{{ctrl.userDetails.getName()}}
(pas vous?)
(pas vous?)
{{ctrl.userDetails.getName()}}
« One Step Ahead » est la devise de Check Point Technologies. Nous avons demandé à Patrick Lepeer, System Engineer, de quelle manière son entreprise concrétise cette ambition et comment elle la fait rimer avec des risques comme les « zero-day exploits ». Un échange passionnant.
Patrick, votre slogan est « One Step Ahead ». Comment l'envisagez-vous par rapport aux vulnérabilités de type « zero-day exploit » pour lesquelles vous n'avez, par définition, pas le temps d'intervenir ?
Patrick Lepeer : « À travers le slogan "One Step Ahead", nous soulignons le fait que nous nous démarquons du modèle de sécurité traditionnel tel que nous le connaissons aujourd'hui. Nous n'allons donc plus seulement travailler selon une approche "pattern-based" qui permet d'identifier les malwares connus, mais nous allons aussi pouvoir contrecarrer les nouveaux malwares "zero-day" inconnus. On peut recourir à différentes techniques pour y parvenir. »
À quelles techniques concrètes pensez-vous ?
Patrick : « Avant tout, le sandboxing traditionnel, grâce auquel nous tentons de détecter les activités inopportunes liées à un malware au sein d'un environnement sandboxing. En tant que fournisseur de solutions de sécurité, différentes techniques pour identifier les malwares s'offrent à vous. Les hackers prendront, évidemment, des contre-mesures (les techniques d’évasion) pour contourner cette couche de sécurité supplémentaire. Ils intégreront, par exemple, des minuteries dans leur malwares ou attendront un input spécifique de l'utilisateur avant de passer à l'action. Vous devez donc riposter autrement à de telles techniques d'évasion. Pour ce faire, nous examinons la manière dont les malwares passent à l'action. Les logiciels ou les applications comptent des milliers de vulnérabilités. Pour exploiter ces points faibles, les hackers utilisent des exploits. Et pourtant… En dépit de ces milliers de vulnérabilités, on recense à peine 30 à 40 techniques d'exploit ».
Comment vous attaquez-vous à ces « exploits » ?
Patrick : « Check Point a ajouté une couche dans sa solution : la CPU-level Detection. Grâce à elle, nous pouvons détecter l'exploit au niveau du micro-processeur, avant même qu'il soit en mesure de placer et d'activer un malware réel sur l'appareil. Vous pouvez ainsi bloquer le malware plus tôt dans la chaîne d'attaque, avant que les techniques d'évasion soient utilisées. Le sandboxing est donc une technique très importante, mais elle a un impact potentiel sur l'expérience de l'utilisateur final. Vous pouvez naturellement bloquer un fichier et tourner dans un environnement sandboxing, mais cela prend un certain temps. Un utilisateur qui souhaite télécharger quelque chose n'a pas la patience d'attendre. Il veut ouvrir son fichier immédiatement, sans attendre 5 minutes. »
Quelle est votre solution, à cet égard ?
Patrick : « Outre la détection au niveau du micro-processeur et notre sandboxing traditionnel, nous avons développé une troisième technique : la Threat Extraction. Nous fournissons à l'utilisateur final une version "assainie" de son fichier au moment précis où il le télécharge par e-mail ou dans son navigateur. Le code potentiellement nuisible en est d'emblée exfiltré par nos soins. Nous effectuons notre inspection sandbox pendant que l'utilisateur peut déjà consulter une version provisoire du document. Nous remarquons que cette version provisoire assainie suffit déjà à l'utilisateur final dans 95 % des cas. Après notre inspection, il reçoit, si nécessaire, le document original dans lequel il peut, par exemple, exploiter les macros ou les scripts JavaScript. »
L'utilisateur final remarque-t-il quelque chose ?
Patrick : « En soi, rien du tout. Nous avons grosso modo deux possibilités : soit nous convertissons le fichier en un PDF dont nous avons tout extrait, soit nous envoyons le document dans sa forme originale, mais sans les aspects "sensibles" tels que le JavaScript ou les macros. Vous devez, dans ce cas, attendre un peu le document original. Mais comme je l'ai dit, le document provisoire suffit dans 95 % des cas. Le grand avantage est que l'expérience de l'utilisateur final n’est pas interrompue. Et cela nous permet simultanément de bloquer efficacement le malware dès que nous le détectons pour la première fois. »
Est-ce ce que vous appelez le « Sandblasting » ?
Patrick : « Cela se passe "on the fly". C'est la passerelle elle-même qui crée la version assainie. Le sandboxing sous-jacent peut prendre de 30 secondes à quelques minutes, selon la taille et la complexité du fichier. Si l'utilisateur final reçoit un fichier de deux pages de texte, le fichier original arrive pratiquement avant qu'il ait lu le document en entier. »
Et combien de temps cela prend-il ?
Patrick: "Dat gebeurt 'on the fly'. Het is de gateway zelf die de gesaneerde versie gaat creëren. De achterliggende sandboxing varieert van 30 seconden tot een paar minuten, afhankelijk van de grootte en de complexiteit van de file. Als de eindgebruiker een file krijgt met twee bladzijden tekst, komt de originele file er bij wijze van spreken al door vooraleer hij het document helemaal gelezen heeft."
L'utilisateur final sait-il ce qui se passe ?
Patrick : « Dans le scénario d'un e-mail, il reçoit un mail avec le nom du fichier et le message "cleaned" derrière. Dans le cas de téléchargements depuis Internet, une fenêtre pop-up apparaît en bas d'écran avec la version assainie. Une deuxième fenêtre pop-up fournit la version définitive. »
Pour finir, comment se déroule la collaboration avec Telenet ?
Patrick : « Telenet est 4Stars Partner de Check Point en Belgique. Les collaborateurs de Telenet ont aussi les certifications requises pour Check Point. Les contacts entre Telenet Support et notre propre assistance technique sont donc très intenses. Ils dépassent largement le périmètre d'une simple relation commerciale. Nous échangeons beaucoup d'expérience et d'expertise. Telenet est et reste donc un de nos principaux partenaires. »
