Check Point propose de nettoyage par défaut les pièces jointes à risque

La toute prochaine version R77.30 du logiciel interne des appliances Check Point intègrera un module chargé de supprimer les composants potentiellement dangereux de fichiers courants.

Protéger les utilisateurs finaux des pièces jointes malicieuses, c’est l’idée à l’origine du module Threat Extraction que Check Point ajoutera à ses appliances à la fin du mois, en mettant à disposition la version R77.30 de leur logiciel interne.

A l’occasion d’un entretien avec la rédaction, Philippe Rondel, directeur technique France du spécialiste de la sécurité, explique qu’il s’agit là de proposer une alternative à la détection classique qui repose sur une « course continue aux signatures, à l’identification des comportements anormaux », etc. Ici, pas question de chercher à se renseignement sur les choses anormales : Check Point veut « supprimer la menace potentielle », sans se poser de question.

Supprimer toute menace potentielle

Les courriels sont dès lors analysés à l’occasion de leur passage au travers des appliances de sécurité. Là, le module Threat Extraction, qui agit comme un agent de transfert de courriel (MTA), s’occupe des pièces jointes telles que les fichiers Word ou Excel contenant des macro, pour « supprimer ces éléments ».

Le type de traitement appliqué aux pièces jointes n’est pas gravé dans le marbre : c’est à l’administrateur qu’il revient de le définir. Par exemple, il peut paramétrer le module pour qu’il génère automatiquement un fichier PDF en remplacement d’une présentation PowerPoint. Les archives peuvent être ouvertes et analysées séparément.

Ce travail de définition des approches à adopter peut être affiné par groupes d’utilisateurs, et complété par l’élaboration de listes noires ou blanches, là encore en lien avec les utilisateurs et le contexte des messages.

Mais n’y a-t-il pas un risque de voir les utilisateurs chercher, in fine, à contourner le système, via un Dropbox, par exemple, ou par tout autre service Web, comme Infinit ? Bien sûr reconnaît Philippe Rondel. Mais pour lui, ce risque existe surtout dans le cas où le système ne laisserait pas de recours à l’utilisateur.

Et justement, Threat Extraction permet à l’utilisateur final d’accéder à la pièce jointe d’origine, via une page Web dont l’URL est mentionnée dans l’e-mail. Là, il doit expliquer pourquoi il entend accéder à la pièce jointe d’origine et confirmer qu’il a bien conscience de ce qu’il s’apprête à faire. A moins que la pièce jointe, analysée en parallèle par le module Threat Emulation, ne s’avère malicieuse.

Et si l’utilisateur a besoin, pour une raison ou une autre, de fluidifier l’échange de certaines pièces jointes avec certains correspondants, il peut demander à son administrateur d’établir une liste blanche.

Identifier les exécutables malveillants

Threat Extraction ne traite que des documents. Les exécutables sont du ressort d’un autre module, Threat Emulation, qui se charge de leur mise en bac à sable. C’est là que va entrer en jeu la technologie d’Hyperwise, rachetée par Check Point en février.

Philippe Rondel explique que celle-ci vise à améliorer la lutte contre les techniques d’évasion des bacs à sable : « l’exploitation de vulnérabilités nécessite désormais de contourner toutes les protections intégrées au système d’exploitation, au processeur », à commencer par les mécanismes de prévention d’exécution de données (DEP).

Et cela passe par une méthode spécifique, dite de ROP pour Return Oriented Programming. Celle-ci consiste à forcer l’exécution précise de certaines séquences d’instruction dans une sous-routine de programme existant ou dans le code d’une librairie partagée. Cet enchaînement de séquences consistant alors en l’exécution arbitraire d’une opération malveillante.

Philippe Rondel explique que la technologie d’Hyperwise – une start-up israélienne fondée en 2013 – « permet de détecter la mise en œuvre de ce type de méthode », « à coup sûr et sans faux positif, en quelques secondes », en s’appuyant notamment sur la technologie de déboguage Processor Tracing d’Intel.

La technologie d’Hyperwise sera intégrée au service Cloud de protection contre les menaces de Check Point, ThreatCloud Emulation, dans le courant du second trimestre, avant d’arriver dans le logiciel interne de ses appliances.

Des nouveautés régulières

Avec la version R77.30 de leur logiciel interne, les appliances de Check Point seront capables d’appliquer Threat Extraction aux courriers électroniques. Mais une version ultérieure – au plus tard la version R80 prévue d’ici la fin du premier semestre, ou bien une version intermédiaire comme l’anticipe Philippe Rondel – étendra le périmètre d’application de ce module aux flux Web, y compris chiffrés. Threat Extraction supporte les fichiers Office 2003 à 2013 ainsi que les PDF.

Reste que la version R80 devrait marquer la première véritable transition depuis lancement d’une version R77 effectué en août 2013. Cette dernière avait justement marqué la mise en œuvre d’une solution de bac-à-sable pour l’analyse des codes suspects. Il y a fort à parier que la version R80 marque également l’intégration de la technologie d’Hyperwise.

 

Pour approfondir sur Protection du poste de travail

- ANNONCES GOOGLE

Close