Spécial sécurité - Antivirus : Microsoft sème le vent

Sommaire :
1 - Antivirus : Microsoft sème le vent
2 - Lumension : Mais pourquoi est-il indiscret ?

1 - Antivirus : Microsoft sème le vent
La vie s’est arrêtée le 24 novembre dernier, sur le blog consacré à l’antivirus Microsoft Live OneCare. Un communiqué en forme de faire-part de deuil, qui annonçait la mort commerciale de la suite « anti-virus-spyware-firewall » de Microsoft, et préparait l’avènement d’un successeur «  gratuit, peut-être plus limité, qui bénéficierait de nouvelles technologies de mise à jour en quasi-temps réel, destiné à tous les usagers, particuliers et petites structures ».

Portant le nom de code Morro, mais diffusé sous l’appellation kilométrique de Microsoft Security Essentials (MSE), ce programme entame, à partir du 23 juin 2009, sa phase dite de « Beta Marketing », c'est-à-dire de pré-version pouvant être téléchargée. Un logiciel réservé aux personnes ayant à la fois une certaine soif de sécurité et un goût du risque assez prononcé. Car installer un programme en cours d’élaboration peut avoir des effets désastreux sur une machine de travail.

Le privilège d’essayer Morro est pourtant réservé à une élite. Très particulière, l’élite. Car, comme le précise la page de téléchargement de MSE, ne pourront récupérer le successeur de OneCare que les ressortissants des Etats-Unis, d’Israël (version anglaise uniquement), les habitants de la Chine Populaire et les Brésiliens. Si l’on se réfère aux statistiques de l’Antiphishing Working Group, Israël mis à part et Russie non-comprise, ce sont là les 3 pays placés, sur les 12 derniers mois d’activité, au « top ten » de la production de malwares, spam, phishing et autres amabilités du genre. Sage décision que celle de Microsoft que de faire tester ses logiciels de protection là où il y en a peut-être le plus besoin, mais également et surtout là où il risque de se trouver la population la plus importante susceptible de rechercher une faille dans son fonctionnement. Espérons, au passage, qu’une version spéciale aura été offerte à Thierry Zoller, LE spécialiste des failles affectant les antivirus. Un chercheur dont le blog, ces dernières semaines, s’est enrichi d’un nombre impressionnant de bulletins d’alertes visant notamment Fprot, Clamav, Norman, Icarus, Kaspersky, Avira, F-Secure…

En lutte ouverte

D’un point de vue stratégique, la sortie de MSE est un pavé dans la mare qui éclabousse les Kaspersky, McAfee, Sophos, Symantec, F-Secure... en un mot les spécialistes du logiciel de protection commercial à destination grand-public. Certes, chacun de ces acteurs possède un trésor de guerre confortable et réalise une partie importante de son chiffre d’affaires grâce à des licences « grand compte», des suites logicielles adaptées aux entreprises, des contrats OEM avec des intégrateurs (fabricants d’appliances notamment)… mais le marché de l’ordinateur personnel continue à représenter une part appréciable des revenus. Or, ce même marché grand public est de moins en moins enclin à acheter de manière régulière un programme destiné à protéger une machine des dangers provoqués par une faille logicielle connue… ce qui se traduit dans l’esprit du public par « un logiciel que l’on doit acheter pour se préserver des problèmes provoqués par les défauts de fabrication des logiciels eux-mêmes ».

A ceci vient s’ajouter le succès croissant des programmes offrants au moins une version gratuite, AVG Free, ClamAV et consorts, qui ne sont ni meilleurs… ni plus mauvais que leurs concurrents « commerciaux du haut au bas de gamme ».


Les contre-performances des A.V.

Comme si cela ne suffisait pas, voici que la superbe image d’absolue perfection desdites suites de protection se trouve de plus en plus souvent malmenée. Par des chercheurs en sécurité qui osent clamer haut et fort le peu d’entrain que certains éditeurs d’A.V. montrent à corriger certains bugs de conception. Par l’échec cuisant qu’a représenté la dernière grande infection Conficker, dont les mécanismes de contournement parvenaient à museler pratiquement toutes les procédures de mises à jour des programmes de sécurité. Par le fait, également que la discorde règne de plus en plus dans les rangs des éditeurs. Particulièrement depuis le lancement de Windows Vista, dont les principes de fonctionnement interdisent désormais certaines libertés de programmation qu’appréciaient tout particulièrement les auteurs de firewalls, antivirus et autres outils de filtrage et d’analyse. Ce sont notamment les auteurs d’antivirus Américains qui se sont montrés le plus virulent vis à vis de Microsoft. Les plus virulents et les plus lents à fournir des éditions Vista 64 bits de leurs outils.

Enfin, cerise sur le kernel, voilà que depuis une bonne année fleurissent de redoutables Scarewares, des antivirus plus faux que nature, souvent même porteurs de virus, mais prenant l’aspect, les couleurs et l’apparence de fonctionnement d’un véritable bouclier anti-malware garanti pur Microsoft ou Symantec Original. Des Scarewares dont l’impact sur l’image de marque de la profession est incalculable.

A toutes ces considérations, l’on doit ajouter de simples considérations économiques. L’assurance n’est chère qu’avant l’accident, a-t-on coutume de dire. Et dépenser 40 ou 50 euros par an pour un danger de moins en moins avéré… voilà qui est difficilement justifiable en temps de crise. Car les virus destructeurs et casseurs, les Attila du Noyau, les Tamerlan du disque dur se font de plus en plus rares aux yeux du public. L’infection se fait discrète, le virus moderne zombifie, vole des informations, transforme un poste innocent en usine à spam, mais jamais il n’impacte trop fortement le fonctionnement de la machine. La grande majorité des utilisateurs non professionnels sont persuadés posséder une machine saine, protégée par un A.V. non remis à jour faute de licence valide et ignorants de l’activité fébrile d’une dizaine de spywares et agents de zombification. Tous les éléments sont là pour que s’achève doucement l’ère de l’antivirus grand public payant. Un modèle timidement amorcé par quelques outsiders Clamav, AVG, Housecall et de Trend, Bitdefender Free, Avast, ClamWin, Avira... , tous très rapidement adoptés dans un premier temps par les habitués des forums et geeks avertis, rapidement imités par une majorité de non-spécialistes. L’arrivée de Microsoft sur ce terrain pourrait certes sonner le glas d’un « paranoïa business » en perte de vitesse, mais également léser ce même marché des gratuits par le seul poids de son renom. Microsoft OneCare gratuit est un risque certain pour la survie des petits éditeurs et la diversité de l’offre non-marchande. Si cette diversité venait à disparaître, cela laisserait une fois de plus à Microsoft la possibilité de revenir brutalement à un modèle payant, prenant ainsi en otage une clientèle qui n’aurait plus aucun autre recours. Redmond a plus d’une fois recouru à cette méthode.

NDLC Note de la Correctrice : C’est avec l’énergie du désespoir et une abnégation sans borne que je suis parvenue à censurer les titres consternants que la rédaction de CNIS avait osé envisager d’utiliser. Du lamentable à l’absolument catastrophique, nos lecteurs ont échappé à :
Morro est arrivé-é-é (hélas !)
Morro ? Vache ! (Trois fois hélas !)
Vaste Programme (disait le Général en réponse à l’exclamation « Morro cons ! »
Morro Palestine (il paraît que c’est une « private joke » dans le monde de la sécurité)
Morro virus
Morro cité chez les malwares (consternant, je vous dis, consternant)
L’Arrivage-ci, si : la, Morro saute ! (ce serait ce que dit un vendeur d’antivirus « payants » en enlevant de ses étagères les boîtes d’antivirus gratuits Microsoft, afin de faire de la place et du chiffre) (A-peu-près réservé aux amateurs de Dalida)
2A, 2B (celle-là, elle est téléphonée : Corses bas et Maures hauts)
Eclats de voix et fuites de gaz par le haut (réponse : mots-rots, tiroir de charade dans la plus pure tradition de Pierre Etienne)
Sonomètre suivra ! (contrepet de lettres pour « virus : Moro est né ». Il manque un « R », c’est un échec et çà ne fait rien au scrabble)

Lumension : Mais pourquoi est-il indiscret ?

Au début de ce mois, Lumension –héritier de Patchlink et de Securewave- diffusait un utilitaire gratuit d’analyse et d’inventaire des périphériques. A l’heure où s’entame la guerre des antivirus gratuits contre payants, où les scanners de vulnérabilité se téléchargent sans bourse délier (Secunia, F-Secure), l’on pouvait presque passer à côté de ce petit bout de code. Pourtant, c’est l’un des rares outils d’inventaire réseau non payant, capable de balayer l’intégralité d’un domaine Netbios, une plage d’adresses IP ou une liste précise de machines. Rapidement indispensable pour passer au crible un Workgroup ou un petit domaine constitué de machines Windows, l’outil est toutefois limité par rapport à sa version haut de gamme : la liste du champ exploratoire doit être générée au format « ascii délimité », le programme ne reconnaît pas les machines et Appliance Linux/Solaris. Il se contente donc d’examiner à distance le contenu des BDR des machines visées.

Et on en apprend, en lançant cet analyseur. Le moindre composant USB est découvert, le plus petit pilote susceptible d’automatiser la connexion d’un périphérique de stockage également. C’est là l’équivalent matériel d’un logiciel d’analyse de vulnérabilités, la première pierre d’un édifice sécuritaire capable de maîtriser ces fameuses installations spontanées de clefs usb, d’ipods baladeurs, de disques d’archivages ou de cartes Ethernet non référencées qui sont autant de vecteurs potentiels de fuite d’information. Car derrière ce petit outil gratuit se profile la véritable spécialité de Lumension : la gestion des « politiques de sécurité » appliquées aux parcs matériels d’une part, la supervision et la gestion des correctifs multiplateformes/multi-applications d’autre part. A ces deux activités principales s’ajoutent la supervision des droits liés à l’exécution des applications (les «  applications controls » disent les anglo-saxons), le tout parachevé avec des outils d’inventaires de parc. En d’autres termes, Lumension est un cauchemar pour un journaliste, car il est impossible de classer cette gamme de produits dans une catégorie particulière. A la fois un vendeur de DLP –le blocage des périphériques mobiles entre dans cette catégorie-, fournisseur d’outil de déploiement au sens large du terme, cet éditeur trempe aussi dans les logiciels de mise en conformité du poste de travail.

La logique dans tout ça ? c’est plus ou moins celle qui orchestre les principaux logiciels de network access control : dès qu’une station signale sa présence sur un réseau, sa configuration logicielle est contrôlée puis assainie. Le protocole débute par les pré-requis sécurité classiques (présence d’antivirus, application des correctifs sur l’ensemble des logiciels installés, vérification de la conformité NAC), puis peu à peu, selon les politiques décidées par le RSSI, il approfondit les investigations : inventaire des extensions matérielles autorisées ou non, chiffrement du contenu desdites unités amovibles, suppression des programmes et applications non autorisés, vérification de la cohérence des « local policies » tel que l’existence et la complexité des mots de passe de chaque compte, voir même l’optimisation des paramètres de gestion des économies d’énergie. Le découpage des tâches est plus ou moins assuré par une succession de modules très spécialisés, vendus indépendamment les uns des autres. L’un ne traite que de l’inventaire et du contrôle des périphériques et du matériel, l’autre ne résout que les questions de déploiement de correctif et d’inventaire de failles, un troisième ne s’occupe que de la gestion des logiciels et du nettoyage des installations sauvages, la vérification de l’application des politiques locales et l’intégration aux règles NAC dépendent de deux autres extensions. Cette approche morcelée ouvre de nouvelles perspectives. Notamment l’examen matériel ou logiciel d’une VM comme s’il s’agissait d’un ordinateur conventionnel. Cet examen s’effectue via les liaisons du réseau virtuel, puisqu’il est pratiquement impossible de « radiographier » les différents composants d’un système virtualisé lorsque celui-ci est en fonctionnement. Ce côté hermétique des VM est d’ailleurs un problème rarement abordé lors des déploiements massifs, poussés par la vague du « cloud à tout prix ». L’on oublie parfois que les machines hébergées peuvent relever de politiques dépendantes d’un serveur, d’un domaine différent de celui administrant l’hôte, voir même être dépourvues de politiques autres que celles configurées « par défaut » lors de l’installation du noyau.

Pour Alan Bentely, VP EMEA de Lumension, cette discrétisation des différentes tâches permet de répartir les investissements selon les urgences auxquelles doit faire face la cellule sécurité d’une entreprise. N’acheter que ce qui est jugé nécessaire est un argument de poids, en ces périodes de restrictions budgétaires. L’on peut citer, par exemple, la grande « peur du podslurping » qui a parfois fait se précipiter des DSI sur des logiciels DLP « universels » et monolithiques, capables de verrouiller le moindre port, alternative techniquement certes plus élégante que la méthode « Araldite dans la prise USB », aussi spectaculaire et radicale qu’inefficace. D’autres spécialistes arguent qu’une bonne sensibilisation doublée d’un avenant au contrat de travail fait parfois plus pour la sécurité du poste qu’une kyrielle de logiciels. D’autres enfin cherchent une voie médiane, et utilisent un logiciel pour avertir l’usager des dangers potentiels et responsabiliser son acte. Comme toujours, il s’agit de trouver le bon compromis, le juste investissement, la réponse adaptée à une analyse de risque sérieusement conduite.