Limites des technologies actuellement déployées
Bien évidemment, un certain nombre de technologies de sécurité ont été déployées dans les réseaux et sur les machines (serveurs et terminaux utilisateurs). Dans ce cas, pourquoi le taux d’infection par des logiciels malveillants connaît-il une forte croissance à travers le monde, quelle que soit la taille de l’entreprise, et ce malgré le fait que l’écrasante majorité des entreprises aient déployé des fonctions de sécurité ? Cela tient profondément à la nature de ces nouvelles attaques, qui mettent en échec l’approche traditionnelle de la sécurité web. Pour mieux le comprendre, il faut distinguer les attaques côté serveur et côté client.
Côté serveur
La protection côté serveur repose traditionnellement sur l’alliance firewall et prévention d’intrusion (sur le poste ou en réseau), parfois en un équipement uniquement. La difficulté provient du fait que ces technologies se focalisent sur la protection au niveau réseau et au niveau protocolaire, protégeant des attaques bas niveau, des vulnérabilités existant dans les systèmes d’exploitation, et dans les applicatifs de serveur web (apache, IIS) ou de base de données.
Mais, suivant une tendance observée depuis plusieurs années, les attaques ont continué à remonter dans les couches applicatives, et la majorité des attaques se situent désormais au niveau de l’application web, qui inclue des pages, des scripts, des feuilles de style, des formulaires et bien d’autres objets développés dans un contexte spécifique.
Figure – Les attaques se situent au niveau applicatif
Côté client
Les entreprises protègent traditionnellement le flux web au moyen de trois outils : Le firewall positionné à la périphérie de l’entreprise, une solution de filtrage d’url basé sur des catégories, et une solution anti-virus déployée sur le poste client. Le firewall, comme l’on a vu côté serveur, va valider que le flux circulant est bien formé et contient bien de l’http, mais ne va pas – ou peu – s’intéresser au contenu de l’url demandée ou de la réponse du serveur web. C’est donc une brique de sécurité indispensable, mais qui ne travaille pas en profondeur sur le contenu du flux web.
La solution de filtrage d’url par catégorie va permettre de bloquer les accès aux sites connus de phishing ou connus pour être infectés par du malware et catégorisés comme tels. Ces solutions sont toutefois uniquement réactives, et en cas d’apparition d’un malware sur un site donné, le temps que le site soit bien catégorisé et que la règle soit transmise aux clients, le code malicieux aura eu potentiellement le temps d’infecter l’entreprise. Hors aujourd’hui, les sites hébergeant du malware et spécifiquement créés pour cela (le plus souvent dans le cadre de botnets) restent en ligne très peu de temps et n’auront bien souvent pas le temps d’être identifiés dans les listes de filtrage d’url. Mais bien pire, la majorité des infections se faisant en naviguant sur des sites légitimes, leur trafic sera autorisé par les listes de filtrage d’url, car justement ils sont légitimes et bien connus !
Il faut donc se contenter d’utiliser les solutions de filtrage URL par catégorie pour gérer une politique d’usage acceptable d’Internet au sein de sa société, mais pas pour mettre en place une politique de sécurité Web.
Enfin, il reste une dernière barrière de sécurité pour se prémunir des infections : La sécurité du poste client, avec en tout premier lieu l’anti-virus. Hors, les malware modernes contournent ces protections, pour deux grandes raisons. Tout d’abord, malgré de grands progrès réalisés par les consoles de gestion des solutions de sécurité du poste, il est quasi impossible d’avoir à chaque instant tous les postes avec un anti virus à jour. Bien souvent, une proportion plus ou moins large, pouvant atteindre dans certaines organisations la moitié des PCs avec une protection ayant 15 jours de retard.
Figure – L’explosion du nombre de malware, preuve que chaque instance d’attaque est unique
Enfin, dans contexte, deux autres facteurs qui seront abordés plus loin dans ce document, viennent se rajouter : L’explosion de la mobilité, qui fait que 85% des PC nomades vont surfer sur Internet sans passer par le VPN d’entreprise, et donc sans passer par les outils de protection déployés, et l’explosion du Web 2.0 qui rend 80% du web (pages dynamiques type facebook ou autres) non classifié !
On le voit, les solutions de sécurité actuelles, réactives, sont dépassées par rapport aux menaces et contexte actuels : Elles ne sont ni assez rapides dans leur réaction, ni complètes en terme de couverture du spectre des menaces, ni suffisamment pertinentes.
Prenons un exemple datant du 13 septembre 2009. Les visiteurs du site NYTimes.com, catégorisé par les listes de filtrage d’url comme site d’information légitime, se sont retrouvés avec une publicité paraissant légitime (insérée dans le site), générant un pop-up alertant les visiteurs qu’un virus avait infecté leur machine. L’utilisateur était ensuite redirigé vers un site hébergeant un malware, faisant croire à un logiciel anti-virus alors que c’était un cheval de Troie… Les outils de filtrage d’url analysant uniquement la requête initiale (l’accès à la page d’accueil NYTimes.com) et pas chaque objet composant la page (une page web va être constituée en moyenne de 150 objets récupérés sur plusieurs dizaines de serveurs différents), l’infection peut facilement avoir lieu.
Face à ces attaques multi vecteurs, changeantes, polymorphes, il faut donc aborder le sujet de la sécurité des flux web avec une approche différente, plus proactive que réactive. La réponse tient en une approche combinant une analyse de contenu pertinente et performante, combinée à une approche proactive d’analyse en profondeur des caractéristiques des serveurs web pour déterminer la réputation des sites web, objets, URLs, et adresses IP, permet de couvrir efficacement les menaces actuelles.