211service.com
L'ère des antivirus est révolue
Il y a deux semaines aujourd'hui, les laboratoires de sécurité informatique de L'Iran , Russie , et Hongrie a annoncé la découverte de Flame, le malware le plus complexe jamais découvert, selon le laboratoire hongrois CrySyS.
Depuis au moins deux ans, Flame copie des documents et enregistre l'audio, les frappes, le trafic réseau et les appels Skype, et prend des captures d'écran d'ordinateurs infectés. Ces informations ont été transmises à l'un des nombreux serveurs de commande et de contrôle exploités par ses créateurs. Pendant tout ce temps, aucun logiciel de sécurité n'a sonné l'alarme.
Flame n'est que le dernier d'une série d'incidents qui suggèrent que les logiciels antivirus conventionnels sont un moyen dépassé de protéger les ordinateurs contre les logiciels malveillants. Flame a été un échec pour l'industrie antivirus, Mikko Hypponen, le fondateur et directeur de la recherche de la société antivirus F-Secure, a écrit La semaine dernière. On aurait vraiment dû faire mieux. Mais nous ne l'avons pas fait. Nous étions hors de notre ligue, dans notre propre jeu.
Les programmes qui sont la clé de voûte de la sécurité informatique pour les entreprises, les gouvernements et les consommateurs fonctionnent comme le logiciel antivirus sur les PC grand public. Les menaces sont détectées en comparant le code des programmes logiciels et leur activité à une base de données de signatures de logiciels malveillants connus. Les sociétés de sécurité telles que F-Secure et McAfee recherchent en permanence des rapports sur les nouveaux logiciels malveillants et mettent à jour leurs listes de signatures en conséquence. Le résultat est censé être un mur impénétrable qui empêche les méchants d'entrer.
Cependant, ces dernières années, des attaques très médiatisées contre non seulement le gouvernement iranien, mais aussi le gouvernement des États-Unis ont eu lieu à l'aide de logiciels qui, comme Flame, étaient capables de dépasser les logiciels basés sur des signatures. De nombreuses entreprises américaines techniquement sophistiquées, dont Google et la société de sécurité informatique RSA, ont été ciblées de manière similaire, mais avec des logiciels malveillants moins coûteux, pour leurs secrets d'entreprise. Les petites entreprises sont également régulièrement compromises, selon les experts.
Certains experts et entreprises disent maintenant qu'il est temps de rétrograder la protection de type antivirus. Cela fait toujours partie intégrante [de la défense contre les logiciels malveillants], mais ce ne sera pas la seule chose, dit Nicolas Christin , chercheur à l'Université Carnegie Mellon. Nous devons cesser d'essayer de construire des lignes Maginot qui semblent à l'épreuve des balles mais qui sont en fait faciles à contourner.
Christin et plusieurs startups de sécurité de premier plan travaillent sur de nouvelles stratégies de défense pour rendre les attaques plus difficiles et même permettre à ceux qui sont ciblés de riposter.
L'industrie a eu tort de se concentrer sur les outils des attaquants, les exploits, qui sont très changeants, explique Dmitri Alperovitch, directeur de la technologie et cofondateur de FouleGrève , une startup californienne fondée par des vétérans de l'industrie antivirus qui a reçu 26 millions de dollars de financement d'investissement. Nous devons nous concentrer sur le tireur, pas sur l'arme – la tactique, les parties humaines de l'opération, sont les moins évolutives.
CrowdStrike n'est pas prêt à rendre publics les détails de sa technologie, mais Alperovitch dit que la société prévoit d'offrir une sorte de système d'alerte intelligent qui peut détecter même des attaques complètement nouvelles et retracer leurs origines.
Ce type d'approche est possible, explique Alperovitch, car, même si un attaquant pourrait facilement modifier le code d'un virus comme Flame pour échapper une fois de plus aux antivirus, il aurait toujours le même objectif : accéder et extraire des données précieuses. L'entreprise affirme que sa technologie reposera sur des données volumineuses, ce qui signifie peut-être qu'elle analysera de grandes quantités de données liées à de nombreuses traces d'activité sur le système d'un client pour déterminer lesquelles pourraient provenir d'un infiltré.
Christin, de Carnegie Mellon, qui a récemment enquêté sur les motivations économiques et les modèles commerciaux des cyber-attaquants, dit que cela a du sens. Le coût humain de ces attaques sophistiquées est l'un des plus importants, dit-il. Déjouer une attaque ne consiste plus à neutraliser un morceau de code d'un génie solitaire, mais à vaincre des groupes de personnes qualifiées. Il faut des experts dans leur domaine qui peuvent aussi collaborer avec d'autres, et ils sont rares, précise Christin. Un logiciel de défense qui peut bloquer les tactiques les plus courantes rend la tâche encore plus difficile pour les attaquants, dit-il.
D'autres entreprises ont commencé à parler en des termes similaires. Cela remonte au slogan des forces de l'ordre des années 80 : « Le crime ne paie pas », déclare Sumit Agarwal, cofondateur de Sécurité de la forme , une autre startup californienne qui est récemment sortie du mode furtif. La société bénéficie d'un financement de 6 millions de dollars de l'ancien PDG de Google, Eric Schmidt, entre autres. L'entreprise d'Agarwal garde également le silence sur sa technologie, mais elle vise à augmenter le coût d'une cyberattaque par rapport aux bénéfices économiques, ce qui ne vaut donc pas la peine de la mener à bien.
Une entreprise avec une approche similaire est Mykonos Software, qui a développé une technologie qui aide à protéger les sites Web en faisant perdre du temps aux pirates informatiques pour fausser l'économie d'une attaque . Mykonos a été racheté par la société de réseautage Juniper plus tôt cette année .
Les sociétés d'antivirus ont rapidement souligné que Flame n'était pas un virus informatique ordinaire. Il venait du monde riche en ressources de l'espionnage international. Mais de telles cyber-armes causent des dommages collatéraux (le ver Stuxnet ciblé sur le programme nucléaire iranien a en fait infecté environ 100 000 ordinateurs), et les caractéristiques de leurs conceptions sont adoptées par des criminels et des groupes moins riches.
Jamais autant de milliards de dollars de technologies de défense ne sont tombés dans le domaine public, déclare Agarwal de Shape Security. Alors que l'armée américaine met tout en œuvre pour empêcher que des avions ou des sous-marins ne tombent entre les mains d'autrui, des logiciels malveillants militaires tels que Flame ou Stuxnet sont à la disposition de tous, dit-il.
Agarwal et Alperovitch de CrowdStrike affirment tous deux que le résultat est une nouvelle classe de logiciels malveillants utilisée contre des entreprises américaines de toutes tailles. Alperovitch prétend savoir que des cabinets d'avocats relativement petits sont attaqués par des concurrents plus importants et que des entreprises de technologies vertes de moins de 100 employés ont des secrets ciblés.
Alperovitch affirme que son entreprise permettra aux victimes de riposter, dans les limites de la loi, en identifiant également la source des attaques. Le piratage serait illégal, mais il existe des mesures que vous pouvez prendre contre les personnes bénéficiant de vos données qui augmentent les coûts commerciaux des attaquants, dit-il. Il s'agit notamment de demander au gouvernement de soulever une affaire auprès de l'Organisation mondiale du commerce, ou de rendre public ce qui s'est passé pour faire honte aux auteurs d'espionnage industriel, dit-il.
Les recherches de Christin et d'autres universitaires ont montré qu'il existe des points d'étranglement qui pourraient permettre une action en justice relativement simple pour neutraliser les opérations de cybercriminalité. Christin et ses collègues ont examiné les escroqueries qui manipulent les résultats de recherche pour promouvoir des pharmacies illicites et ont conclu que la plupart pouvaient être arrêtées en réprimant seulement une poignée de services qui redirigent les visiteurs d'une page Web à une autre. Et des chercheurs de l'Université de Californie à San Diego ont montré l'année dernière que les revenus de la plupart des spams dans le monde ne transitent que par trois banques. L'intervention la plus efficace contre le spam serait de fermer ces banques ou d'introduire une nouvelle réglementation, explique Christin. Ces systèmes complexes ont souvent des points concentrés sur lesquels vous pouvez vous concentrer et rendent très coûteuse la réalisation de ces attaques.
Mais Agarwal prévient que même les représailles dans le cadre de la loi peuvent être mal jugées : imaginez que vous êtes une grande entreprise et que vous vous retrouvez accidentellement sur le chemin de la mafia russe. Vous pouvez susciter un problème plus important que prévu.