.

CPLINK : après les fichiers LNK, voici les PIF, pages web et documents

L’actualité sur le 0-Day touchant les systèmes Windows permettant l’exécution de code sans intervention de l’utilisateur au travers de fichiers de raccourci (.LNK) ne cesse de s’étoffer et l’analyse de la vulnérabilité CVE-2010-2568 continuant, on découvre de nouvelles méthodes d’exploitation de la faille.

Cet exploit (que Sophos a nommé et détecte sous le nom de CPLINK) est désormais bien connu pour permettre l’exploitation via des clés USB, partages réseau et partages WebDav.

Le code permettant d’exploiter cette vulnérabilité a été publié, et Microsoft aucun correctif n’est disponible pour le moment. Microsoft conseille de désactiver le rendu graphique des icônes afin d’empêcher l’exploitation de la faille, toutefois le résultat pourrait résulter rapidement en des difficultés importantes d’utilisation du système (voir le blog de Chet W. pour plus d’information sur ce sujet (en anglais).

La nouveauté porte sur la dernière révision du bulletin de sécurité de Microsoft sur ce sujet. Il est en effet possible d’exploiter cette vulnérabilité via une page web malveillante, permettant donc l’infection lorsque l’utilisateur visite un site web malveillant ou compromis, ou encore via des fichiers de document. Parions que cet exploit fera prochainement partie des pages malveillantes utilisées pour les attaques BlackHat SEO.

Par ailleurs, les fichiers au format .PIF peuvent également être utilisés pour exploiter la vulnérabilité au même titre que les fichiers de raccourci .LNK.

Suivez les dernières nouvelles à propos de cette menace sur notre site dédié CPLINK (en anglais).

Raccourcis sur clés USB : un 0-Day Windows

Les ports USB de nos machines sont potentiellement dangereux, désormais presque tout le monde le sait, notamment depuis la vague d’infection de Conficker utilisant les médias amovibles pour se propager de système en système.

A la suite de cette infection, la capacité Autoplay de Windows a été très fortement remise en cause car ayant très largement contribué à la diffusion du ver.

Malheureusement, aujourd’hui une nouvelle menace semble peser sur les machines avec un 0-Day dans Windows permettant l’exécution de code sur un média amovible (typiquement une clé usb), même si l’Autorun et Autolay sont désactivés. Il est possible d’exécuter le code sans action de l’utilisateur.

Même s’il convient de ne pas s’alarmer outre-mesure, il faut néanmoins mesurer l’impact potentiel de cette faille. En effet, On connaît le risque associé à une propagation automatique de code malveillant via médias amovibles sans action utilisateur avec le triste retour d’expérience de l’infection Conficker, cette faille semble donc être réellement critique.

Les analyses de la faille et des codes malveillants relatifs est toujours en cours d’analyse, il s’agit d’une faille 0-Day non corrigée et actuellement exploitée pour la diffusion d’un rootkit que Sophos détecte en tant que W32/Stuxnet-B.

L’exploitation de cette faille semble venir de la manière pour Windows Explorer d’utiliser l’image lors de l’affichage d’un raccourci (.lnk). L’exploitation de cette vulnérabilité permet l’exécution de code depuis un fichier DLL afin d’implanter le malware dans le système.

Brian Krebs mentionne sur son blog (en Anglais) que la charge de ce rootkit serait de rechercher des informations spécifiques aux logiciels SCADA de Siemens. Il serait donc très ciblé sur des systèmes devenus aujourd’hui critiques dans notre vie quotidienne.

Combien de codes malveillants utiliseront cette faille pour se propager, c’est malheureusement la grande inconnue. Il est pourtant à parier qu’elle le sera, et si la vulnérabilité n’est pas corrigée à ce moment là, le risque est élevé. Je garde pour ma part les yeux tournés vers les futurs codes malveillants l’exploitant, mais également sur Microsoft pour la fourniture d’un correctif.

Si vous êtes client Sophos, je ne peux que vous recommander d’activer si ce n’est déjà fait les capacités de contrôle de périphériques de Sophos Endpoint Security & Control.

Smartphones : l’avis de la CNIL

Le sujet smartphones est récurent dans les discussion ayant attrait à la sécurité de l’information pour diverses raisons.

Les sujets sont variés, et tournent principalemlent autour de la capacité de ces terminaux à se protéger contre les codes malveillants et des moyens de protection existants, des applications un peu trop mais également sur la confidentialité des informations stockées et transitant par ces terminaux.

Les remarques de la CNIL dans cet article restent très généralistes, mais ont tout de même le mérite d’être claires. On notera en bloc les applications prenant peu ou pas en compte la confidentialité (localisation GPS, utilisant et « transmettant » des numéros de téléphone, etc.), et une mention spéciale pour les Blackberrys qui continuent à utiliser le réseau RIM pour la capacité push-mail.

La CNIL rappelle à juste titre que l’installation d’une application sur un terminal mobile n’est pas une action anodine, et peut avoir des conséquences néfastes en terme de sécurité si cette application est malveillante.

La CNIL nous rappelle au passage que le service de téléphonie mobile assuré par une entreprise française (typiquement votre flotte de mobiles) est soumis et doit se conformer à la loi Informatique et Libertés. La CNIL rappelle à cet effet qu’elle peut contrôler une entreprise dans ce contexte.

La problématique Smartphones est en fait complexe, et relève autant de la partie technologique que de la partie organisationnelle. L’idéal serait de pouvoir gérer la flotte de terminaux mobiles comme on gère le parc de machines bureautique et portables. Malheureusement, entre les terminaux gérés par l’informatique interne, les terminaux professionnels non gérés par l’informatique interne, et les terminaux personnels utilisés avec des puces GSM d’entreprise, le casse-tête des responsables sécurité n’a pas fini de faire couler de l’encre.

Des solutions existent aujourd’hui afin d’assurer un minimum de sécurité sur les terminaux mobiles. Blackberry propose la gestion des politiques de sécurité sur les terminaux déployés, Apple assure la protection des utilisateurs contre les applications malveillantes en auditant les applications disponibles sur l’Apple Store (ce qui ne protège pas les iPhones « jailbreakés » sur lesquels l’utilisateur peut installer une application sans passer par le service en ligne d’Apple), et il reste possible sur les terminaux Windows Mobile de gérer les applications d’entrerprise.

Reste toutefois les utilisations détournées qui sont faites de ces terminaux par les utilisateurs. Installation d’applications en tout genre qui peuvent compromettre la sécurité, utilisation du smartphone en média amovible qui fait courir un risque à vos données en cas de perte ou de vol du terminal …

En résumé, un terminal mobile doit impérativement être considéré comme une machine cliente. Il doit être clairement fait mention de l’utilisation des terminaux dans le cadre de la charte informatique et les limites imposées aux utilisateurs qu’il ne faut pas oublier de sensibiliser. Il est également impératif lors du choix de la flotte de smartphone de prendre en compte la gestion centralisée de la flotte, de sa protection en cas de perte ou de vol, et régulièrement auditer les applications installées sur ces derniers.

UnrealIRCd distribuait un backdoor depuis 9 mois

Bien embêtés les développeurs de UnrealIRCd en postant la nouvelle sur leur portail et sur le forum le 12 juin : leur code source contenait une porte dérobée depuis … novembre 2009 !

Les versions infectées par ce backdoor (connu sous le nom de Troj/UnIRC-A permettent aux attaquants d’exécuter n’importe quelle commande via l’utilisateur utilisé pour démarrer le démon d’UnrealIRCd.

On peut alors s’interroger sur comment une porte dérobée a pu être présente pendant aussi longtemps sans avoir été découverte, sachant que des techniques simples permettent de s’assurer de l’intégrité d’un code source avant son utilisation. On pourra noter notamment la publication de checksum ou les signatures numériques des fichiers mis à disposition.

Malheureusement, ces techniques n’avaient pas été mises en place par les développeurs d’UnrealIRCd. Il est louable qu’ils aient pris conscience de ce manquement et qu’ils signent désormais leurs archives systématiquement. Ceci doit en théorie permettre à toute personne utilisant un code source ou une archive compilée de vérifier qu’elle est bien intègre et non empoisonnée.

En pratique, bien peu de développeurs ou d’utilisateurs prennent la peine de vérifier ces signatures avant l’utilisation, ce qui leur fait courir un risque important. Pourtant il ne s’agit pas d’une étape longue ou fastidieuse, cela prend au plus quelques minutes le temps de récupérer la clé utilisée pour la signature.

Je ne peux parler malheureusement que de laxisme dans ce cas présent, tant des développeurs d’UnrealIRCd, que des utilisateurs en général. Leur cas n’est malheureusement pas isolé et pourrait se reproduire à l’avenir.

Si vous utilisez régulièrement les codes sources de logiciels, il faut impérativement – s’ils sont fournis – vérifier les signatures et les checksums des tarballs mis à disposition. Faites plus confiance à une signature numérique qu’à un checksum (qui la plupart du temps est hébergé sur le même répertoire, avec les mêmes droits que le tarball, et qui, si l’archive est compromise, il est facile de remplacer le checksum par une version correspondante à l’archive modifiée !)

Il est primordial de se rappeler que Windows n’est pas la seule plateforme vulnérable à des codes malveillants, et que la sécurité des systèmes doit être prise en compte pour toutes les plateformes que l’on utilise, et tous les logiciels que l’on utilise. Linux n’est pas exempt de codes malveillants, cet événement nous le rappelle une fois de plus.

Challenge iAWACS 2010, faut-il avoir peur ?

Que de Buzz autour du dernier challenge iAWACS ! « Les antivirus laissent passer presque toutes les attaques » selon mag-securs, il est vrai que cela peut faire frémir le néophyte.

Vous êtes nombreux à nous demander notre avis sur le résultat de ce challenge, nos commentaires et nos réactions, et c’est légitime. Nous nous attachons quotidiennement à vous protéger contre tout un panel de codes malveillants qui couteau entre les dents partent à l’assaut de vos machines afin de les compromettre, et apprendre par voie de presse et un titre très accrocheur que la protection apportée n’est en fait que peu efficace peut faire frémir ou tout au moins réagir.

J’ai pour ma part une opinion mitigée sur ce challenge, est-ce une bonne chose ou une mauvaise ?
Parmi les points positifs, on peut noter qu’il permet de rappeler à tout un chacun que les outils de protection n’apportent pas et n’apporteront probablement jamais à eux-seuls une protection 100% efficace et que croire qu’installer une protection sur tous les postes clients et serveurs suffit à rendre invulnérable une machine est à mon sens une mauvaise approche de la sécurité.

Le fait de rappeler à chacun qu’il faut être vigilent lorsqu’on utilise un ordinateur, qu’il est essentiel de se rappeler les règles de base de la sécurité informatique avant d’exécuter un programme inconnu, d’ouvrir une pièce jointe, d’échanger une clé USB est une bonne chose. L’éducation de l’utilisateur est un pré-requis essentiel à la construction d’une politique de sécurité viable. Vous pouvez d’ailleurs trouver beaucoup d’outils d’aide à l’éducation des utilisateurs ici.

Parmi les points négatifs, on peut noter l’effet d’annonce qui est quelque peu réducteur, et en mettant en avant quelques attaques ciblées ayant réussi et en ne rappelant pas que plusieurs dizaines de milliers de nouveaux codes malveillants sont découverts quotidiennement peut effrayer inutilement, ou même laisser penser à quelques-uns qu’installer une protection sur sa machine est inutile, laissant ainsi peu de chances à l’utilisateur de conserver sa machine exempte de codes malveillants pendant plus de quelques minutes (source : SANS.org ).

Juste un antivirus, rien de plus …

« Je veux juste un antivirus, rien d’autre ». C’est la citation qui revient très souvent lorsque je parle à des administrateurs système, ou des RSSI, et qui est la plupart du temps une méconnaissance des technologies de protection actuelle de nos chers postes clients, qui contiennent notre savoir-faire, nos fichiers sensibles, nos applications essentielles qui sont nous outils de travail d’aujourd’hui. Que vous soyez déjà conscient qu’il faut aujourd’hui bien plus pour se protéger efficacement ou que vous souhaitiez en savoir plus sur ce sujet, j’espère que vous trouverez dans ces quelques lignes les informations que vous recherchez, ou que vous pourrez les réutiliser afin d’éduquer efficacement le néophyte.

Le monde d’hier

Quand j’ai rejoint Sophos au début des années 2000, on parlait effectivement d’antivirus, et à raison. Les technologies de protection étaient des moteurs d’analyse qui recherchaient des signatures dans des fichiers lorsqu’ils étaient lus ou écrits. C’était à l’époque la course à la signature, et l’élément qui était déterminant pour connaître le meilleur antivirus du marché était la capacité des laboratoires à fournir une mise à jour pour un virus non détecté. En ces temps anciens, les virus, les vers et autres chevaux de troie étaient élaborés par de jeunes apprentis-sorciers en mal de reconnaissance, et qui signaient de leur pseudonyme leur création. On se rappellera la « fameuse loveletter » aussi appelé « lovebug », mais également « Nimda », « Sircam », « Bugbear », « Sasser », « Bagle », « Blaster ».

Ces codes ont tous un dénominateur commun, ils tentent d’infecter un maximum de machines en un minimum de temps afin d’avoir le maximum d’impact avant la publication de la sacro-sainte signature. Nimda utilisait une faille de IIS5 ou de PWS pour s’installer, et infectait les pages web, Blaster une faille RPC pour s’installer et rebootait nos machines quelques secondes après leur démarrage, ou leur redémarrage causant ainsi de grandes perturbations dans les réseaux entreprises et paniquait les utilisateurs à domicile qui ne savait plus précisément ce qu’il se passait avec leur ordinateur.

Cette époque est aujourd’hui révolue. Ce n’est plus la nature du phénomène actuel. Ce n’est plus le même débat ni les mêmes enjeux.

Le monde d’aujourd’hui … et de demain

Aujourd’hui, nous sommes quotidiennement confrontés à des codes malveillants toujours plus nombreux et élaborés. La capacité du code à se répliquer sur tout le système de fichiers et s’envoyer par email n’est plus le besoin de son créateur. Son créateur, ou plutôt son commanditaire d’ailleurs, a besoin de disposer d’un puissant outil qu’il commande à distance, qu’il peut implanter au cœur du plus grand nombre de systèmes afin de disposer de la plus grande force de frappe possible.

Les menaces d’aujourd’hui sont la plupart du temps commanditées par des personnes ayant besoin d’outils performants afin de répondre à leur besoin. Ce besoin peut être l’envoi de spam (Waledac), une attaque par DDoS (déni de service distribué) contre un concurrent, un site web institutionnel, un portail marchand, un gouvernement, ou encore de campagnes de phishing, de vol d’informations confidentielles dont des informations bancaires …

Les codes malveillants d’aujourd’hui ne sont pas conçus et exploités par les mêmes personnes. Le créateur de la menace n’est la plupart du temps pas sont utilisateur, mais il livre son « logiciel » à son client qui l’exploitera. Etre le créateur ou l’utilisateur de codes malveillants est bien évidemment totalement illégal, et peut être très sévèrement puni. De nombreuses personnes prennent toutefois quotidiennement ces risques, pour une raison simple : l’argent !

L’argent ? Eh bien oui, l’argent, (re-)découvrons comment …

Services clé en main

Le créateur vend son produit à l’utilisateur. L’utilisateur l’utilise afin de générer du revenu par le biais d’envoi de campagnes de spam massives. Revend ses services de déni de service à d’autres clients. Package ses offres « forfait envoi de 1 million de spams – 3000$ » , « débarrassez-vous de votre concurrent pour 48h – 2000$ ». Vous saisissez l’idée je pense.

Le problème qui nous concerne tous et qui vous concerne directement cher visiteur, c’est que l’outil de travail de ce commanditaire ou ce revendeur de services est installé sur vos machines. Vos chers ordinateurs qui sont vos outils de production et qui vous permettent de rendre votre société rentable ne sont plus forcément uniquement à vous, et rejoignent des réseaux de botnets comme de petits soldats attendant dans leur caserne qu’un ordre du commandement leur parvienne pour partir à l’assaut de leur cible(s).

C’est précisément la raison pour laquelle « juste un antivirus » n’est plus une solution à l’heure actuelle. Afin de protéger efficacement vos ordinateurs, serveurs et autres terminaux mobiles, il vous faut aujourd’hui bien plus. Il vous faut mettre en place des technologies de détection des codes malveillants pro-actives, qui seront capables de détecter les menaces qui vous impactent et qu’aucun anti-virus n’a jamais vu auparavant, mais même dans ce cas vous n’êtes pas suffisamment protégé car il n’est pas technologiquement possible à ce jour d’atteindre l’utopique, devrais-je dire le graal 100% de détection de protection pro-active sans jamais rien laisser passer, ne laisser s’exécuter sur ces machines que des codes légitimes.

Existe-t-il une bonne protection ?

Que faut-il faire alors me direz-vous si les solutions de protection sont imparfaites ? Et votre question est légitime, car s’il est vrai qu’aucune solution de protection n’est parfaite, elles sont tout de même essentielles, car fort heureusement tout n’est pas noir.
La plupart des codes malveillants restent détectés avant qu’ils ne vous impactent, avant que votre utilisateur n’aille sur son site web préféré qui a préalablement été piraté pour injecter du code malveillant exploitant une faille de navigateur. Et c’est sur ce point précis qu’il faut réfléchir.

Il est aujourd’hui indispensable de connaître la société à laquelle vous faites confiance pour protéger vos machines, de s’assurer qu’elle répondra présente lorsque vous serez confronté à un problème. Que ses laboratoires pourront mettre à jour la solution que vous utilisez afin de pouvoir remédier au problème. Que vous serez conseillé sur les meilleures configurations adaptées à vos environnements.

Par ailleurs, lorsqu’une infection se produit sur une machine, ou pire sur tout un réseau, c’est la plupart du temps en raison d’un manquement dans la chaîne de sécurité. Ce manquement peut être une mise à jour de l’anti-malwares trop laxiste ou non contrôlée, ou encore un patch critique non déployé. La plus grande infection que beaucoup ont connu ces derniers mois est due au vers Conficker. Conficker utilise une faille de sécurité critique de Windows pour se propager sur les réseaux. Avec un anti-malwares à jour ainsi que le correctif de sécurité installé sur tous les clients, le vers ne peut pas se propager, et pourtant, il est toujours dans le Top3 en décembre 2009, selon Virus Bulletin (http://www.virusbtn.com/resources/malwareDirectory/prevalence/index.xml?200912), soit 1 an après la découverte de la faille qu’il exploite !

Afin de vous armer au mieux face aux menaces d’aujourd’hui, et surtout celles de demain, il est essentiel de réduire la surface d’exposition. Ce point est plus souvent abordé d’un point de vue périmétrique (passerelle SMTP ou Web, pare-feu réseau …), mais bien peu sur le poste client. Et c’est pourtant là qu’est la plus grande faille … l’utilisateur. Ce pauvre utilisateur qui ne prend pas conscience des enjeux du clic malencontreux qu’il vient de réaliser, celui-là même qui va cliquer sur un lien commercial non sollicité (SPAM) pour acheter une montre de grande marque à 100$, celui-là même qui ne voit pas pourquoi il ne pourrait pas utiliser son navigateur web favori parce que vous n’en contrôlez pas la sécurité sur le réseau d’entreprise , et qui utilise la version portable de l’application qui n’est plus à jour depuis 6 mois, celui-là même qui est la victime la plus facile pour l’odieux prédateur d’une attaque SEO alors qu’il ne fait que rechercher une vidéo sur internet.

Cet utilisateur, il est aujourd’hui possible de l’aider à ne pas compromettre les sécurités que vous avez mis en place et que vous avez mis tant de temps à élaborer, en contrôlant les application qu’il est autorisé à lancer par exemple, ou en rendant l’accès au réseau impossible pour les applications non autorisées, en l’empêchant d’aller visiter un site particulièrement (et étonnamment) bien placé dans les résultats de recherche de son moteur préféré. En le prenant par la main afin qu’il ne se retrouve pas malgré lui comme l’initiateur de l’infection qui a monopolisé le helpdesk toute la dernière semaine pour désinfecter vos machines, et pour laquelle vous n’avez pas encore fini d’en débattre avec les demandes de sorties de listes noires qui vous empoisonnent et bloquent votre activité majoritairement basée sur l’utilisation de la messagerie.

Quelques statistiques

Avant de vous laisser retourner à vos activités, je vous propose de prendre connaissance d’un sondage récent réalisé par Sophos. On y constate notamment que si 98,07% des personnes ayant répondu souhaitent activer l’antivirus, on s’étonnera ici des 1,93% ayant répondu « non » ou « incertain », seules 48,65% envisagent d’activer les capacités HIPS. Ce chiffre est assez alarmant au regard des éléments que j’ai exposés plus haut.

Par ailleurs, lorsque l’on sait que de nombreux vers se transmettent par périphériques amovibles (dont Conficker exposé plus haut), seulement 47,3% pensent activer le contrôle de périphériques qui permet pourtant de prendre des mesures de protection pro-actives efficaces …