• Partager sur Viadeo
• Commentaire

Liste blanche pour les applications : une alternative efficace à la protection anti-virale?

• 20-01-2009
• Par Ralf Benzmüller (G Data)

Si les listes blanches constituent une alternative aux solutions de protection anti virales traditionnelles, elles sont loin de garantir une protection totale. Et réduisent la flexibilité d'usage des plates-formes qu'elles protègent.

En termes de protection d'ordinateurs, on distingue généralement 2 approches :
1. autoriser tous les fichiers et processus, dans la mesure où ils ne sont pas considérés comme dangereux
ou
2. bloquer tous les fichiers et processus, sauf s'ils sont réputés non dangereux

Dans le premier cas, on parle de liste noire, dans le second de liste blanche (application whitelisting), qui offre quant à elle la meilleure protection, d'un point de vue conceptuel. Les deux approches ne sont aucunement récentes. Les premiers programmes anti-virus ont fait leur entrée sur le marché peu après l'apparition des premiers virus vers la fin des années 80, comme l'AVK 3 pour Windows 3.1 en 1988 qui, à l'aide d'une somme de contrôle (checksum), autorisait des fichiers connus ou contrôlés sur le PC alors que les fichiers inconnus étaient bloqués. La majorité des produits anti-virus proposés de nos jours respecte cependant le principe de la liste noire. Mais, comme bien souvent, les limites entre clarté et obscurité sont mouvantes et ne sont compréhensibles que dans leur ensemble.

Le monde est gris
Outre cette saisie de listes blanches et noires comme concepts de protection opposés, les listes blanches sont cependant également considérées comme des listes d'exceptions complémentaires pour les listes noires. Dans de nombreuses solutions Anti-Spam, les exceptions des listes noires sont désignées comme listes blanches et visent à interdire des reconnaissances erronées (de newsletters, par exemple). Les deux cas, concept de protection contre liste d'exception, doivent cependant être clairement différenciés. C'est pourquoi les listes d'exceptions ci-après ne sont pas désignées comme listes blanches.

Domaines d'application des listes blanches
L'utilisation de listes blanches est déjà présente dans de nombreuses applications. Ainsi, le plugin de Firefox « NoScript » respecte le principe de liste blanche. L'exécution de JavaScript est donc dans un premier temps interdite à tous les sites Internet. En cas de besoin, l'utilisateur peut définir des exceptions correspondantes. Avec des listes blanches DNS, l'accès à des sites Internet peut être restreint à des domaines connus et (apparemment) sûrs. Les modules de filtres Internet fonctionnent de manière similaire, au sens où ils permettent de contrôler les habitudes de navigation des mineurs. Le principe de la liste blanche pour les applications – l'Application Whitelisting – est considéré depuis quelque temps comme un remplacement de la protection anti-virale.

Fonctionnement de l’« Application Whitelisting »
Les entreprises comme Bit9, CoreTrace ou encore Lumension établissent et actualisent des listes avec des sommes de contrôles d'applications connues. Les utilisateurs de ces produits autorisent l'utilisation de certaines applications ou groupes d'applications. Les listes blanches comportent ensuite des sommes de contrôles des éléments de programmes des applications autorisées. Seul un programme ou un élément de programme se trouvant dans la liste blanche peut être exécuté. Ceci permet de contrôler précisément les applications ou les groupes d'applications pouvant être exécutés sur un ordinateur. Tous les autres programmes ne fonctionnent pas - ni les programmes souhaités ni les programmes non souhaités.

La sécurité émanant du principe de la liste blanche s'opère par conséquent au détriment de la flexibilité qui restreint l'utilisation de listes blanches aux domaines où l'utilisateur ou ses supérieurs ont une idée précise du type d'utilisation de l'ordinateur et des applications nécessaires à celle-ci. La liste blanche doit être ajustée à chaque modification ou extension des conditions d'utilisation.

Domaines d'application de l’« Application Whitelisting »
L'utilisation idéale de l’« Application Whitelisting » a ainsi lieu dans des environnements de travail clairement définis où la sécurité joue un rôle prépondérant, par exemple, pour des ordinateurs situés dans un département de production ou des ordinateurs d'employés de banque ou de compagnies d'assurances. Dans le contexte d’ordinateurs utilisés à diverses fins ou à des fins en constante évolution, comme les ordinateurs de la plupart des utilisateurs privés ou des chercheurs au sein d'entreprises et d'universités, la gestion des listes blanches est confrontée à ses limites.

L’« Application Whitelisting »  peut-il remplacer la protection anti-virus ?
Il semble que l'utilisation – judicieuse – de l’« Application Whitelisting » puisse remplacer la protection anti-virus classique puisque l'exécution d'applications inconnues est bloquée. Une grande partie des menaces actuelles est ainsi neutralisée. Mais certains scénarios ne s'appliquent pas à l’« Application Whitelisting ». Deux exemples :

- Les Exploits
Des failles de sécurité dans les applications peuvent être exploitées de manière adéquate avec le code exploit correspondant. Même lorsqu'aucun nouveau fichier ne peut être installé sur l'ordinateur, des outils système existants peuvent être utilisés notamment pour voler des données ou modifier des paramètres de sorte à permettre des attaques « Man-in-the-Middle ». Les attaques Denial-of-Service peuvent ainsi également être exécutées.

- Attaques macro et script
Les applications comme Word, Excel, OpenOffice, Acrobat Reader et tous les navigateurs supportent l'exécution d'un code script. Ainsi, des codes malveillants apparaissant comme protégés par l’« Application Whitelisting » peuvent être exécutés avec JavaScript dans des documents Word, des fichiers PDF ou sur des sites Internet.

La sécurité que promet l’« Application Whitelisting» n'est donc aucunement intégrale.

Contourner l’« Application Whitelisting »
Les premiers virus essayaient déjà de contourner la protection anti-virus en se dissimulant. Les programmes malveillants actuels tentent également de ne pas être détectés et attaquent les produits de sécurité, s'infiltrent dans le système, contournent les mises à jour de signature ou compliquent l'analyse. Des procédés parfois complexes d'un point de vue technique, conçus par des développeurs compétents sont utilisés dans ce contexte. Des attaques sont également réalisées sur les applications de l’« Application Whitelisting » dès que celui-ci est utilisé à plus grande échelle. Dans la mesure où les objectifs sont suffisamment attrayants, des attaques ciblées sur certains systèmes deviennent aussi particulièrement intéressantes. Il convient alors de vérifier si les mécanismes d'autoprotection des produits « Application Whitelisting » sont armés face aux attaques imminentes.

Alternatives
Outre l’« Application Whitelisting », il existe, depuis quelque temps déjà, des principes pouvant proposer une protection similaire. En font partie les outils qui remettent l'ordinateur dans une position de départ définie après redémarrage. Chaque modification du système est annulée après redémarrage - même les modifications non souhaitées et dangereuses. Des infections ad hoc peuvent cependant survenir ici aussi. Etant donné que l'ordinateur n'est pas soumis à des restrictions d'accès en mode de fonctionnement normal, des utilisateurs et des éléments dangereux peuvent réenregistrer des fichiers sur le système. Tant que l'ordinateur n'est pas éteint, il peut être utilisé comme zombie d'un réseau de bots. Un code malveillant ciblé pourrait tenter de résister à la réinitialisation.

Les exceptions confirment la règle
La seconde définition de liste blanche mentionnée ci-dessus comme liste d'exceptions propose d'autres possibilités où la protection anti-virus et les listes d'exceptions connues se complètent bien. Ainsi, de plus en plus de produits anti-virus profitent de la possibilité du Fingerprinting pour accroître la rapidité des analyses. Pour chaque fichier analysé, une somme de contrôle est calculée et, si le fichier n'a pas été modifié, il ne sera pas contrôlé à nouveau pour le même statut de signature. De telles mesures complémentaires accélèrent la protection anti-virus et contribuent à maîtriser la déferlante de programmes malveillants.

Conclusion
L’« Application Whitelisting » offre certes, selon les concepts, quelques atouts en termes de sécurité, mais comporte certaines faiblesses pouvant, le cas échéant, être palliées efficacement via une protection proactive de qualité proposée par des produits de protection anti-virus. Cependant, les deux approches ne se complètent pas uniquement à ce niveau. Les listes d'exception pour des fichiers connus peuvent réduire sensiblement le besoin en ressources de solutions de protection anti-virus. L’« Application Whitelisting » n'est donc pas une alternative, mais bien plus un complément à la protection anti-virus.

Ralf Benzmüller est directeur des laboratoires de sécurité G Data.