vendredi 14 mai 2010

Faut-il valider les mises à jour d'antivirus ?

L'affaire McAfee a suscité un intéressant débat parmi les RSSI : faut-il prendre des mesures afin de valider les mises à jour d'antivirus, au risque de rester exposé plus longtemps, ou faut-il prendre le risque d'appliquer immédiatement la protection ? Retour sur les arguments de chaque camp.

La notion de validation des mises à jour et de fenêtre d'exposition n'est pas étrangère aux RSSI dans le cadre de l'application des correctifs de systèmes d'exploitation. Ici, pas de surprise : on teste avant de déployer.

Mais l'affaire McAfee, lors de laquelle une base de signature défaillante a corrompu une partie des postes de travail qui l'appliquaient automatiquement, a rappelé que les mises à jour applicatives pouvaient elles aussi avoir un impact fort sur le poste de travail. "Un antivirus possède un contrôle total sur le système sur lequel il est installé. Il semble donc raisonnable d'appliquer un cycle de qualification aux mises à jour des antivirus, au même titre que celui appliqué aux correctifs de niveau système", rappelle un expert sécurité membre de SecurityVibes. D'autant plus, poursuit-il, que contrairement aux correctifs systèmes, les mises à jour des antivirus ne sont pas - ou très peu - documentées. Impossible donc de savoir à l'avance quels aspects du système pourront être concernés sans un test en situation.

Il semble alors nécessaire de valider les mises à jour avant leur déploiement automatique. "Nous avons mis en place deux dépôts de mises à jour : le premier reçoit la mise à jour N et l'autre conserve la N-1. Par défaut les postes viennent chercher la mise à jour N-1, tandis que la courante est testée sur les postes du service informatique et quelques pilotes dans les métiers. Mais nous avons aussi la capacité, en cas d'urgence, de libérer la mise à jour N et forcer tous les clients à venir la chercher. Cela est possible grâce à la console ePolicy Orcherstrator de McAfee", détaille Thierry Servais, RSSI de Kingfisher.

Un autre membre de SecurityVibes va plus même loin : "Les tests à mener sont bien sûr l'installation du nouveau fichier de signatures, mais cela doit s'accompagner aussi de l'exécution d'une tâche de scan à la demande sur l'ensemble du système, puis de la mise en place d'une alerte automatique par mail en cas de détection de virus. Cela permet d'être notifié rapidement dans le cas d'un faux positif et de stopper alors le processus de distribution en amont, avant le déploiement en production", explique-t-il en affirmant que cette procédure leur a permis d'échapper à la mise à jour bancale de McAfee.

Si le conseil est plein de bon sens, tout le monde n'est pas entièrement d'accord avec cette pratique. "Ajouter 24h à la période de non-détection des codes malicieux, cela peut-être dangereux", fait remarquer un autre membre de SecurityVibes. Cependant, poursuit-il, tout dépend du contexte du poste de travail à protéger. "Dans un milieu fermé où l'antivirus sert plus à logger la connexion de périphériques USB ou la présence de PUA (netcat, barres d'outil du navigateur, etc...), on peut effectivement chercher à privilégier l'uptime par rapport à la réactivité".

Autre variable d'ajustement : le niveau de sensibilisation des utilisateurs à la SSI. "L'antivirus sert surtout à mitiger des menaces (failles non encore patchées, mauvaises pratiques des utilisateurs, etc...), et donc avec un système à jour de ses correctifs et un utilisateur bien sensibilisé aux menaces informatiques on peut se permettre de retarder la mise à jour de son antivirus", avance un autre participant à la discussion. Mais il tempère immédiatement par une remarque d'ordre géographique : "pour une zone (relativement) moins exposée comme l'Europe de l'Ouest, cela peut rester acceptable. Mais pour d'autres zones comme les Etats Unis, la Russie ou la Chine, un tel délai peut être risqué". En effet, si les malwares représentent évidemment une menace globale, ils sévissent aussi de manière très localisée (de nombreux keyloggers ne se retrouvent qu'en Russie, de nombreux chevaux de Troie bancaires ne ciblent que les établissement brésiliens, etc...), et cela peut être un paramètre en prendre en compte.

Au delà du débat, l'affaire a également mis en lumière la nécessité d'une excellente réactivité des équipes de support : "dès que les premiers postes crashent, si le support identifie la cause et réagit rapidement, on peut limiter l'impact", rappelle Thierry Servais.

A terme cependant, les éditeurs d'antivirus (voire de tous logiciel équipé d'une mise à jour automatique) seraient peut-être avisés de s'inspirer des éditeurs de systèmes d'exploitation, qui mentionnent les changements apportés par chaque nouvelle rustine. "Lors du récent incident de McAfee, la possible interférence avec svchost était connue puisque la signature en cause porte sur les modifications apportées par W32/Wecorl.a sur le fichier svchost.exe. Ainsi une mise en garde aurait pu accompagner la mise à jour afin d'attirer l'attention des administrateurs", conclue un membre de SecurityVibes.

1 commentaire:

* a dit…

Mieux vaut se savoir en danger que de se croire en sécurité" Lamartine