La protection des PC

La protection des PC
relancée par l’affaire Panama Papers

Prévenir la fuite de fichiers et les cyberattaques incombe à l’anti-malware de nouvelle génération. Il contrôle en continu les applications exécutées, les accès au Web et aux périphériques.

« Nos serveurs sont hébergés chez nous et dotés de moyens de chiffrement les plus puissants », affirme sur son site web le cabinet juridique Mossack Fonseca. La précaution est louable mais elle n’a pas freiné la sortie des Panama Papers au grand jour, une fuite record révélant l’évasion fiscale de nombreux élus, de célébrités et de leurs proches. L’exploitation d’une vulnérabilité du serveur de messagerie reste l’hypothèse la plus évoquée. Mais avec un volume total de 2,6 téraoctets, les dossiers panaméens orientent plutôt l’analyse vers l’expédition de disques durs chiffrés par un lanceur d’alerte anonyme. A elle seule, l’analyse des 11,5 millions de documents a exigé la coordination pendant un an de 400 journalistes dans le monde et l’usage de solutions Big Data pour croiser 4,8 millions d’e-mails, 2,1 millions de documents PDF et 3 millions de fichiers de bases de données.

La protection des ordinateurs en réseau redevient la priorité des cabinets juridiques. Dans ce domaine, de nombreux administrateurs se contentent encore d’un simple pare-feu réseau, estimant que sa configuration adéquate protège l’ensemble du parc micro. Pourtant, aussi avancé soit-il, le firewall du réseau local ne garantit pas l’intégrité de tous les terminaux connectés.

Détecter le ransomware sur les PC Windows

« Actuellement, nos prospects et clients souhaitent vérifier si leur anti-malware protège bien l’ensemble de leur parc informatique. On enregistre un net regain d’intérêt pour la protection des PC sous Windows car c’est encore de ces ordinateurs que proviennent la plupart des attaques, lorsqu’un utilisateur clique sur une pièce jointe sans se douter qu’elle est malveillante », explique Benoît Grunemwald, le directeur marketing et commercial d’Eset France.

Depuis quelques mois, les ransomwares (rançongiciels) atteignent aussi les systèmes sous linux et Mac OSX, et les administrateurs de parcs hétérogènes redoutent cette diffusion. « CryptoLocker et ses variantes prennent en ôtage les données du micro-ordinateur. Ils chiffrent vos fichiers avant de vous réclamer une rançon pour les déchiffrer. Il faut acquérir une bonne connaissance de leurs mécanismes car ils prennent des proportions énormes. Tout le marché est touché, TPE, PME et professions libérales comprises », prévient-il.

L’éditeur pointe les rebonds possibles entre terminaux connectés. Il recommande d’associer anti-malware, filtrage Web et pare-feu sur chaque poste client susceptible de rejoindre le réseau. Une combinaison délicate à intégrer sans provoquer de pics d’appels au support technique.

L’évolution fulgurante des codes néfastes provient d’une adaptation continue de leurs codes confrontés aux divers outils de détection déployés. « Lorsqu’ils ont pris le contrôle d’ordinateurs mal protégés, les pirates exploitent des botnets en quête de sessions TSE (Terminal Server Edition) ouvertes à tous les vents. Une attaque par force brute conduit alors au chiffrement de fichiers sensibles du PC ou de répertoires entiers d’un serveur », décrit Benoît Grunemwald. Pour lui, désormais, l’attaque se présente débarrassée de toute charge nocive afin que l’antivirus ne voit qu’un composant inoffensif. Mais une fois exécuté, son code télécharge depuis un serveur externe une charge nocive, déclenchée ultérieurement. « Heureusement, les hackers innovent moins sur les mécanismes de communication entre clients et serveurs. D’où l’importance de mettre en œuvre une analyse des flux en temps réel sur chaque PC, pour tracer les échanges et révéler toute suspicion d’attaque ou d’hameçonnage », explique-t-il.

Mener des analyses en temps réel

La virtualisation des postes clients et des serveurs a changé la sécurisation des services délivrés, observe Denis Chauvicourt, ingénieur supervision chez Orsenna : « L’entreprise ne maîtrise plus où sont stockées toutes ses données. Pour limiter la propagation d’informations sensibles, elle mène donc simultanément plusieurs types d’analyses ».

Les outils de supervision d’Ipswitch, Paessler, Solarwinds ou le programme libre Nagios XI qu’il intègre inspectent les flux et services jusqu’aux réseaux, là où l’anti-malware scrute seulement les entrées/sorties, les applications et librairies sur PC. D’autres examens systèmes, menés au niveau de l’hyperviseur puis des machines virtuelles, contribuent à prévenir les intrusions et le racket numérique : « Une contre-mesure efficace doit apporter une protection permanente, s’adapter aux environnements physiques et virtuels et faciliter le maintien en conformité », confirme Edouard Viot, le responsable marketing produit de Stormshield, un pionnier français de la lutte contre les attaques ciblées APT (Advanced Persistent Threat), rootkits et keyloggers.

Le marché de la protection des terminaux devient très disputé. Quelques codes Open Source fournissent des fonctions anti-virales (ClamAV, chrootkit) ou IPS (Ossec, Snort, Suricata). Davantage de protections sont réunies par les éditeurs propriétaires tels Carbon Black, Checkpoint, Eset, FireEye, F-Secure, i-Guard, Kaspersky, Sophos, StormShield, Symantec, Trend Micro ou Webroot. L’administration de ces logiciels s’effectue à partir d’un navigateur web connecté à un serveur installé dans l’entreprise ou à un ensemble de services SaaS exploités par l’éditeur. La suspicion d’intrusions s’établit à partir de signatures réseaux ou d’observations mutualisées, souvent à l’échelle mondiale.

Responsabiliser les utilisateurs

Le logiciel DatAlert de Varonis Systems détecte et bloque les menaces internes, l’escalade indésirable de privilèges et le ransomware Cryptolocker. Son framework de classification de données compare les contenus sensibles de l’entreprise aux zones d’exposition des systèmes de fichiers des serveurs.

Bien sûr, la formation des utilisateurs demeure essentielle, notamment pour remplacer les mots de passe trop faibles d’accès aux ressources distantes. Les administrateurs doivent aussi veiller à détruire les comptes périmés et à réserver les sessions de travail en tant qu’administrateur aux seules opérations de maintenance.

Les éditeurs conseillent encore de préserver les sauvegardes de fichiers en lieu sûr et hors connexion pour les restaurer en cas d’attaque. Ils recommandent de fixer des règles d’usage tout en responsabilisant l’utilisateur final : « Lorsqu’il est sur le point d’utiliser un média amovible non approuvé par la société, l’utilisateur est invité par Eset à prendre ses responsabilités, il pourra poursuivre son action d’un simple clic, mais le programme l’informe qu’une alerte sera transmise à l’administrateur pour un éventuel contrôle de conformité », signale Benoît Grunemwald.

 

Un clavier sécurisé pour identifier le collaborateur

Le clavier « intelligent » avec lecteur de cartes à puce intégré va-t-il remplacer le modèle avec lecteur d’empreinte digitale ?

 

Trop de dossiers ouverts à tous les utilisateurs

Peu d’entreprises identifient les contenus réglementés présents sur l’ensemble de leurs PC, numéros de carte de crédit ou enregistrements médicaux inclus. Une enquête menée par Varonis Systems auprès de grands comptes révèle un niveau d’exposition trop élevé des systèmes de fichiers en réseau. En moyenne, 9,9 millions de fichiers sont accessibles par collaborateur, tous postes confondus. Environ 28 % des dossiers sont ouverts à tous, la permission de groupe « tout le monde » étant activée pour 1,1 million de dossiers. Cet accès en masse facilite le vol de données par les pirates. Enfin, l’archivage et le nettoyage des serveurs de fichiers sont perfectibles, puisque 70 % des dossiers contiennent des données périmées, sans le moindre accès depuis six mois.