Voir
aussi
Dossier: Virus,
l'actualité de la menace
Réaction:
Le
droit de réponse de Tegam
"Présenter
Good Luck comme 'l'arme absolue des cyberterroristes',
c'est tout simplement n'importe quoi". Voilà
en substance les propos des pros de la sécurité
anti-virus que l'on pouvait lire hier dans des mailing
lists et des groupes de discussions comme fr.comp.securite.virus.
Des propos tenus en réaction à l'habile
communication d'un éditeur français d'anti-virus,
à savoir Tegam, concernant un "nouveau"
cheval de Troie.
Nous avons nous-même cité cet éditeur
dans notre article
sur son "rapport confidentiel" à propos
d'un cheval de Troie de "nouvelle génération",
document auquel nous n'avons pu accéder et sur
le contenu duquel Marc Dotan, son P-D.G. a savamment
entretenu le mystère. Interrogé par nos
soins, Pascal Lointier, vice-président et responsable
de la commission "Menaces" du Clusif
(Club de la sécurité des systèmes
d'informations français), avait ramené
le débat à sa juste proportion :
"des chevaux de Troie, on peut en concevoir à façon
mais il n'y a rien de nouveau à cela".
Trojan de "nouvelle génération"
ou "hoax" fantôme ?
"Good Luck", le nom donné donc à
ce cheval de Troie par l'éditeur français
dans son rapport selon notre confrère de la presse
écrite repris à la radio, reste tout à
fait mystérieux.
Qui
plus est, une incertitude subsiste quant à la
mise en pratique réelle de ce trojan fantôme,
puisqu'il s'agit de "faisabilité" selon
l'effet d'annonce que nous avions reçu la semaine
dernière. "Je trouve lamentable de faire
circuler des informations de ce type", nous a affirmé
mercredi matin François Paget, expert en sécurité
anti-virus au sein des laboratoires Avert de McAfee,
filiale de Network Associates. "Je n'ai pas eu
accès à ce document qui est en liste fermée,
mais à la lecture de la presse, je vois là
tous les ingrédients du hoax."
En d'autres termes, un hoax est une fausse nouvelle
qui se propage en se servant d'une vulnérabilité
humaine bien connue : la peur de la menace. Cette fois-ci,
elle se trouve diffusée à l'aide de pratiques
marketing plutôt douteuses cherchant à
susciter la curiosité. Le fait de laisser planer
un doute sur un secret qu'il n'est pas possible d'évoquer
par téléphone en est un exemple.
La
position de Tegam ? Une politique dangereuse...
Or, selon
nos sources depuis la publication de notre précédent
article, ledit rapport se décomposerait en deux
chapîtres : 1. l'état de l'art des vers,
des virus et des chevaux de Troie, et 2. Viguard comme
solution à tous les problèmes. Bref, de
la publicité, mensongère de surcroît.
En
effet, en sécurité - qu'elle soit
logique ou physique -, il n'existe pas de solution
à tous les problèmes. Sinon, cela se saurait
probablement et constituerait un véritable frein
au piratage, mais aussi au marché des solutions
de sécurité qui ne s'arrêtent pas
à l'antivirus. De fil en aiguille, le slogan
est éminemment discutable, puisqu'il revient
à dire qu'il suffit d'installer un logiciel pour
se protéger de tous les maux. Or, une politique
de sécurité s'avère beaucoup plus
complexe que cela. Ce que ne niait pas par ailleurs
Marc Dotan lors de notre entretien téléphonique,
mais qui ne transparaît pas à travers certains
écrits de sa société.
Si hier,
nous avons cherché à produire quelques
pistes quant aux tactiques employées par des
auteurs de certains chevaux de Troie, aujourd'hui la
problématique est un peu différente. Il
s'agit de traduire le tort causé par ces fausses
nouvelles à la sécurité, et à
la crédibilité de l'information en matière
de sécurité. Sur ce dernier point, le
risque est aussi très clair. Se détournant
par dépit des sources officielles suite à
une erreur médiatisée, des utilisateurs
peuvent prêter le flanc à de nouvelles
vagues d'attaques. Or, chacun sait que la sécurité
est aussi affaire de veille continue sur des sources
fiables. Pour les professionnels, les médias
ne sont qu'un moyen d'alerter une population plus vaste
d'utilisateurs.
Réactions en chaîne
de la communauté des experts
Nous
avons contacté plusieurs RSSI et spécialistes
de la sécurité français pour les
confronter aux "informations" diffusées,
et recueillir leur position officielle en tant que personnes.
Peu ont eu le fameux document entre les mains, mais
beaucoup ont été indignés de la
tournure prise par les événements. Voici,
dans le désordre, quelques réactions que
nous avons obtenues :
Dans le même esprit que Pascal Lointier du Clusif,
"la vraie question porte sur un trojan que vous
et moi ne pourrions pas détecter sur nos machines pendant
suffisamment longtemps pour qu'il fasse son travail.
Et ça, il en sort tous les jours", rappelle un
ingénieur en sécurité d'un grand
industriel français. Qui ajoute à propos
de Tegam que "en interdisant à l'utilisateur d'installer
des programmes, [...] on interdit aussi à un intrus
de cacher son Super-Trojan sur votre disque à votre
insu. C'est ce qu'on peut obtenir aussi avec une politique
de sécurité très sévère, relayée par exemple par l'OS
(Windows 2000 et plus) ou des outils comme Poledit.
Mais on est loin de la protection anti-virus, car protéger
un système isolé n'est pas franchement une prouesse."
L'un des trois Cert (Computer emergency response team)
français nous transfère ce qu'il nous
dit avoir fait parvenir à ses clients :
"Les médias (journaux nationaux et radios) ont annoncé
aujourd'hui l'arrivée d'un nouveau type de virus 'totalement
invisible' et 'très destructeur', appelé 'Good Luck'.
En fait, ce virus n'existe pas, ou plus exactement,
il s'agit d'une étude 'prospective' d'un éditeur anti-virus
qui veut mettre en avant les dangers du virus 'parfait',
issu d'études purement théoriques, qui s'appellerait
'Good Luck'. Inutile donc, dans l'immédiat, de s'inquiéter
à propos de ce nouveau virus."
Un expert apparaîssant souvent dans les mailing
lists, très remonté, nous fait savoir
que sa position officielle est que "Tegam avait
déjà l'habitude de faire de la publicité mensongère
et du dénigrement des produits concurrents, dans le
cas présent il fait un coup publicitaire. Je peux vous
assurer que le dernier antivirus capable de détecter
un cheval de Troie est bien un antivirus tout générique."
Et puis, nous avons déjà cité en
introduction François Paget, qui nous rappelle
au passage que "McAfee est aussi pourvu d'un moteur
de détection heuristique
pour l'analyse en temps réel", en plus de
sa base de signatures. Et il n'est pas le seul, puisque
aujourd'hui, aussi bien F-Secure qui intègre
trois moteurs dont celui d'AVP, que Trend Micro et Symantec
ont complété leurs offres de la sorte.
Et, de fait, il paraît bien plus efficace d'avoir
plusieurs méthodes de détection qu'une
seule, même poussée à l'extrême.
|