Eric Filiol : "Pour moi, cette année n'a pas connu de grands bouleversements, d'un point de vue technique."

Par Grégory Le Bras le Mercredi 05 Janvier 2005

eric_filiol_large.png
Eric Filiol
Chef de bataillon
ESAT

Chef du laboratoire de virologie et de cryptologie de l'Ecole Supérieure et d'Application des Transmissions, Eric Filiol revient sur les événements qui ont marqués l'actualité virologique en cette année 2004 et nous expose sa vision du futur.

VirusTraQ : Bonjour Eric, pouvez-vous vous présenter brièvement (votre parcours, votre situation actuelle) ?

Eric Filiol : Bonjour ! J'ai une formation universitaire (quelques années de médecine et en parallèle des études de mathématiques). Je me suis ensuite engagé, comme officier, dans l'armée (infanterie/ troupes de marine) par goût de l'opérationnel et par attachement à la notion de service de la France, de ses valeurs et de ses habitants. Après un parcours classique dans des unités régimentaires et dans la voie commandement, j'ai ensuite opté, il y a onze ans, pour la branche technique et une carrière tout aussi opérationnelle, dans le domaine de la cryptologie et de la virologie, mêlant à la fois recherche et enseignement. Je suis titulaire d'un diplôme d'ingénieur en cryptologie (DCSSI) et d'un doctorat d'informatique et de mathématiques appliquées de l'Ecole Polytechnique.

Je suis actuellement chef de bataillon et je dirige depuis 2001 le laboratoire de virologie et de cryptologie de l'Ecoles Supérieure et d'Application des Transmissions. Cette école forme tous les spécialistes des quatre armées (environ 3500 stagiaires par an) dans les domaines les plus modernes des communications, du traitement et la sécurité de l'information.
Cette école délivre également deux diplômes d'ingénieurs et un mastère, homologués par la commission des titres d'ingénieurs et la conférence des grandes écoles.


Selon vous, quels sont les événements qui ont marqué l'actualité des virus en 2004 ?

Pour moi, cette année n'a pas connu de grands bouleversements, d'un point de vue technique. Les principales souches virales, peut-être trop et mal médiatisée, qui ont frappé : MyDoom, NetSky, Bagle, Scob...ne sont pas des innovations techniques mais le recyclage de techniques connues. La concrétisation du risque viral pour des environnements mobiles (téléphones cellulaires, pocketPC...) avec les preuves de concept du groupe 29A (Cabir, Duts... ; même s'il s'agit d'une prouesse technique à saluer) ne fait qu'étendre à des plateformes "exotiques" un risque jusqu'à présent limité à l'informatique classique. L'année 2004 aura sans doute permis de sensibiliser les utilisateurs au fait que le risque se diversifie à la même vitesse que l'informatique elle-même.
Mais là encore, rien de bien nouveau, les fondements théoriques de la virologie informatique qui remontent à 1936-1938, l'avaient déjà envisagé.

A mon sens, ce qui a changé, c'est le fait que derrière ces attaques, de nouveaux acteurs se profilent avec des motivations de plus en plus crapuleuses (en particulier les mafias de toutes sortes). Il y a donc urgence à sensibiliser, éduquer, former encore plus les utilisateurs et surtout les entreprises et les administrations.


Que pensez vous de l'embauche de Sven Jaschan (à l'origine des virus Netsky et Sasser) par la société allemande Secure-Point, spécialisée dans les solutions de sécurité ?

A mon avis, c'est un jeu dangereux. Diffuser sur Internet des virus et des vers comme NetSky ou Sasser, avec les dégâts que l'on sait, est un manque caractérisé d'éthique. Or la virologie informatique est une discipline qui requiert à la fois de l'éthique et de la conscience professionnelle, avant même de la technicité. Vous pouvez toujours acquérir cette dernière, l'éthique est une valeur foncière que l'on a en soi, dès le départ ou que l'on a pas.

J'espère que la société Secure-Point ne sera pas amenée à le regretter, en particulier si leur nouvel et médiatique employé estime ses compétences pas suffisamment reconnues. Des exemples antérieurs prouvent que ces programmeurs restent très souvent incontrôlables. De ce point de vue, je trouve les acteurs de groupes comme 29A beaucoup plus responsables et beaucoup plus fiables.


Que pensez-vous de l'affaire Guillermito, ce chercheur poursuivi par un éditeur antivirus français pour contrefaçon de leur logiciel, alors qu'il avait pointé du doigt des erreurs de conception dans celui-ci ?

Il est difficile de parler d'une affaire de ce genre sans avoir toutes les pièces du dossier. Pour ma part, avec les informations disponibles, je trouve que cette affaire illustre parfaitement la pauvreté du débat technique en matière de lutte antivirale. Je trouve qu'il s'agit d'une lamentable affaire où aucune des parties n'a fait preuve d'une grande intelligence en médiatisant les choses à outrance.

D'un côté, il y a un chercheur, connu depuis des années pour faire une fixation sur l'éditeur en question. Les moyens semble-t-il utilisés pour prouver que l'antivirus est faillible (désassemblage notamment) sont punis par la loi française. Il n'y a donc pas matière à discuter. Si la loi a effectivement été violée, la justice doit passer. Il faut toutefois rappeler que contourner un antivirus, quel qu'il soit n'est pas un exploit en soi (voir les travaux théoriques des années 1980), même sans désassemblage. Guillermito aurait dû au préalable contacter l'éditeur, travailler avec lui et éventuellement publier avec son accord un article sur ses résultats. Livrer un logiciel antivirus en pâture au grand public, sans donner les clefs techniques, n'est ni constructif ni très honnête. De l'autre côté, l'éditeur n'a pas fait montre d'un grand professionnalisme en médiatisant à outrance, une affaire ridiculement banale.

Contester de manière récurrente qu'un antivirus ne puisse être contourné ou puisse se passer de toute mise à jour, est également un manque d'intelligence et la preuve que les bases théoriques de la virologie informatique lui sont inconnues.

Je pense que la sérénité doit revenir dans cette affaire et privilégier le débat technique et non des aspects plus ou moins marketing. A mon sens, il serait plus intelligent que les deux parties s'entendent, travaillent ensemble de manière constructive et recherchent une solution à l'amiable. Les juges ont des affaires plus graves à traiter.


Le phishing est de plus en plus menaçant aujourd'hui, pensez-vous qu'il existe une solution pour contrer cette nouvelle menace ?

"Il serait temps que la technique ne soit plus un paravent qui cache la misère et notre incapacité à considérer les vrais problèmes"Tout d'abord, il faut préciser que le phishing n'est que le recyclage d'idées anciennes. Seul l'emballage et les techniques d'ingénierie sociale changent. Que ce soit avec un ver, un cheval de Troie ou n'importe quel type de code, le levier commun à toutes ces attaques est la crédulité des utilisateurs. Tant que des personnes accepterons de donner leurs données les plus sensibles (code de carte bancaire, code PIN...), ces attaques auront encore de beaux jours devant elles... et ce malgré la sensibilisation et le rappel fréquent des règles élémentaires de bon sens. Le problème selon moi est que lorsque l'on parle de sécurité informatique, les utilisateurs et les professionnels pensent d'abord à "informatique" alors qu'il faut d'abord penser à "sécurité". La sécurité, qu'elle soit informatique ou traditionnelle, est d'abord une question de règles élémentaires le plus souvent héritées du bon sens. Il serait temps que la technique ne soit plus un paravent qui cache la misère et notre incapacité à considérer les vrais problèmes.

Les virus-spammeurs tels que MyDoom, NetSky ou Sober sont-ils des types de virus à craindre pour 2005 ?

Tout d'abord, ces virus ne sont pas nouveaux, en dépit de cette nouvelle appellation - certainement dictée par le marketing antiviral pour faire oublier l'incapacité chronique à gérer ce type d'infections. Melissa en 1999, ILoveYou en 2000, BadTrans en 2001, entre autres très nombreux exemples, appartenaient aux mêmes catégories : celles des macro-vers et des vers d'emails. Tous ces vers - ou virus, selon le point de vue algorithmique qui est considéré - exploitent le manque de prudence des utilisateurs qui ne réfléchissent pas avant d'activer une pièce jointe. Je crains de ne pas être très optimiste en ce qui concerne la capacité des utilisateurs à réfréner leur envie de cliquer sur tout ce qui est envoyé. Donc, oui 2005 sera très probablement une année riche de ce point de vue. Notons qu'une nouvelle tendance se dessine, qui est assez préoccupante. Depuis près d'un an, nous surveillons les alertes virales sur plusieurs serveurs en France et établissons des statistiques d'alertes assez précises.

Contrairement à ce qui se passait, il y a un ou deux ans - un ver comme MyDoom ou NetSky apparaissait pour disparaître finalement quelques jours après ; tout au plus observait-on une activité très marginale - les statistiques actuelles montrent que tout ces vers, et notamment ceux de courriers électroniques, conservent une activité relativement importante, plusieurs mois après. Cela signifie plusieurs choses : que les utilisateurs ne mettent pas leur antivirus à jour, quand ils en ont un, et qu'ils ont perdu les réflexes de méfiance qui semblaient avoir été intégrés au plus fort des alertes de 2001 à 2003. Les virus et vers de ces deux catégories ont donc encore de beaux jours devant eux.


En quoi consiste, la menace aujourd'hui, du côté des virus mobiles (Cabir, Mosquito et Skulls) ?

Depuis juillet 2004, nous savons que ce risque est réel (existence de codes qui ont pu être analysés). Mais cela n'est pas une surprise (voir question 2). Pour ma part, je pense que cette menace va se développer et que la vigilance s'impose, d'autant plus que les utilisateurs n'ont absolument pas conscience du fait que leurs téléphones mobiles, leurs pocketPC et leur PalmPilot sont de vrais ordinateurs mais intégrant des standards beaucoup ésotériques que les "simples" normes BIOS, DOS ou Windows.

La menace, à mon sens, exploitera trois choses : - cette évolution de l'informatique sans la prise de conscience des utilisateurs que si la forme change, l'esprit reste le même ; sans parler que cette ignorance va démultiplier l'effet des mauvaises habitudes (cliquer ou accepter n'importe quoi de n'importe quel émetteur comme c'est le cas avec Cabir); - la plus grande fermeture des systèmes ; aujourd'hui n'importe quel utilisateur peut trouver un livre sur le PC ou sur Windows et se former. Les nouvelles technologies sont paradoxalement plus "fermées". Trouver un ouvrage technique sur le fonctionnement d'un téléphone cellulaire, d'un PocketPC est quasi-impossible; - la complexité croissante des systèmes ; qui de nos jours peut garantir que tout ce qui se passe dans des systèmes aussi important que des réseaux de téléphonie ou autres réseaux mobiles est connu. Expliqué et contrôlé. Les récents problèmes de grands réseaux informatiques - qui d'ailleurs n'ont jamais été officiellement expliqués - montre que la gestion et le contrôle, dans une optique d'anticipation de risque, devient de plus en plus difficile.

Pour ce dernier aspect, je crains que l'année 2005, nous réserve quelques surprises sur de grands systèmes comme cela a été le cas en 2004.


Quelles règles appliquer lors de l'apparition d'un virus non pris en compte par la lutte antivirale ?

Le premier réflexe est d'isoler la ou les machines infectées des autres, donc du réseau. Ce principe, incontournable en virologie biologique, n'est pas encore devenu un réflexe, s'agissant de l'informatique. Le but est d'interdire la propagation de l'infection. Il est également important de faire une sauvegarde des fichiers de logs (pour une enquête ultérieure). Ensuite, il faut analyser le système et tenter de comprendre ce qui se passe. L'objectif est d'identifier le ou les fichiers responsables ou impliqués dans l'infection. Là, il n'existe aucune règle toute faite. Pour des systèmes critiques, par exemple, je suggère de faire des images fréquentes du système à protéger ou à surveiller et de les utiliser en cas d'infection non détectée, comme image de référence. J'utilise ensuite un logiciel maison qui compare les deux images. Une fois, les fichiers responsables identifiés, l'utilisateur ou l'administrateur (via l'officier de sécurité informatique dans le cas d'une entreprise) veilleront à effectuer la remontée d'alerte (auprès des CERT ou des éditeurs d'antivirus).

Dans certains cas, notamment en cas d'atteinte aux données et/ou au système, une plainte doit être déposée. Le système ne doit être reconnecté au réseau qu'une fois l'infection a été éradiquée.


Pour conclure, quels conseils donneriez vous aux lecteurs de VirusTraQ concernant la lutte antivirale ?

Bien sûr d'avoir un antivirus et de s'assurer qu'il est en permanence à jour. Mais quel que soit cet antivirus, le risque d'infection n'a pas disparu, tout au plus est-il réduit. Il faut en amont de l'antivirus mettre en oeuvre des règles d'"hygiène informatique" : mettre à jour régulièrement son système d'exploitation pour limiter la présence de failles de sécurité, éviter les comportements à risque (activation de pièces jointes inconnues, importation de logiciels de provenance douteuse...).

Et surtout se former et se documenter, en informatique d'une manière générale et en matière de virus en particulier. Les techniques et les risques évoluent si vite qu'il est illusoire de nos jours d'espérer rester à l'écart du risque viral tout en restant ignorant de l'outil informatique et des risques qui y sont attachés. L'ignorance se retourne maintenant contre les utilisateurs. Enfin, admettre que l'outil informatique requiert une certaine éthique, même pour un utilisateur basique. L'utilisation de cet outil n'est jamais anodine. L'expérience montre que beaucoup d'infections trouvent souvent leur origine dans un manque d'éthique de la part des victimes de ces infections : contrefaçon de logiciels, utilisation illicites du peer-to-peer, consultation de sites au contenu douteux, activités de piratage "ludique"... Bref, un peu comme leur homologue biologique, des conduites à risque sont le plus sûr moyen pour se faire infecter.



En savoir plus :

- Ecole Superieure et d'Application des Transmissions (ESAT)
- 29A Labs





http://www.echu.org/