Virus : CME, CVE, CXE, alea jacta est !

Sécurité

Zotob.E, Tpbot-A, Rbot.CBQ , IRCbot.worm : sous ces charmantes appellations diverses se cachent en fait le même ver qui a exploité la faille uPnP de Windows 2000 Server le mois dernier. Parmi toutes les dénominations possibles, il en est une (CME-540) qui est passée inaperçue, alors qu’il pourrait s’agir de la plus pertinente à l’avenir

CME-540 est en fait l’identifiant attribué à ce ver par l’initiative CME (Common Malware Enumeration) qui est en train d’achever sa phase bêta.

En octobre, le CERT-US devrait en effet annoncer officiellement le lancement de CME, avec l’objectif primaire de réduire la confusion provoquée par les différents noms attribués par les éditeurs et sociétés de consulting aux vers, virus et autres malwares. Le projet a pour but d’affecter un identifiant unique à chaque malware identifié sur la toile. En utilisant cet identifiant au sein des alertes et divers communiqués de presse, les exploitants sécurité devraient être mieux à même de déterminer quel est le malware attaquant leurs systèmes et quelles contre-mesures apporter (sans parler du gain de temps !) Il y a quelques années, l’industrie de l’anti-virus avait tenté (vainement) de s’accorder sur un schéma de dénomination unique des virus. Cette fois c’est le US-CERT qui prend le taureau par les cornes et qui va tenter de rallier les principaux intéressés à sa cause. Et qui pourrait bien y parvenir? “Tout le monde s’accorde à dire que cette situation est pénible, et l’industrie a tenté à plusieurs reprises de s’accorder sur le sujet » affirme Vincent Weafer, senior director of security response chez Symantec. « CME est un pas dans la bonne direction”. Jimmy Kuo, chercheur au sein de l’AVERT de McAfee approuve. Cependant, il rappelle que le succès de CME dépend de l’adhésion des divers industriels, ce qui implique une démarche volontaire de leur part. “Nous sommes dans cette situation parce qu’il n’existe aucune autorité en charge de la coordination de cet effort” renchérit-il. McAfee, Symantec, Trend Micro et Kaspersky Lab ont d’ores et déjà annoncé qu’ils soutiendraient cette initiative en intégrant le tag CME au sein de leurs solutions et dans leurs encyclopédies en ligne. D’autres sociétés, comme F-Secure, Sophos, Computer Associates, ICSA Labs, Microsoft et Message Labs sont également très impliquées dans l’initiative. Reconnaissance de la menace et attribution d’un tag L’objectif de CME est de permettre une identification commune des principaux malwares connus. CME affecte un identifiant aléatoire (le tag) à chaque ver ou virus, indépendamment de la terminologie utilisée par les différents éditeurs. Même si ces éditeurs divergent sur l’évaluation de l’impact associé au malware, CME ignorera ce point en ne se focalisant que sur les caractéristiques de l’attaque pour déterminer le tag. “Un identifiant CME est attribué dans les heures qui suivent l’apparition d’un ver ou d’un virus”, souligne Desiree Beck, en charge du programme. L’effort repose entièrement sur la participation de l’industrie. Un tag n’est apposé qu’après qu’un chercheur ait soumis un échantillon de la menace (avec une analyse) auprès de CME. Un groupe de spécialistes affiliés à CME effectue ensuite une contre-analyse, collecte les différentes informations auprès des éditeurs et sociétés de conseil avant de publier une fiche d’identité et un tag CME. “La première version du site Web CME ne comprendra la description que d’une douzaine de menaces” poursuit Desiree Beck. “D’ici la fin de l’année, le site devrait également indiquer les alias utilisés par les éditeurs et les sociétés de consulting”. L’équipe de Vulnerabilite.com ne manquera pas de vous tenir au courant de l’évolution de cette initiative qui semble prometteuse. Reste à déterminer quel sera le degré de recoupement en CVE et CME? A quand la création de l’initiative globale ‘CXE’ ? Pour en savoir plus: Common Malware Enumeration Thierry Evangelista pour Vulnerabilite.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur