Voir aussi
Dossier: Virus, l'actualité de la menace
Réaction: Le droit de réponse de Tegam

"Présenter Good Luck comme 'l'arme absolue des cyberterroristes', c'est tout simplement n'importe quoi". Voilà en substance les propos des pros de la sécurité anti-virus que l'on pouvait lire hier dans des mailing lists et des groupes de discussions comme fr.comp.securite.virus. Des propos tenus en réaction à l'habile communication d'un éditeur français d'anti-virus, à savoir Tegam, concernant un "nouveau" cheval de Troie.

Nous avons nous-même cité cet éditeur dans notre article sur son "rapport confidentiel" à propos d'un cheval de Troie de "nouvelle génération", document auquel nous n'avons pu accéder et sur le contenu duquel Marc Dotan, son P-D.G. a savamment entretenu le mystère. Interrogé par nos soins, Pascal Lointier, vice-président et responsable de la commission "Menaces" du Clusif (Club de la sécurité des systèmes d'informations français), avait ramené le débat à sa juste proportion : "des chevaux de Troie, on peut en concevoir à façon mais il n'y a rien de nouveau à cela".

Trojan de "nouvelle génération" ou "hoax" fantôme ?
"Good Luck", le nom donné donc à ce cheval de Troie par l'éditeur français dans son rapport selon notre confrère de la presse écrite repris à la radio, reste tout à fait mystérieux. Qui plus est, une incertitude subsiste quant à la mise en pratique réelle de ce trojan fantôme, puisqu'il s'agit de "faisabilité" selon l'effet d'annonce que nous avions reçu la semaine dernière. "Je trouve lamentable de faire circuler des informations de ce type", nous a affirmé mercredi matin François Paget, expert en sécurité anti-virus au sein des laboratoires Avert de McAfee, filiale de Network Associates. "Je n'ai pas eu accès à ce document qui est en liste fermée, mais à la lecture de la presse, je vois là tous les ingrédients du hoax."

En d'autres termes, un hoax est une fausse nouvelle qui se propage en se servant d'une vulnérabilité humaine bien connue : la peur de la menace. Cette fois-ci, elle se trouve diffusée à l'aide de pratiques marketing plutôt douteuses cherchant à susciter la curiosité. Le fait de laisser planer un doute sur un secret qu'il n'est pas possible d'évoquer par téléphone en est un exemple.

La position de Tegam ? Une politique dangereuse...
Or, selon nos sources depuis la publication de notre précédent article, ledit rapport se décomposerait en deux chapîtres : 1. l'état de l'art des vers, des virus et des chevaux de Troie, et 2. Viguard comme solution à tous les problèmes. Bref, de la publicité, mensongère de surcroît. En effet, en sécurité - qu'elle soit logique ou physique -, il n'existe pas de solution à tous les problèmes. Sinon, cela se saurait probablement et constituerait un véritable frein au piratage, mais aussi au marché des solutions de sécurité qui ne s'arrêtent pas à l'antivirus. De fil en aiguille, le slogan est éminemment discutable, puisqu'il revient à dire qu'il suffit d'installer un logiciel pour se protéger de tous les maux. Or, une politique de sécurité s'avère beaucoup plus complexe que cela. Ce que ne niait pas par ailleurs Marc Dotan lors de notre entretien téléphonique, mais qui ne transparaît pas à travers certains écrits de sa société.

Si hier, nous avons cherché à produire quelques pistes quant aux tactiques employées par des auteurs de certains chevaux de Troie, aujourd'hui la problématique est un peu différente. Il s'agit de traduire le tort causé par ces fausses nouvelles à la sécurité, et à la crédibilité de l'information en matière de sécurité. Sur ce dernier point, le risque est aussi très clair. Se détournant par dépit des sources officielles suite à une erreur médiatisée, des utilisateurs peuvent prêter le flanc à de nouvelles vagues d'attaques. Or, chacun sait que la sécurité est aussi affaire de veille continue sur des sources fiables. Pour les professionnels, les médias ne sont qu'un moyen d'alerter une population plus vaste d'utilisateurs.

Réactions en chaîne de la communauté des experts
Nous avons contacté plusieurs RSSI et spécialistes de la sécurité français pour les confronter aux "informations" diffusées, et recueillir leur position officielle en tant que personnes. Peu ont eu le fameux document entre les mains, mais beaucoup ont été indignés de la tournure prise par les événements. Voici, dans le désordre, quelques réactions que nous avons obtenues :

Dans le même esprit que Pascal Lointier du Clusif, "la vraie question porte sur un trojan que vous et moi ne pourrions pas détecter sur nos machines pendant suffisamment longtemps pour qu'il fasse son travail. Et ça, il en sort tous les jours", rappelle un ingénieur en sécurité d'un grand industriel français. Qui ajoute à propos de Tegam que "en interdisant à l'utilisateur d'installer des programmes, [...] on interdit aussi à un intrus de cacher son Super-Trojan sur votre disque à votre insu. C'est ce qu'on peut obtenir aussi avec une politique de sécurité très sévère, relayée par exemple par l'OS (Windows 2000 et plus) ou des outils comme Poledit. Mais on est loin de la protection anti-virus, car protéger un système isolé n'est pas franchement une prouesse."

L'un des trois Cert (Computer emergency response team) français nous transfère ce qu'il nous dit avoir fait parvenir à ses clients : "Les médias (journaux nationaux et radios) ont annoncé aujourd'hui l'arrivée d'un nouveau type de virus 'totalement invisible' et 'très destructeur', appelé 'Good Luck'. En fait, ce virus n'existe pas, ou plus exactement, il s'agit d'une étude 'prospective' d'un éditeur anti-virus qui veut mettre en avant les dangers du virus 'parfait', issu d'études purement théoriques, qui s'appellerait 'Good Luck'. Inutile donc, dans l'immédiat, de s'inquiéter à propos de ce nouveau virus."

Un expert apparaîssant souvent dans les mailing lists, très remonté, nous fait savoir que sa position officielle est que "Tegam avait déjà l'habitude de faire de la publicité mensongère et du dénigrement des produits concurrents, dans le cas présent il fait un coup publicitaire. Je peux vous assurer que le dernier antivirus capable de détecter un cheval de Troie est bien un antivirus tout générique."

Et puis, nous avons déjà cité en introduction François Paget, qui nous rappelle au passage que "McAfee est aussi pourvu d'un moteur de détection heuristique pour l'analyse en temps réel", en plus de sa base de signatures. Et il n'est pas le seul, puisque aujourd'hui, aussi bien F-Secure qui intègre trois moteurs dont celui d'AVP, que Trend Micro et Symantec ont complété leurs offres de la sorte. Et, de fait, il paraît bien plus efficace d'avoir plusieurs méthodes de détection qu'une seule, même poussée à l'extrême.