Codes malveillants d’une messagerie ?

codes malveillants - Messagerie

Nous venons de publier un dossier complet relatif à la sécurisation de la messagerie électronique, principalement destiné à l’entreprise. Composé de 6 volets dont celui-ci, qui aborde le sujet des codes malveillants, il convient d’utiliser son contenu comme une sorte de « check list » permettant d’évaluer votre service existant.

Lutter contre les codes malveillants

Antivirus

Primordiale également, l’analyse antivirale des contenus des messages électroniques peut être réalisée à différents niveaux pour lutter contre les codes malveillants :

  • Par la solution antispam sur les messages en transit. La plupart des solutions antispam du marché incluent cette fonction nativement, bien souvent au moyen de plusieurs moteurs antivirus
  • Par les serveurs de messagerie, à la fois sur les messages en transit (analyse temps réel) et sur les boîtes mails des utilisateurs (analyse planifiée)
  • Par les postes de travail, à l’arrivée des messages sur le poste, et sur les messages contenus dans le client de messagerie.

Parmi les fonctionnalités principales attendues de ce type de solution, nous pouvons citer :

  • L’analyse de fichiers, pièces jointe en vue de détecter des codes malveillants (virus, malware, ransomware, adware, spyware, …)
  • L’analyse des liens (URL) contenu dans les mails, en les comparant avec des bases de connaissances appelées « base de réputation » (URL connues pour héberger des menaces de type code malveillant, contrefaçons de sites Internet, formulaires utilisés dans des attaques de type phishing, etc.).Messagerie codes malveillants

Les solutions antivirus dites « classiques » reposent sur la comparaison d’un contenu avec une base de menaces connues (base de signatures) régulièrement mise à jour par leurs éditeurs. Ce principe de fonctionnement implique que la pertinence d’une solution antivirus est directement liée à la réactivité de son éditeur dans la détection de nouvelles menaces et dans la diffusion des mises à jour associées. Or, tous les éditeurs ne font pas preuve du même degré de réactivité face à une menace donnée. Ils peuvent s’avérer très réactifs et pertinents sur une typologie de malware, tandis que leurs concurrents seront plus efficaces sur d’autres typologies.

C’est pourquoi il est fortement recommandé d’appliquer les principes dits de « défense en profondeur », visant à faire en sorte que les faiblesses éventuelles d’une solution soient compensées par une autre. En pratique, cela revient à utiliser :

  • Une solution antimalware d’un éditeur X couplée à la solution antispam
  • Une solution antimalware d’un éditeur Y sur les serveurs de messagerie
  • Une solution antimalware d’un éditeur Z sur les postes de travail

Ce principe permet d’optimiser la capacité de contrer un malware récent, pour lequel l’ensemble des éditeurs n’auront pas encore eu le temps  d’apporter une réponse adéquate.

Le SandBoxing

Les menaces de type malware, ransomware, spyware, … évoluent très rapidement, et leurs concepteurs appliquent de plus en plus de méthodes leur permettant de contourner la détection des solutions antimalware classiques. Ceux-ci sont de plus en plus mis en difficultés face ces évolutions.

On peut citer pour exemple :

  • Utilisation du chiffrement : un fichier malveillant est crypté avec une clé de chiffrement différente pour chaque organisation ciblée. La conséquence est que la signature (Hash) du fichier est différente à chaque émission. La solution antivirale doit donc apprendre la nouvelle signature avant d’être efficace contre cette menace, ce qui induit un délai conséquent (dû à l’analyse par les équipes de l’éditeur, à la publication et à l’application des mises à jour associées)
  • Hébergement du code malveillant sur des serveurs Web, généralement sur des serveurs piratés. Le fichier ne contient pas le code malveillant, il le télécharge quand l’utilisateur ouvre la pièce jointe. Le seul élément que la solution antivirale est en mesure de détecter est l’adresse du serveur de téléchargement, et ce uniquement si le serveur est déjà connu de la solution.

Les solutions de SandBoxing (« bac à sable »), en forte progression ces dernières années, viennent combler ces différentes lacunes, en apportant une analyse immédiate du comportement des fichiers attachés aux messages électroniques.

Chaque pièce jointe ou lien URL contenu dans les mails est alors exécutée dans un environnement de « bac à sable », c’est-à-dire une machine virtuelle, isolée du reste du réseau, dont le système est personnalisé pour refléter l’environnement technique de l’entreprise (même système, même lecteur de PDF, même solution bureautique, …). La solution de SandBoxing analyse alors de manière détaillée le comportement de la pièce jointe (ou du lien URL), en observant notamment :

  • Les lectures / écritures sur le système de fichiers
  • Les lectures / écritures dans la base de registre
  • Les connexions réseau

Toute détection de comportement typique de codes malveillants permet alors de bloquer l’acheminement du message, et ce y compris pour une menace inconnue.

Là encore, des méthodes de contournement ont été imaginées et appliquées par les attaquants pour échapper à ces solutions. Par exemple : la détection de l’exécution dans une machine virtuelle, ou la mise en œuvre de « minuteurs » (le malware attend un certain temps avant d’exécuter ses actions malveillantes, dépassant le délai acceptable d’une analyse par le SandBoxing), mais heureusement les éditeurs ont su faire face à la plupart d’entre elles en proposant des contre-mesures efficaces. C’est la « course du chat et de la souris ».

Ce type de solution apporte donc un bon niveau de protection face aux nouvelles menaces et aux attaques ciblées (APT, soit Advanced Persistent Threats), et devient donc un incontournable des solutions de sécurité, principalement pour les grandes entreprises car le coût des solutions éditeurs reste élevé.

Heureusement, des solutions Open Source existent également et sont prometteuses, permettant d’assurer un bon niveau de protection à moindre coût (Ex : Cuckoo https://www.cuckoosandbox.org)

Lire le dossier complet

No votes yet.
Please wait...
A propos Sylvain Pilette 7 Articles
Professionnel passionné en sécurité de l’information depuis plus de 12 ans, Sylvain a su faire évoluer son savoir-faire au sein d’environnements clients aux enjeux et problématiques riches et variés (industrie, télécoms, défense, transports, services), en mettant l’accent sur la qualité du service rendu, la créativité, le pragmatisme et la rationalité économique dans les solutions proposées. Son engagement, son sens du service et sa volonté entrepreneuriale l’ont conduit à participer à la création de LINEON, avec un leitmotiv : la satisfaction client http://www.lineon.fr
Contact : Site web

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*