L’organisation de la lutte anti-virale passe par la mise en place d’outils de détection et de prévention depuis le poste de travail jusqu’à la passerelle Internet. Il est possible d’identifier quatre niveaux concentriques de risque : le poste de travail et les ressources propres à l’utilisateur, les ressources partagées, les passerelles (réseau et messagerie) et le monde extérieur, hors du périmètre de l’entreprise. L’anti-virus comme seule parade aux virus informatiques actuels ne suffit plus. En effet, certains virus/vers utilisent de nouvelles méthodes de propagation et d’action : par exemple, ils ne résident qu’en mémoire vive et se propagent via le flux Internet, ils exploitent des failles liées au système d’exploitation et au réseau, ils s’associent à des outils de piratage ou utilisent la technique du « spam » pour initialiser leur propagation.
* Les ressources propres à l’utilisateur. La protection du poste de travail est déterminante. Chaque poste de travail doit être muni de son anti-virus. Même si le virus pénètre la passerelle Internet dans un format non reconnu, même s’il n’est pas détecté sur le serveur, il doit être intercepté avant que l’utilisateur n’ait son poste infecté.
Maintenir à jour le logiciel anti-virus de la station de travail est l’une des tâches les plus ardues de l’administrateur système. Ceci est spécialement le cas sur les équipements nomades qui ne sont pas connectés en permanence au réseau. Il est aussi impératif de pouvoir verrouiller la configuration choisie afin d’éviter une modification de la configuration ou une désactivation volontaire ou involontaire de l’anti-virus.
Associé à l’anti-virus, le pare-feu personnel est indispensable sur un poste portable. Il permet le passage sélectif des flux d’information entre la machine et le réseau interne et/ou public. On le trouve également sur des postes d’exploitation (process) qui sont interfacés avec les automates ou les applications de fabrication industrielle ; et pour lesquels, le déploiement de correctifs est délicat de façon automatique en raison des conditions d’exploitation. Le pare-feu personnel s’installe directement sur la machine de l’utilisateur, qu’il soit un particulier ou un employé « nomade » de l’entreprise. Il va de soi que les mises à jour critiques qui s’appliquent au système d’exploitation doivent être appliquées de manière rigoureuse.
* Les ressources partagées. L’application des mises à jours critiques, des correctifs (« patchs ») et des mises à jour applicatives ou systèmes s’étendent aussi aux ressources partagées. Rappelons qu’il est très fortement déconseillé de naviguer sur Internet à partir d’un serveur. Ce procédé semble très pratique pour récupérer un correctif, consulter une base de connaissances, mais il vaut mieux le faire d’une autre station, et obliger les intervenants extérieurs à faire de même. Même si l’anti-virus risque d’induire une dégradation dans la vitesse du trafic, celui-ci est fortement conseillé en entrée/sortie des serveurs de données. Les périphériques modernes et les PABX actuels peuvent contenir un système d’exploitation vulnérable et faire l’objet d’attaques de tous ordres, y compris virales.
* Les passerelles. A la porte d’un monde qui peut s’avérer hostile, la mise en place d’un anti-virus et d’un architecture de pare-feu est ici de la plus grande importance. Ces équipements complèteront les dispositifs précédemment décrits en protégeant le réseau interne de l’entreprise lorsque celui-ci débouche vers l’extérieur. On peut citer les anti-virus pour passerelles (qui doivent prendre en compte les flux de messagerie instantanée ou ceux des téléchargements poste à poste ou encore de la téléphonie sur IP), les solutions de contrôle de contenu (avec analyse lexicale par mots clés dans les mails ou dans les URL), les logiciels anti-spam et les systèmes de détection d’intrusions. Afin de donner à leur solution plus de réactivité lorsqu’une attaque surgit, certains éditeurs ont décidé de transformer leur offre en IPS (Intrusion Prevention System) et axent leur technologie vers la prévention proactive, capable de réagir en temps réel lorsqu’une anomalie est détectée ou qu’une intrusion est avérée. L’équipement fonctionne selon des règles de comportement et de signatures d’attaques : il surveille les attaques en dépassement de tampon (buffer overflow), les élévations de privilèges, les chargements en mémoire, les modifications critiques du système d’exploitation, l’utilisation excessive du CPU, la diminution soudaine de la bande passante, etc.
* Le monde extérieur. Tout ordinateur domestique est une source potentielle d’attaque au regard du virus qu’il est susceptible de contenir : le virus peut contenir un module d’attaque ciblant votre entreprise, et il peut retrouver sur la machine des URL et adresses de messagerie qui vous correspondent. Des scanners de vulnérabilité peuvent permettre de faire un audit en évaluant la résistance des machines au sein d’un réseau protégé. Un outil efficace doit savoir détecter les failles et préconiser des solutions.
L’importance de la politique de paramétrage
Les procédures automatiques doivent se calquer sur la périodicité des mises à disposition de mises à jour par le fournisseur de l’anti-virus installé. Seule cette acceptation peut permettre une réactivité suffisante face aux menaces actuelles. Ces mises à jour automatiques pourront se faire de manière ordonnancée en privilégiant le périmètre et les serveurs vitaux. Encore une fois, en prenant en compte le systèmes d’exploitation, les applications et tous les équipements critiques présents : routeurs, imprimantes, antivirus, pare-feux, etc. Comme pour tout déploiement logiciel, une procédure de test incluant la non régression vis-à-vis de l’environnement d’exploitation permettra d’éviter le sur-accident d’un dysfonctionnement bloquant une ressource ou le réseau.
Les virus s’attaquent souvent à des logiciels ou à leurs failles, ils s’introduisent parfois par le biais de fonctionnalités inutilisées en environnement professionnel. D’une manière générale, les installations « standards » des systèmes d’exploitation sont singulièrement vulnérables. Retirer certaines fonctionnalités « grand public » telles que le partage de fichier ou le partage de bureau « Netmeeting » permet d’obtenir des postes plus performants et moins sensibles aux virus. Par ailleurs, les correctifs à appliquer en sont d’autant moins nombreux et la gestion du parc s’en retrouve affermie.
Le paramétrage des applications, en particulier la navigation Internet et la messagerie, doit faire l’objet de procédures scrupuleuses. Rappelons que dans les premières heures d’apparition d’un virus, les anti-virus sont parfois inefficaces. Le principe de prudence serait de rendre « passive » une navigation sur Internet, et de n’accepter que le contenu actif (Java, scripts, ActiveX, cookies) de sites choisis. Ce paramétrage pouvant être bloquant sur certains sites mal développés, l’utilisateur doit être formé. Le client de messagerie standard Microsoft étant basé sur le paramétrage de sécurité du navigateur, on voit bien l’importance de ce type d’action.
Cette défense en profondeur constitue une opportunité pour le déploiement d’une politique de correctifs qui intègre une phase de test, la surveillance des failles au niveau systèmes d’exploitation et applications mais aussi, qui prend en compte l’ensemble des équipements et ressources présents sur le réseau… routeurs, imprimantes, solutions de sécurité (antivirus, parefeu). L’aspect humain entre également en jeu : le fait de désactiver l’anti-virus doit être présenté comme une faute grave.
Cet article a été rédigé par Pascal Lointier, Président du Clusif.