Anti-spam: Sophos propose un service d’alerte pro-actif

De passage à Paris, Jan Hruska, d-g et cofondateur de Sophos a expliqué comment le dispositif de protection pro-actif Genotype permet de proposer un service destiné notamment aux établissements bancaires pour prévenir des déferlantes de messages « phishing ».

Cette prestation est décrite comme un service avec paiement à tempérament, en location, comme en mode ASP. « Nous venons de valider notre offre d’un service spécial essentiellement à destination des banques: il permet de les avertir et les alerter sur une vague de ‘spams’ ou de campagnes de ‘phishing’ » [détournement de codes bancaires à partir de faux], explique-t-il. La méthode permet de prévenir avec un délai de 4 à 6 heures, ce qui est tout à fait suffisant pour intervenir et neutraliser la vague de ‘spams’. Ce service repose notamment sur Genotype, la technologie de détection de ‘spams’ mise au point par les « SophosLabs ». On sait que les ‘spammeurs’ réussissent à inonder la Toile à travers des « proxies » fraîchement ouverts, de sorte que leurs messages ne sont pas bloqués par les listes noires établies pour protéger les réseaux IP du ‘spam’. Pour passer à travers ces listes noires d’URL, les ‘spammeurs’ enregistrent des centaines de nouveaux noms de domaine pour chaque envoi de ‘spam’ ce qui rend plus difficile le barrage. Ils envoient des masques ou modèles cachés de courriers(obfuscation patterns) aléatoirement réagencés et renouvelés à partir de listes de mots ou de phrases, en rotation permanente. Ainsi, chaque message envoyé est toujours différent des autres -ce qui ne manque pas de tromper les outils anti-spams. La parade mise au point par Sophos pour contrer ces campagnes illégales consiste à détecter les attributs communs et inchangés dans une salve de messages, notamment en scrutant les en-têtes, et en dissociant les élements changeants et non changeants. A partir de là, le dispositif Genotype crée un « template » spécifiant la campagne détectée par ses composants intrinsèques (d’où l’analogie avec les gènes de la chaîne ADN). Selon Jan Hruska, le système a fait ses preuves: « Il détecte les 5% de spams qui passent à travers les anti-spams conventionnels utilisant la méthode heuristique. La protection est donc totale à 100%« , explique-t-il. La méthode semble donc résoudre très efficacement le problème des « faux positifs » (messages indésirables se présentant comme normaux) car elle se concentre sur des familles spécifiques de ‘spams’ ou de vers/virus. Car la plupart des « malwares » réutilisent des « matériaux » déjà existants, les pirates se contentant généralement d’en faire des variantes, mais par centaines, parfois. Jan Hruska:

 »

Face aux déferlantes de variantes dans les vers/virus, la grande difficulté pour nous c’est de gérer correctement les faux positifs« , explique le co-fondateur de Sophos. Jusqu’ici la plupart des outils anti-spam reposent sur la méthode dite « heuristique » ou filtrage à partir de mots clés. « Notre défi permanent, c’est de trouver le bon équilibre entre un filtrage trop sévère et un filtrage trop laxiste: il ne faut pas qu’il y ait trop de faux positifs. C’est une des raisons pour lesquelles nous avons développé une nouvelle méthode. Il faut notamment gérer l’afflux des centaines de variantes d’un même ver ou virus. Baggle en a été un exemple flagrant : en 7 jours, nous avons identifié plus de 300 variantes! C’est pour cette raison qu’il faut une détection « génétique » de ces ‘malwares’ et non pas seulement comportementale. » ( A suivre )