Entretien avec Raimund Genes, CTO de Trend Micro

Raimund Genes
CTO de Trend Micro

le 12/10/2007, par Christophe Bardy , RT Sécurité

Raimund Genes

Le profil des menaces évolue et il semble que les utilisateurs aient de plus en plus de mal à faire face. Quel bilan tirez-vous de cette année 2007 ?
On voit une recrudescence des menaces liées au Web car le port 80 est aujourd'hui le principal vecteur des attaques. On recense environ 5 000 nouvelles pages Web infectées par des 'iframe' tous les jours et près de 425 000 nouvelles variantes de malware par mois. A titre de comparaison, on en recensait moins de 6 000 par mois en 2004. La conséquence est que des solutions à base de "pattern matching" ne peuvent plus lutter face à cette avalanche. D'autant que les outils abondent pour créer rapidement de nouvelles variantes à même d'exploiter les failles documentées dans les navigateurs et les systèmes d'exploitation. Le profil des attaquants a aussi évolué et on peut aujourd'hui parler de "Crimeware" avec des organisations spécialisées à plusieurs niveaux capables de concevoir des attaques sophistiquées sur des cibles.

Comment faites-vous évoluer vos outils pour faire face à ces menaces ?
Le "pattern matching" ne peut plus faire face au déluge de menaces. Mêmes les bacs à sable sont aujourd'hui vulnérables à certaines menaces. La seule façon de protéger nos clients est d'intercepter leur trafic Internet et de vérifier systématiquement si le site sur lequel ils tentent de se connecter est sûr. Cela nous permet de lutter contre la propagation en masse de malwares.

Toutefois les premières victimes d'une nouvelle attaque ne seront pas protégées par un tel mécanisme...
Notre message est clair. La protection à 100% n'existe pas. La première victime d'une attaque non documentée ne pourra jamais être protégée, on pourra juste réparer les dégâts et éliminer l'infection a posteriori. En revanche à partir du moment où l'on observe la mise en place d'un schéma d'attaque par corrélation d'informations remontées par plusieurs postes, on peut faire en sorte que les sites en questions soient fléchés comme douteux et dangereux, et stopper ainsi la propagation de la menace à d'autres utilisateurs.
A titre d'ordre d'idée, nous suivons tous les jours de façon "anonymisée" près de 3 milliards d'accès Web effectués par nos clients protégés par PC Cillin. Environ 8 à 10 millions sur ce total sont des tentatives de connexion sur des sites que nous avons recensés comme malicieux ou sur des sites légitimes mais compromis par des hackers. En termes de pourcentage, cela paraît peu, mais en valeur absolue, cela représente un nombre considérable de machines qui potentiellement auraient pu être compromises.