Mardi 24 octobre 2017
NASDAQ : 6586.8262 42.2271   nasdaq0.64 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

La réputation, nouvelle arme contre les pirates

Imprimer Envoyer à un ami Contacter la rédaction
Par Jérôme Saiz le 30/01/2008 - indexel.net
 
Lci_pirate_informatique

Dans la course aux nouvelles méthodes d'identification des menaces informatiques, la réputation d'un serveur permet d'anticiper les attaques à venir. Utilisée dans la lutte contre le spam, la technique s'impose aussi sur le web contre les codes malveillants.

 

Qui a déjà péché pèchera à nouveau. C'est en tout cas ce qu'estiment les éditeurs qui investissent désormais dans la technique de défense antivirale basée sur la réputation. Le principe est déjà bien connu des acteurs du monde de l'anti-spam comme Secure Computing avec TrustedSource ou Cisco avec IronPort SenderBase. Ces derniers conservent pour chaque courrier électronique qu'ils voient passer (plusieurs milliards chaque jour) des informations telles que le serveur et le pays d'origine, le réseau sur lequel il est hébergé et de nombreux autres critères. Ils sont alors en mesure d'indiquer si un courrier provenant de telle adresse IP est potentiellement du spam en se fiant à son historique. 

Un site web malveillant sur dix

Le secret, bien entendu, consiste à disposer d'une généreuse source de courriers qui se chiffre en pourcentages du volume quotidien d'e-mails échangés dans le monde) et à avoir accumulé les informations durant de longues années. "Il y a encore cinq ans, les techniques de réputation n'étaient efficaces qu'à environ 10 %. Aujourd'hui il est possible de rejeter 95 % du spam sur la seule réputation de son système d'origine", explique Paul Henry (photo), vice-président de Secure Computing.

Bien au point pour traquer les e-mails, la technique de la réputation s'immisce maintenant dans le web. Et pour cause : la majorité des infections sont désormais causées par la visite d'un site web plutôt que l'ouverture d'un e-mail infecté. Une étude publiée cette année par Google révélait que sur un échantillon des sites présents dans son index - et donc susceptibles d'être proposés en réponse à une requête -, ses ingénieurs avaient découvert que 10 % d'entre eux étaient des sites malveillants qui tentaient d'installer un code malicieux à la volée.

De multiples critères pour dresser le profil des sites

De tels sites ont comme caractéristique essentielle de ne pas vivre vieux. Leurs noms de domaines sont déposés en masse quelques jours seulement avant d'être utilisés, et ils changent non seulement rapidement d'adresse, mais aussi de parasite à distribuer, afin de rendre plus difficile la détection du code malicieux par un antivirus traditionnel à base de signatures. "Auparavant les virus ne changeaient pas aussi rapidement. Aujourd'hui, un site web infectieux va être opérationnel quelques heures, voire quelques minutes. Il se mettra ensuite à diffuser une nouvelle version de son code malveillant ou disparaîtra entièrement pour réapparaître ailleurs", confirme David Perry (photo), responsable des projets d'information chez Trend Micro.

Appliquée aux sites web, la technique de réputation permet d'émettre un avis sur le site visité avant même de le laisser dialoguer avec le navigateur, source habituelle d'infection. Pour cela, les fournisseurs de solutions de réputation web (Websense, Trend Micro ou Secure Computing) prennent en compte des critères tels que l'adresse IP du serveur, le nom de domaine utilisé, les coordonnées fournies lors du dépôt de ce dernier (souvent fausses, mais néanmoins parfois parlantes), le réseau sur lequel le serveur est hébergé, son datacenter ou encore depuis combien de temps le nom de domaine existe. Trend Micro indique relever environ cinquante critères de ce type pour dresser le profil d'un site web.

Associer réputation et protection traditionnelle

De telles solutions nécessitent un accès à la plate-forme du fournisseur d'accès à internet afin d'obtenir le "score" de chaque URL visitée, car elles ne sont donc pas efficaces hors-ligne. L"éditeur du site, lui, doit avoir investi dans une architecture robuste : Websense affirme baser ses scores de réputation sur les 650 millions de  sites web visités chaque semaine et en conserver l'historique sur quatre ans. Trend Micro - dont le service ne remonte qu'à l'été dernier - indiquait déjà traiter trois milliards de requêtes par jour pour une base de données de trois téraoctets. "On ne peut pas s'improviser fournisseur de scoring sur internet. Il faut non seulement des moyens adaptés, mais surtout une antériorité dans ce domaine", explique Dominique Loiselet (photo), PDG de Websense France.

Le ticket d'entrée pour d'éventuels nouveaux acteurs est ainsi relativement élevé. Trend Micro reconnaît un investissement de 75 millions de dollars pour la seule plate-forme technique (400 serveurs). En revanche, pour les solutions de réputation e-mail, la transition vers le web est plus simple : Secure Computing exploite déjà sa technologie au sein du pare-feu de ses boîtiers UTM ou ses passerelles WebWasher, par exemple. Tous ces acteurs, cependant, associent la réputation à une protection plus traditionnelle : ThreatSeeker pour Websense (analyse du comportement des codes malicieux servis par les sites web visités), l'antivirus traditionnel pour Trend Micro et l'ensemble des filtres du boîtier UTM ou le filtrage URL de WebWasher pour SecureComputing. "On ne peut pas se reposer uniquement sur le scoring. Il faut voir cette technologie comme un outil utilisé par défaut lorsqu'on ne sait rien dire d'autre", relativise Dominique Loiselet.

Les principaux outils de défense antivirale basés sur la réputation :

Editeur
Solution
Caractéristiques
Websense
Websense Enterprise, Websense Security Suite
La réputation web complète l'analyse du contenu des sites réalisé par l'éditeur.
Trend Micro
Web Reputation Services
Services inclus dans OfficeScan et la passerelle antivirus pour l'entreprise.
Secure Computing
WebWasher (Web), TrustedSource (anti-spam)
La technologie est utilisée aussi bien pour le filtrage d'URL que l'antispam.
Cisco
IronPort SenderBase
Exclusivement destiné à la lutte antispam.
McAfee
SiteAdvisor
Service de réputation web encore distinct du moteur antivirus.
Grisoft
LinkScanner
Solution issue du rachat de Exploit Prevention Labs, sera aussi intégrée à l'antivirus AVG.)

LIRE AUSSI
 
Partager :
LIRE AUSSI
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages