Sécurité : comment les nouvelles menaces sont décortiquées

Le quatrième éditeur mondial de logiciels de sécurité, le Japonais Trend Micro, a installé le cœur de ses laboratoires à Manille, aux Philippines. C’est là que les nouvelles menaces sont identifiées et étudiées. Reportage.

Manille, ses embouteillages monstres, son agglomération tentaculaire (il s’agit de la 8ème métropole du monde en nombre d’habitants)… et son laboratoire de sécurité Trend Micro. C’est dans la capitale des Philippines que l’éditeur japonais (même si la société a été fondée aux Etats-Unis, son siège est à Tokyo) a installé son principal laboratoire de recherche dans le monde. Ce dernier regroupe pas moins de 1 200 personnes, dont une large part de jeunes ingénieurs que produit le pays. Environ 60 % des employés sur place ont moins de 30 ans. « C’est le principal laboratoire du groupe », confirme Myla Pilao, la directrice marketing des TrendLabs, ce réseau de 13 centres de recherche en sécurité disséminés dans le monde entier et regroupant au total plus de 2 000 personnes. « Nous avons besoin de cette couverture mondiale, car une part des menaces et des techniques employées sont locales », reprend Myla Pilao. En Europe, on trouve ainsi des équipes des TrendLabs à Paris, Munich, Londres et Cork (Irlande).

Manille reste toutefois l’épicentre de ce dispositif essentiel pour l’éditeur, un dispositif centré sur le support de ses clients (55 % des effectifs du centre philippin) et la recherche sur les menaces, activité permettant d’enrichir sans cesse les logiciels fournis par l’éditeur à ses clients. A Manille, Trend Micro trouve sur place une main d’œuvre relativement abondante (avec, par exemple, 54 000 diplômés en informatique en 2011, selon les statistiques officielles) et bon marché. Les salaires des débutants étant compris entre 400 et 600 euros par mois, selon un porte-parole sur place. « Mais ce n’est pas un centre d’outsourcing », assure Myla Pilao.

Un candidat sur deux échoue aux tests

L’éditeur sélectionne ses employés avec soin, en leur imposant à l’entrée une formation de 5 à 6 mois. « Le codage en assembleur est au cœur de ce que nous enseignons aux candidats, explique un formateur. Environ un sur deux réussit les tests imposés tout au long du cursus ainsi qu’à la fin de la session et devient un employé du centre ». En moyenne, l’éditeur accueille 3 groupes de 10 à 12 candidats par an. « Je me rappelle de deux groupes successifs qui ont été totalement éliminés alors de la formation, reprend notre interlocuteur. C’est parfois dur à vivre, mais, en tant que formateur, je me dois d’être strict : une fois sur le plateau (là où sont réunies les équipes, chaque salarié disposant alors d’un box à son nom, NDLR), les conséquences d’une erreur peuvent être énormes. » Dans ce centre ouvert en permanence, les salariés travaillent sur un rythme d’environ 13 heures par jour, un jour sur deux.

Sur place, la recherche en sécurité est taylorisée ; différentes équipes se penchent sur des sujets complémentaires afin de décortiquer, puis de répertorier, une menace que les outils n’ont pas pu prendre en charge de façon automatique (le centre de Manille affirme bloquer 5 milliards de menaces par jour, et traiter plus de 5 To de données). Le service chargé du spam et du spearphishing (hameçonnage) traite ainsi entre 3 000 et 5 000 mails manuellement chaque jour. Tandis que celui chargé de la fiabilité des sites Web (Web reputation services) dit examiner 180 cas manuellement chaque jour, en majorité des URL vouée au phishing. L’équipe chargé de l’analyse des fichiers suspicieux est celle qui compte les effectifs les plus étoffés, environ 150 personnes.

Dans les faits, comme nous avons pu le constater lors d’un exercice pratique, ces équipes travaillent souvent de concert. Dans le cas que nous avons pu étudier, un spam imitant un e-mail du logisticien DHL (voir ci-contre) comporte, dans un PDF placé en pièce jointe, un lien renvoyant vers un faux site de cette entreprise, ce dernier déclenchant le téléchargement d’un malware, un exécutable ayant à première vue l’apparence d’un second fichier PDF. Ce premier malware a pour unique tâche d’en télécharger un second, un programme qui transforme la machine infectée en ordinateur zombie… détourné pour envoyer à son tour des spams. Cet exemple, basé, au moins pour partie, sur une attaque récemment identifiée, montre bien le niveau de sophistication atteint par les cybercriminels. Des hackers qui, dans le cas présent, emploie un mécanisme d’infection à deux niveaux pour plus de flexibilité, afin par exemple de modifier la charge utile. Pour mener à bien ce travail impliquant de multiples compétences complémentaires, les équipes de recherche en sécurité de l’éditeur sont réunies sur un plateau où chaque opérateur dispose d’environnements virtualisés, afin de tester les codes suspects, et d’une batterie d’outils maison ou Open Source (comme Wireshark ou InstallRite) pour en étudier le comportement.

Hébergeurs complices : « au minimum ! »

L'objectif pour Trend Micro ? Enrichir ses bases de connaissances qui, elles-mêmes, permettent de mettre à jour les outils maison (comme l'antivirus) afin qu'ils identifient d'emblée les nouvelles menaces. Mais aussi alerter les prestataires de service donnant refuge à des opérations illicites. « Certains, comme AWS (Amazon Web Services), se montrent très réactifs suite à nos alertes. Mais d'autres sont au minimum complices des cybercriminels quand il ne s'agit pas tout bonnement de services créés pour les besoins de ces derniers », explique Ryan Flores, un chercheur en sécurité de Trend Micro, membre d'une équipe de 21 personnes dans le monde étudiant l'évolution de la menace. En revanche, le partage d'informations entre éditeurs de solutions de sécurité reste l'exception ; il est par exemple en usage dans les groupes de travail thématiques réunissant des acteurs de l'industrie sur une menace ou une catégorie de menaces spécifique. Un constat qui est loin d'être surprenant, les éditeurs considérant de plus en plus la connaissance sur les menaces qu'ils développent comme leur véritable propriété intellectuelle.

Et ils ne sont peut-être plus les seuls à le penser. L'attaque dite Duqu 2, dont a été victime l'éditeur Kaspersky Security, un concurrent de Trend Micro, montre que cette connaissance pourrait bien intéresser aussi des états. Selon Eugène Kaspersky, le fondateur de l'éditeur éponyme, cette attaque très sophistiquée - ce qui conduit la société à soupçonner l'implication d'une nation disposant de moyens important – visait à récupérer de l'information relative aux mécanismes de détection mis en place par l'éditeur, à ses capacités d'analyse et à l'évolution de ses produits. Pour un état, disposer de ce type d'informations pourrait lui permettre de mener des opérations de renseignement tout en restant en dessous des radars. Et de disposer de malwares durablement efficaces. Le cauchemar des éditeurs d'outils de sécurité.

Lire aussi : Cybersécurité : le Cigref et Kaspersky répondent à l’Appel de Paris