Palo Luka, CTO d’Eset : «la sensibilisation des utilisateurs est essentielle»

De passage en France pour le lancement la nouvelle offre grand public de protection contre les logiciels malveillant d’Eset, le directeur technique de l’éditeur revient avec la rédaction sur l’évolution de la menace et sur ses implications en matière de protection.

LeMagIT : L’anti-virus tel qu’on le connaît depuis plusieurs décennies a-t-il encore un avenir ?

Palo Luka : L’approche basée sur les signatures ne fonctionne plus depuis plusieurs années. Nous sommes dans cette industrie depuis une vingtaine d’années. Au début des années 1990, les signatures constituaient l’approche standard. Mais au milieu de cette décennie, nous avons proposé une autre approche, une heuristique, basée sur le comportement. Nous faisons probablement partie des pionniers de l’approche basée sur le comportement. Et se baser uniquement sur les signatures ne permet pas, en tant qu’éditeur, de réussir.

La véritable difficulté ici est que nous luttons contre des cybercriminels auxquels nous montrons nos armes. Imaginez une guerre dans laquelle un camp monterait ses armes à son ennemis pour qu’il puisse les étudier... La situation est comparable. Nous leur montrons nos outils. Nous avons besoin d’une technologie qui soit, d’une certaine manière, cachée aux cybercriminels.

L’exécution de données suspectes dans un bac à sable n’offre-t-elle pas de meilleures capacités de détection ?

C’est une avancée mais ce n’est pas une solution parfaite. La charge malveillante peut ne pas s’exécuter si l’environnement ne correspond pas à celui de la cible. Comme dans le cas de Stuxnet. Et encore, ce n’était pas vraiment ce que l’on peut considérer comme une attaque ciblée typique. Certes, il ciblait un environnement précis, exploitant des vulnérabilités précises.

Mais aujourd’hui, un logiciel malveillant utilisé pour une attaque ciblée n’est diffusé que dans l’organisation qu’il cible. Par le département des ressources humaines, par exemple, avec un CV infecté. Dès l’ouverture de celui-ci, le cybercriminel a un pied dans la porte. Et cela peut passer par l’imprimante, lorsque l’utilisateur imprime le CV. On connaît des vulnérabilités visant les imprimantes. Il y a des correctifs, mais ils sont peu appliqués parce que personne n’est habitué à patcher son imprimante.

Surtout, les cybercriminels disposent de temps pour étudier leur cible et préparer leur offensive. En définitive, la solution consiste à multiplier les couches de protection.

Qu’entendez-vous par couches ?

Certaines personnes affirment que l’anti-virus est mort. A cela, je réponds généralement : «allez-y, désactivez votre anti-virus et l’on verra bien ce qui se sera passé dans un mois ou deux.» L’anti-virus est une couche. Qui mérite par exemple d’être combinée à un système de détection des intrusions (IDS).

Mais chaque système de protection est différent, ne serait-ce que dans la participation de l’utilisateur qu’il exige. Pour beaucoup, le meilleur système est celui qui fonctionne de manière transparente, comme l’anti-virus. Mais l’on gagne beaucoup à ajouter à cela des outils tels que les systèmes de prévention des intrusions (IPS) qui surveillent les processus et leur comportement. Las, leur utilisation demande une bonne connaissance du système surveillé et de son fonctionnement.

L’un des points clés de la protection touche à sensibilisation des utilisateurs, pour leur permettre de gagner en compétences, quitte à devenir un peu paranoïaques. Je vais faire un parallèle avec l’automobile : nos sociétés ont eu plusieurs décennies pour s’y adapter, pour ajuster les règles de conduite, construire des routes, etc. En tant que sociétés, nous avons réussi à adopter cette technologie. Les technologies de l’information sont là, à portée du grand public, depuis 15 ans. Beaucoup n’ont pas eu le temps d’apprendre et peuvent se faire piéger, parfois avec des trucs tout bêtes. Et le seul moyen de lutter contre cela, c’est la sensibilisation. La technologie peut aider, mais la protection à 100 % n’existe pas.

Qu’apporte Eset Smart Security 7 et vos offres entreprises en profiteront-elles ?

Tout d’abord, nous avons intégré un outil d’analyse avancée de la mémoire vive. La charge malicieuse est de plus en souvent chiffrée mais il y a un endroit où un logiciel malveillant peut difficilement se cacher, c’est en mémoire vive. Nous surveillons donc les processus en cours d’exécution et pouvons bloquer ceux qui apparaissent malicieux. En outre, nous intégrons un dispositif de blocage des exploits. Les utilisateurs les plus prudents peuvent tomber sur un site Web légitime qui a été détourner pour distribuer un logiciel malveillant. Enfin, nous intégrons un dispositif de blocage des vulnérabilités touchant au trafic réseau dans le cadre du pare-feu personnel.

Ces fonctionnalités se retrouveront dans nos produits professionnels. Mais l’on commence toujours par le grand public car le cycle de renouvellement en entreprise est plus long et nous voulons être sûrs d’avoir éliminé tous les bugs éventuels avant de leur apporter de nouvelles fonctionnalités.

Pour approfondir sur Protection du terminal et EDR

Close