Les mises à jour de mon antivirus sont installées, je suis en sécurité !

L’univers des malwares était beaucoup plus simple il y a 20 ans.

En effet, en recevant la disquette mensuelle de mise à jour de votre antivirus, vous pouviez vous considérer relativement en sécurité (en partant du principe, bien sûr, que vous aviez pris le temps d’ouvrir l’enveloppe et d’installer cette mise à jour !).

Aujourd’hui, en revanche, nous vivons dans un monde beaucoup plus complexe quand il s’agit de cybersécurité.

Néanmoins, j’entends souvent des gens poser la même question qu’ils auraient certainement posée il y a 20 ans : “quelle est la dernière version du logiciel ?”, et “quelle est le dernier fichier d’identité que vous ayez mis à disposition ?”.

J’insiste ici pour dire qu’avoir la dernière version du logiciel avec des mises à jour régulières et en temps réel est une partie cruciale de la cybersécurité moderne. En revanche j’ai un vrai problème lorsque seules ces questions ci sont posées.

Voici le scénario typique :

Un utilisateur appelé Stéphane a un virus sur son ordinateur. Il pense qu’il doit s’agir d’une menace zero-day car il est passé au travers de son antivirus et pourtant il est sûr d’utiliser la dernière version.

Stéphane comprend qu’aucun fournisseur d’antivirus ne peut garantir une sécurité de 100%, il considère donc cet événement comme ponctuel. Il vérifie que tous ces ordinateurs utilisent les dernières versions et qu’ils ont téléchargé les dernières mises à jour vis-à-vis des menaces potentielles. Il est content de voir que tout est en ordre et retourne donc travailler.

Le jour suivant, une nouvelle attaque ponctuelle survient…

Pourquoi cette nouvelle attaque est apparue ? Est-ce que Stéphane est la cible d’un gang de cybercriminels ? Doit-il changer son fournisseur d’antivirus ?

La vérité est que la sécurité est constituée de différents niveaux de menaces. Ainsi, en vous assurant d’avoir installé les dernières versions et mises à jour vous ne vous concentrez en réalité que sur l’un de ces niveaux de menaces.

Cependant ce fait n’est pas nouveau. Imaginez que vous êtes en train de construire un château. Vous sentiriez vous en totale sécurité en ne construisant que les murs ? Vous allez certainement envisager de rajouter des douves, des remparts, des soldats, des catapultes, un pont-levis, et ainsi de suite … ?

A présent, imaginez que vous êtes Stéphane et que vous utilisez un nouveau logiciel antivirus de dernière génération et dernier cri.

Etes-vous en sécurité si :

Vous pouvez certainement rajouter encore d’autres exemples à cette liste.

A présent, imaginez que Stéphane ait adopté une approche plus proactive vis à vis de ces récentes menaces.

Il sait que ces attaques n’ont pas été détectées par son ordinateur, cependant il n’est pas sûr que son antivirus utilise effectivement les meilleures pratiques actuelles, ainsi il revérifie tous les réglages et corrige quelques erreurs commises par ses prédécesseurs.

Ensuite il regarde plus en détail le premier virus, celui qui lui est parvenu par email.

Il s’agissait en réalité d’un document Word avec une macro qui s’exécutait automatiquement lors de l’ouverture du fichier. Ainsi il a changé les paramètres afin de stopper l’exécution des macros, sans un message d’avertissement préalable.

Le deuxième virus, il l’a aussi reçu par email, cependant il s’agissait d’un fichier JavaScript. Pour traiter ce problème il a changé des réglages Windows afin d’autoriser l’ouverture des fichiers .JS dans Notepad par défaut. Il a aussi paramétré le contrôle des applications afin d’empêcher les fichiers JavaScript d’être exécutés sur sa machine.

Ensuite, il a vérifié son produit email gateway. Ce dernier avait été upgradé récemment, mais il s’est aperçu que certaines fonctionnalités de sécurité, associées au produit, n’avaient pas été encore activées.

Puis il a vérifié les droits d’accès de son personnel et a fait des changements qui auraient d’ailleurs dû être fait depuis bien longtemps, comme notamment l’obligation d’utiliser des mots de passes fiables et sécurisés.

Voici donc quelques exemples seulement, des divers niveaux de sécurité que Stéphane a à sa disposition.

L’objectif du logiciel de sécurité est de stopper les menaces. Si les menaces peuvent être stoppées par le premier niveau de sécurité alors tant mieux, mais les choses ne sont aussi simples que cela !

Si une attaque réussit, il n’est pas seulement passé au travers de votre antivirus mais au travers de l’intégralité de votre système.

Le meilleur moyen pour stopper les attaques de ce genre à l’avenir est de bien comprendre comment elles ont réussi à passer, et de faire les changements nécessaires pour éviter toute répétition.

Follow @SophosFrance
//
Billet inspiré de “My anti-virus is up to date so I am protected, right?” par Peter Mackenzie de Naked Security
Partagez “Les mises à jour de mon antivirus sont installées, je suis en sécurité !” avec http://wp.me/p2YJS1-2Gm