Jeudi 27 avril se tiendra à l'hôtel Sofitel
de Paris le forum
E-Business et Sécurité 2000 à l'occasion
d'un tour d'Europe organisé par Cisco et ses partenaires
Trend Micro, KPMG, RSA Security et DataMonitor. Au cours
de cette journée, à laquelle l'inscription
est gratuite, de nombreux thèmes seront abordés
dans le contexte de la recrudescence des attaques et de
leur dangerosité croissante. Les intervenants, tous
acteurs dans le domaine de la sécurité, espèrent
ainsi agir sur la prise de conscience des entreprises et
des individus quant à la nécessité
de se protéger. Afin d'entamer un tour de la question,
Stéphane Le Hir, P-DG de la filiale française
de l'éditeur d'antivirus Trend
Micro, décrit les codes malicieux et les réponses
que l'on peut y apporter. Des conseils qui pourraient s'avérer
fort utiles...
Propos recueillis le 14 avril 2000 par François
Morel
JI:
Quelle est la plus grande menace
pour les entreprises qui exploitent des sites Internet ?
Stéphane Le Hir : C'est réellement
de détruire complètement leur site, de le
contaminer et de le rendre contaminant pour les utilisateurs.
Si ces derniers vivent une mauvaise expérience sur
le site, ils ne risquent pas de revenir aussitôt.
L'entreprise accuse une perte immédiate qui est peut-être
plus importante qu'un arrêt de service. Il existe
un réel souci à partir du moment où
les sites de commerce électronique ne sont plus capables
de garantir que les données sont saines. Techniquement,
il suffit par exemple d'une page contenant du code Java
conçu pour détruire ou voler des informations.
Le dommage qui en résulte peut produire un effet
boule de neige et les dégâts sont quasiment
irrémédiables.
Quel
est votre challenge sur le plan technique ?
Pour
nous, la difficulté tient dans la réactivité.
Nous avons vu apparaître des virus qui se sont propagés
à une vitesse fulgurante. Notre challenge technologique
est d'y apporter une réponse dans le temps le plus
court possible, c'est-à-dire en général
quelques heures. Cette fuite en avant nous oblige à
décupler nos moyens, et à nous focaliser uniquement
sur cette activité. Plus vite on se penche sur le
problème, plus vite le mal est éradiqué.
En général, il faut attendre qu'il
y ait des malades pour constater l'épidémie.
Dès que le constat est réalisé, notre
laboratoire développe et fournit le meilleur vaccin.
Avec le virus Melissa, les entreprises ont dû en quelques
heures stopper tous leurs serveurs de messagerie. Nous avons
élaboré la solution en 45 minutes. Nous
disposons aujourd'hui d'une cinquantaine de "virus
doctors". C'est la plus grosse équipe mondiale
de chercheurs capables de traiter les virus très
rapidement.
Peut-on
prévenir ces incidents à l'aide d'une bonne
stratégie ?
Les
solutions n'interviennent pas seulement sur le plan technique,
mais aussi dans la sensibilisation des personnels et des
utilisateurs à certains mécanismes anormaux,
en leur donnant le réflexe d'alerter les bonnes personnes
le moment venu. C'est une prise de conscience générale,
et non seulement l'implémentation d'un produit unique,
qui permet aussi de se protéger. En cas d'incendie,
les personnes présentes doivent être sensibilisées
au problème, sinon cela ne sert à rien de
mettre en place des mesures de sécurité.
Pour une alerte virale, l'entreprise doit aussi réagir
rapidement, avant d'entrer dans un mode panique. Nous avons
très souvent accueilli des clients qui en étaient
arrivés à ce stade car ils n'avaient pas respecté
un certain nombre d'étapes organisationnelles. Parmi
celles-ci, beaucoup de questions sont fondamentales : "Que
faut-il faire avec un virus ? A qui dois-je le transférer
? Où se trouve l'antidote ? Comment l'appliquer convenablement
?...". Face à Melissa, ceux qui s'étaient
bien organisés ne craignent plus aujourd'hui de débordements.
Les autres continuent d'en avoir. Quand
les codes malicieux se propageaient sur les disquettes,
il était facile d'enrayer une épidémie.
Aujourd'hui, avec Internet, les méthodes classiques
ne fonctionnent plus.
Où
en est la prise de conscience ?
Elle
se fait progressivement suite aux récentes attaques
de DoS (Denial of Service) qui se sont produites ces derniers
temps contre d'importants sites comme Yahoo et eBay, et
suite à la dernière vague d'attaques virales.
L'antivirus est un effort constant, et pas seulement un
simple logiciel qu'on installe et qu'on oublie. Ces derniers
temps, nous avons senti la différence. De très
gros sites commerciaux s'équipent en ce moment de
nos outils.
Comment
éviter les attaques de type DoS (Denial of Service)
?
Celles-ci
sont aujourd'hui pratiquées par le biais d'outils,
d'agents logiciels qui transitent par les flux de données.
Nous connaissons un certain nombre de ces agents au même
titre que les virus. Le cheval de troie Back Orifice 2000,
par exemple, est traité comme un virus et nous pouvons
l'éradiquer à la volée. A l'aéroport,
le firewall (pare-feu) joue le rôle de la douane en
contrôlant les entrées et les sorties. Mais
il est aussi indispensable de scanner les bagages. C'est
ce que nous faisons avec les flux de données pour
détecter s'il y a du code malicieux véhiculé
à l'insu ou non de l'utilisateur.
Les
risques provenant de l'intérieur de l'entreprise
sont-ils importants ?
Il
est vrai qu'aujourd'hui, les risques internes sont plus
forts que les externes, et représentent au moins
60 % du danger. Un salarié peut ramener de chez
lui du code corrompu sans le faire exprès, en s'envoyant
par exemple un document de travail. La même caractéristique
se reproduit pour les attaques, mais les objectifs ne sont
pas les mêmes que depuis l'extérieur. Le système
qui gère les payes, par exemple, a plus de chance
d'être piraté de l'intérieur.
Mais la nouveauté, c'est que les risques externes
prennent de plus en plus le pas avec le monde viral. Il
existe en ce moment même des codes malicieux qui peuvent
paralyser un ou plusieurs sites à la fois. Pour nous,
le risque existe à tous les niveaux car nous devons
protéger à la fois les portes d'entrée
et de sortie. Et ainsi, nous protégeons l'image de
marque de l'entreprise vis à vis de l'extérieur.
Venons-en
aux nouvelles menaces : le virus 911 de type Firkin qui
peut saturer d'appels un centre de contacts préfigure-t-il
l'arrivée des codes malicieux sur les réseaux
de téléphonie ?
A
partir du moment où ces réseaux communiqueront
avec des interfaces utilisateurs intelligentes dotées
d'automatismes incorporés, comme des terminaux équipés
de systèmes d'exploitation, il est tout à
fait envisageable de concevoir du code malicieux dans des
macros ou du code de commande. Cela dit, il est peu probable
qu'il s'agissent d'un virus, car l'une des propriétés
de ce dernier est de se répliquer tout seul. Le code
malicieux ne va pas, quant à lui, se propager à
l'infini mais pourrait s'insérer à travers
des interfaces intelligentes pour accomplir des actions
non souhaitées à la base.
Le
protocole WAP qui permet de disposer d'Internet sur les
téléphones mobiles est-il vulnérable ?
Jusqu'à
présent, nous n'avons eu vent que d'une seule alerte
qui semblait concerner le constructeur de téléphones
mobiles Nokia. Cette rumeur, fondée ou non, faisait
état de l'arrivée d'un message d'un certain
type auquel il ne fallait pas répondre sinon le téléphone
était reparamétré par une sorte de
virus. Le protocole WAP s'appuie sur du code logiciel, alors
pourquoi du code malin ne viendrait-il pas s'y insérer
? Il y a quelques années, certaines personnes juraient
que les fichiers de données ne pouvaient pas transporter
des virus, et aujourd'hui, il en existe des milliers comme
ceux qui infectent les macros de Word ou Excel.
Verra-t-on
un jour des virus collés dans des fichiers "purs"
de données comme le format d'images JPeg ?
Aujourd'hui, il n'en existe pas
un seul. Demain, cela pourrait arriver si le format JPeg
se mettait à incorporer des macros commandes. Mais
en réalité, tout est envisageable. Nous
sommes parfois dans le domaine de la science-fiction.
En laboratoire, il nous est arrivé de voir un certain
nombre de technologies surprenantes voire même inquiétantes.
Nous suivons l'actualité en regardant de très
près les nouvelles technologies. Nous sommes conscients
qu'il
va falloir évoluer en fonction de la menace,
et que nous allons fournir un travail de plus en plus
important.
Quels
conseils de sécurité donneriez-vous aux entreprises
?
Il est important de se former aux
nouvelles méthodes de protection virale, et de choisir
le bon antivirus adapté à sa propre configuration.
Ce choix s'effectue en fonction des points potentiels d'entrée
du virus ou du code malicieux sur le réseau, qui
sont au départ Internet, la messagerie et le réseau
interne. Or, comme les points d'entrée se multiplient
avec l'ouverture de l'entreprise vers l'extérieur,
il est encore plus important de protéger en amont
plutôt qu'en aval, sinon on se fait déborder
très rapidement. Le meilleur produit du marché
ne sert à rien sans une stratégie associée.
Y
aura-t-il une suite au forum que vous organisez, en terme
de partenariats entre les différents organisateurs
comme Cisco, mais aussi KPMG ou RSA ?
Oui, c'est clair. Notre partenariat
s'étend déjà avec Cisco. Nous avons
aussi signé un certain nombre d'accords avec d'autres
éditeurs dans le domaine de la sécurité.
Nos produits s'intègrent à des applications
ISS pour gérer les intrusions, et des outils de
gestion d'infrastructure comme ceux de Hewlett-Packard
et Microsoft. Il y a un grand intérêt pour
l'utilisateur à nouer des relations avec les acteurs
de la sécurité. Vis à vis de KPMG,
nous n'avons pas pour l'instant de coopération
particulière mais nous en serions tout à
fait ravis. Nous ne sommes jamais fermés à
ce type de démarche. Trend Micro n'a pas la prétention
de maîtriser la sécurité. Notre métier
ne répond qu'à une partie de l'ensemble
des problématiques que constitue la sécurité.
Comme les autres besoins doivent aussi être couverts,
nous devons nous associer
avec les différents acteurs pour pouvoir intégrer
nos technologies aux autres solutions du marché.
Fraîchement
diplômé de l'IUT de Lannion en 1989, section
informatique, Stéphane Le Hir intègre
rapidement Olivetti en qualité d'ingénieur
système et architecte réseau, au sein des
équipes support et technico-commerciales dédiées
aux solutions réseaux. En 1993, il quitte le constructeur
de PC italien, et rejoint brièvement le distributeur
de logiciels réseaux DataWave au poste de directeur
technique. Un an plus tard, il se lance et crée
sa propre société, Informanage France, consacrée
à la vente
indirecte de logiciels pour manager les réseaux.
A la fin de l'année 1996, Stéphane Le Hir
entre en contact avec l'éditeur d'antivirus Trend
Micro, qui lui propose de diriger sa filiale française.
En acceptant, il en construit toute la structure et recrute
de nombreux collaborateurs.
La société Trend Micro, dont le siège
se situe actuellement au Japon a été fondée
simultanément aux Etats-Unis et au Canada en 1988.
Aujourd'hui, elle dispose également d'une forte
présence en Europe grâce aux recrutements
effectués depuis l'ouverture de ses filiales, et
à un parc de clients croissant notamment parmi
les grands comptes.