Rechercher :         
Sociétés Prestataires Carnet Formations Progiciels Encyclo Fonds Guide d'achat Téléchargement
Interviews

Vincent Gullotto et François Paget
Directeur des laboratoires Avert, accompagné de l'expert européen en en sécurité virus et antivirus
McAfee / Network Associates

"La vraie menace, c'est la prochaine génération de mass mailers"
          

Pour contrer la cohorte permanente de nouveaux codes malicieux, des experts des anti-virus travaillent dans l'ombre des laboratoires des éditeurs. C'est le quotidien de Vincent Gullotto, directeur au niveau mondial des laboratoires de recherche Avert (Anti-Virus emergency response team) de McAfee, dont la marque appartient à Network Associates, et de François Paget qui le seconde en Europe sur les codes les plus complexes. A l'heure où la rédaction de l'interview se termine, ce dernier vient enfin d'élaborer le correctif pour Magistr.B. Selon lui, il comporte "un certain nombre de technologies de débug qui rendent difficile la mise en place d'un éradicateur". Bref, un travail ardu et ingrat, mais aussi passionnant. Entretien avec ces curieux médecins, qui élaborent les vaccins des systèmes informatiques.

Propos recueillis par François Morel le 27 août 2001 .

JDNet Solutions: Selon vous, quelle est la plus grande menace aujourd'hui en terme de virus et autres codes malicieux ?
Vincent Gullotto: Je pense que le plus grand risque vient encore et toujours des virus de type mass mailing. Ce sont d'abord des menaces pour les utilisateurs finaux puis les PMEs, et enfin pour les utilisateurs des grandes entreprises qui sont déjà très protégées. La nouvelle menace correspond à la prochaine génération de mass mailers qui utilisent Internet, se mettent en veilleuse et continuent de se propager. Et nous en sommes seulement au tout début de ces attaques.

Que pensez-vous des virus polymorphes et chiffrés ? Ne sont-ils pas l'un des plus grands risques ?
V.G: Ils ne sont problématiques que dans la mesure où ils demandent plus de temps pour développer un vaccin. Mais ces menaces ne sont pas très nombreuses, car elles réclament à leurs programmeurs du temps pour les développer, ainsi que des habiletés particulières liées à un savoir assez pointu. Je dirais qu'une majorité de ces auteurs de codes malicieux ont un passé de programmation classique et sont capables de mettre les mains dans du code macro ou d'élaborer facilement de nouvelles variantes. Mais seul un tout petit pourcentage d'entre eux a les capacités de rapprocher des moteurs molymorphiques et de chiffrement.

François Paget
Expert en sécurité "virus et antivirus"

François Paget: Je dirais aussi que ce n'est pas une nouvelle menace en tant que telle. Dans toutes les familles de virus, nous avons vu des codes polymorphes chiffrés. Et le moteur polymorphe est parfois plus costaud que tout le reste. J'ai vu des virus où sur 50 Ko, il y avait 48 Ko de polymorphisme. Bien sûr cela nous donne du travail, mais ce n'est pas cela qui nous inquiète le plus. J'ai surtout l'impression que certains programmeurs de virus créent une montagne de code polymorphique, et ne voient pas une petite faille à côté que nous pouvons exploiter en 5 minutes pour le mettre hors-circuit. Pour tout vous dire, j'aurais dit en 1999 que c'était le problème numéro un. Aujourd'hui, cela occupe encore presque 100 % de mon temps car c'est ma spécialité, mais ce n'est plus vraiment l'une des principales menaces.

Les codes malicieux qui mêlent vers, virus et chevaux de Troie sont-ils en nette augmentation ?
V.G: Au cours des deux dernières années, les menaces sont devenues multidimensionnelles. De fait, les chercheurs de vers et de virus ont rencontré des codes qui se déplacent à travers le réseau et sont en même temps capables de voler des données. Il y a deux ans, nous avons intercepté un virus appelé Caligula, qui infectait la machine sous forme de macro Word et s'avérait capable de chercher les clefs PGP stockées dans les fichiers .PGP et .ASC. Une fois trouvées, il pouvait les renvoyer par e-mail. C'était un risque important mais les auteurs du virus avaient oublié la question du mot de passe. Et comme ils n'étaient pas capables de récupérer la clef publique, leur tentative n'a servi à rien.

Code Red et SirCam étaient-ils liés en quelque sorte d'un point de vue tactique ? Existe-t-il des virus qui coopèrent aussi sur la partie technique ?
V.G: Non je ne crois pas que Code Red et SirCam aient été liés, et je pense qu'il s'agit simplement de coïncidence. Maintenant, il existe 10 ou 12 de ces couples de virus dont vous parlez, mais aucun n'a connu une telle prolifération comme Code Red. En revanche, il existe une coopération entre les programmeurs de virus, et nous pouvons le dire d'après des informations que nous retrouvons à l'intérieur de codes sources. Dans la plupart des cas, si une telle collaboration existe, nous en sommes avisés. Et il ne faut pas oublier que les programmeurs de virus se connaissent généralement. Dans le code de W95/Champaign, par exemple, le programmeur saluait au passage les membres d'un groupe espagnol assez actif, et il y avait une chance non négligeable qu'ils lui ait apporté leur aide.

Pourquoi ce groupe espagnol n'a-t-il pas été arrêté ?
Et pourquoi n'arrête-t-on pas plus souvent les auteurs de ces codes malicieux ?
V.G: D'une part, il n'est pas toujours facile de les trouver. Et d'autre part, dans beaucoup de pays comme les Etats-Unis, ce n'est pas illégal d'écrire un virus. C'est le premier amendement à la constitution américaine au sujet de la libre expression qui veut cela.

F.P: En France, il n'est pas non plus interdit d'écrire un virus, mais toutes les lois existent pour punir leurs auteurs. Ce ne sont pas des lois qui ont été élaborées en particulier à leur encontre mais qui peuvent être utilisées dans ce cadre. Mais ce qui manque surtout, ce sont les plaintes des entreprises.

V.G: Oui, et je voudrais rajouter qu'établir la preuve est rarement facile. Il faut donc trouver d'autres moyens pour empêcher ces programmeurs de nuire. L'auteur de Melissa a pu être inculpé pour détournement de l'usage du système téléphonique, car il a pu être prouvé que ceci avait été fait dans un objectif de destruction. Et quand quelqu'un envoit un mail bomb (courrier explosif), ce qui permet des poursuites aux Etats-Unis est l'usage détourné du système postal.

Quel est le profil moyen (âge, motivations...) des auteurs de virus ? Ceux qui travaillent pour le compte de sociétés ou de gouvernements sont-ils plus nombreux qu'on ne le pense ?
V.G: Je pense que la grande majorité de ces programmeurs ont entre 16 et 35 ans, mais la plupart d'entre eux se situent plutôt entre 18 et 25 ans. Ce sont souvent des jeunes qui ont de réelles capacités sociales. Maintenant, je crois qu'il existe effectivement des hackers et des auteurs de virus qui travaillent pour le compte d'organisations. Mais ils sont peut-être moins nombreux que ceux qui sont en colère contre le gouvernement, contre leur employeur qui les a renvoyé, ou dont ils estiment qu'ils sont sous-payés. Ceci dit, je crois que ceux qui attaquent une société particulière emploient plutôt de vraies méthodes de hacking spécifiques au système cible.

Le fait de connaître à l'avance l'existence des "concours de virus" vous permet-il de mieux identifier les menaces ?
V.G: Nous ne savons pas toujours quand ces concours ont lieu. Et souvent, ce ne sont pas eux qui créent les plus grandes menaces, car le pire est souvent élaboré en privé. Si les programmeurs annoncent seulement à l'avance la tenue prochaine d'un concours, cela ne reste pas clair. Mais si nous connaissons l'historique des personnes qui y participent, que nous disposons d'exemples de leurs codes sources et que nous savons quel est le thème du concours, alors nous pouvons éventuellement travailler dessus proactivement.

Comment travaillez-vous avec les forces de l'ordre ?
V.G: Aux Etats-Unis, nous discutons avec les pouvoirs publics sous une forme protocolaire au sujet de nombreux vers et virus différents. S'ils le demandent, nous leur envoyons des éléments, et nous faisons remonter beaucoup d'informations au FBI. De leur côté, ils nous disent ce qu'ils ont trouvé et nous en envoient des parties si nous le demandons. Il existe une équipe spécialisée au sein du gouvernement.

F.P: En France, nous avons des relations moins formelles. Lorsque le ministère de l'intérieur ou la gendarmerie ont des questions à poser, nous échangeons des coups de téléphone ou des e-mails sécurisés chiffrés à l'aide de PGP (l'algorithme dont les droits sont détenus par Network Associates, ndlr). Cela arrive en particulier quand une entreprise dépose une plainte. Je n'échange jamais de virus avec l'administration, mais parfois des informations.

Existe-t-il des synergies entre les éditeurs d'antivirus ? Refusez-vous parfois aussi de travailler avec certains que vous ne jugeriez pas assez sérieux ?
V.G: Nous échangeons des informations de recherche et sur les quantités de virus observés avec d'autres responsables antivirus. Mais évidemment, nous n'échangeons pas nos technologies qui sont spécifiques d'un produit d'éditeur à un autre. Par exemple, cela peut-être "j'ai trouvé un octet chiffré et il se trouve à tel endroit dans le virus." Maintenant, il y en a qui font le choix de ne pas participer à ces échanges, et d'autres avec qui nous ne participons pas. Il existe à l'heure actuelle plus de 1 000 produits antivirus et seulement une dizaine d'éditeurs reconnus autour de 35 produits. Concernant ces derniers, je crois qu'ils sont tous sérieux. Mais j'ajouterais aussi que certains ne sont pas aussi sûrs lorsque l'on parle de la qualité de leurs produits.

F.P: En France, nous collaborons avec Marc Blanchard de Trend Micro, mais nous ne pouvons pas dire que nous travaillons avec Trend Micro. Les relations sont établies entre chercheurs et sont basées sur la confiance. Nous n'échangeons pas avec des personnes tant qu'elles ne sont pas respectées et dignes de confiance.

Les menaces touchant les utilisateurs mobiles sont-elles crédibles ?
V.G: Heureusement, il n'y en a pas beaucoup. C'est pourquoi nous ne les voyons pas comme actuelles mais comme potentielles. Nous croyons qu'il peut en exister de différentes formes, pour les téléphones mobiles d'un côté, et pour les assistants personnels de l'autre. En même temps, ces menaces ne seraient pas capables de s'étendre d'un type de terminal à un autre. Sur les assistants personnels, elles seraient plus similaires à ce que l'on peut rencontrer sur PC en raison du rapprochement des technologies. Si les mobiles commencent à s'appuyer sur des technologies similaires, comme le PalmPhone distribué par Sprint aux Etats-Unis, le risque peut se propager d'une plate-forme à une autre. Par exemple, les virus Palm peuvent aussi infecter les PalmPhones puisqu'ils ont le même système d'exploitation. Actuellement, les téléphones mobiles sont beaucoup plus affectés par les développements des standards de messages comme JS au Japon et SMS en Europe. Chez Network Associates, nous avons un autre laboratoire, McAfeeLabs, qui effectue spécifiquement des recherches sur les technologies mobiles et nous informe en terme de nouveautés et de technologies futures. A partir de là, nous développons proactivement chez Avert les éléments nécessaires que nous intégrons dans nos produits.

Ne croyez-vous pas qu'en installant des antivirus au niveau des backbones, ceux-ci pourraient bloquer tout trafic malicieux ?
V.G: Les opérateurs utilisent beaucoup les produits que nous développons aujourd'hui. Mais pour CodeRed par exemple, je pense que le réseau est trop complexe et quand un virus bouge aussi vite, ce n'est pas un antivirus au niveau des backbones qui pourrait stopper l'infection. Un étudiant de l'université de Berkeley (USA) a d'ailleurs écrit un article sur une menace potentielle de ver intitulée Warhol qui pourrait mettre à mal tous les ordinateurs reliés à Internet en seulement 15 minutes. Non seulement cela ne pourrait pas fonctionner, mais en plus je ne suis pas forcément d'accord avec ce type de papier qui pourrait inciter les personnes à réfléchir sur la façon d'y arriver. Mais pour en revenir aux antivirus au niveau des backbones, certains sont probablement en train d'étudier le sujet.

Pour les utilisateurs, quel est selon vous la meilleure protection possible ?
V.G: Evidemment, les éditeurs comme nous doivent commencer par là avant de s'intéresser aux backbones. Pour Avert, cela consiste à être capable de développer des technologies qui comprennent les comportements des virus sur les systèmes en veillant sur des événements spécifiques. Par exemple, si un code malicieux attaque une page web et lui envoit 6 500 ou 8 000 requêtes par jour, l'ISP le saura mais rien ne change dans ses opérations. C'est pourquoi la technologie doit être développée pour traquer les éléments et les comportements qui peuvent être différents de la normalité. D'un point de vue utilisateurs, enfin, ceux-ci doivent enfin commencer à comprendre qu'il faut s'appuyer sur des personnes qui ont prouvé leur sérieux et leurs compétences. Mais en général, les utilisateurs n'ont pas assez d'informations et ne sont pas suffisamment éduqués.


Depuis 4 ans, Vincent Gullotto assume la fonction de directeur de McAfee Avert, la division correspondant au laboratoire de recherche antivirale de Network Associates. Fondateur de cette équipe, il est notamment à l'origine de plusieurs services et solutions dont le scanner antivirus résident sur l'Internet WebImmune. Titulaire d'une licence de sciences de l'université de Phoenix, il a occupé auparavant des postes à responsabilités chez deux éditeurs de logiciels. Conférencier de renom, il est également membre du conseil d'administration d'une société pionnière sur le marché des logiciels de messagerie vocale.

Entré chez McAfee en 1993, François Paget est chargé en Europe de l'analyse des nouveaux virus, de leur identification et de la mise à disposition de modules de détection et d'éradication, au titre d'expert en sécurité informatique "virus et antivirus". En parallèle, il est membre de l'EICAR (European institute of computer anti-virus research) et de la WildList qui compte en tout 57 professionnels avec pour but de recenser tous les virus dans la nature. En 1991, il animait le "Groupe Virus" au sein du Clusif, puis fonde en 1992 l'association Recif (Recherches et études sur la criminalité informatique française) dont il devient président en 1994.

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY



Gratuit - L'actualité des technologies
e-business
Toutes nos newsletters
 
 
 
 
 
 
Logiciels libres
Retours d'expérience, panorama, analyses.
Sommaire
 
Failles de sécurité
Vulnérabilités des logiciels & évaluation des risques.
Sommaire
 
 

Les entreprises de l'Internet
Plus de 5000 sociétés référencées

Les prestataires
Plus de 2600 prestataires

Les fonds
Plus de 100 fiches descriptives

Le carnet des managers Internet
Plus de 1500 dirigeants

Guide des solutions
Plus de 310 briques logicielles