Bios, HTML5, hyperviseurs : les nouvelles vulnérabilités selon McAfee
Trois ans et demi après son rachat par Intel, McAfee est rebaptisé Intel Security (*). Pour assurer la sécurité sur les postes de travail dans les entreprises, l'éditeur propose de descendre en dessous des applications et met en garde les administrateurs réseaux et sécurité sur les développements HTML5 et le cloud computing.
"La surface d'attaque change" : telle est la phrase préférée de David Grout, le directeur technique de McAfee pour l'Europe du sud. En clair, les menaces se déplacent à l'intérieur des postes de travail et des réseaux d'entreprise. Elles descendent de plus en plus des applications vers le Bios et le processeur. « La plupart des malwares s'attaquaient au niveau applicatif ou à l'OS, de plus en plus ils essaient d'attaquer en amont de l'OS pour se cacher ». La meilleure surface d'attaque est désormais en dessous de l'OS et des applicatifs pour contourner les outils de sécurité installés sur les applications ou sur les systèmes d'exploitation.
McAfee cherche donc à aller le plus bas possible dans le poste de travail et à intervenir dès le démarrage du CPU. Il possède pour cela la gamme DeepSafe avec deux éléments : Deep Defender destiné à bloquer les rootkits et Deep Command qui permet de prendre en main une machine avant le démarrage du Bios. « Imaginez une entreprise avec 3 000 PC, aujourd'hui vous avez quelqu'un qui fait le tour des machines avec un CD en cas de plantage général, avec Deep Command tout se fait par le help desk ».
Contourner la sandbox
McAfee s'inquiète également des vulnérabilités induites par l'extension du langage HTML5. L'historique de navigation d'un utilisateur permet déjà de cibler des campagnes de publicité. C'est une preuve de vulnérabilité. Sur les terminaux mobiles, les cyberattaquants vont contourner la sandbox du navigateur pour accéder aux terminaux. Quant au développement d'applications d'entreprise en HTML5, il les expose à de l'exfiltration de données.
Dernier point fort des analyses de McAfee : le cloud computing. La société voit deux risques principaux émerger rapidement. D'abord l'hyperviseur lui-même qui garantit mal le cloisonnement des flux et gère sur une seul plate-forme trop de machines virtuelles d'où les problèmes de robustesse. Ensuite, les applications d'entreprises migrées vers le cloud ne sont plus visibles ni contrôlées de la même manière. C'est une perte de contrôle technique mais aussi juridique, si les contrats fournisseurs restent ambigus.
McAfee ne manque pas non plus d'évoquer parmi les vulnérabilités les réseaux sociaux, les bitcoins, Android, la cybercriminalité en général et le grand sujet médiatique du moment, les objets connectés. Il prédit aussi l'arrivée des « ransomware » - les attaques et demandes de rançons - dans le monde de l'entreprise. Le paysage des menaces est décidément sans fin, « en 2003 quand je suis entré chez McAfee, c'était 1 000 à 2 000 nouveaux échantillons de virus par mois, aujourd'hui c'est 130 000 par jour, note David Grout, et 64 milliards de requêtes à travers nos 8 datacenters ».
(*) McAfee à son tour a racheté le finlandais StoneSoft au mois de mai dernier
Mais pourquoi diable changer de nom ?
L'abandon par Intel du nom McAfee suscite l'ironie de nos confrères de NetworkWorld. Déjà une certaine confusion règne sur cette annonce. Intel a mis trois ans et demi après le rachat de McAfee pour abandonner le nom de la société, un délai particulièrement long, de plus il devrait mettre un an avant de faire adopter le nouveau nom, Intel Security, aux produits issus de McAfee. Ceux qui ont de la mémoire se souviennent qu'en 1987 déjà, la marque McAfee avait disparu, avec le rachat par Network Associates qui la fit disparaître. Elle devait revenir en 2004.
Tout le monde n'est pas convaincu qu'Intel a pris une bonne décision. « C'est un mystère total et absolu de savoir pourquoi Intel voulait se débarrasser de l'un des noms les plus célèbres et les plus familiers dans le monde de l'anti-virus » remarque Graham Cluley, un analyste indépendant (et ancien de Sophos). Intel a peut-être envie de se débarrasser du nom de McAfee, tout simplement parce que les frasques du fondateur de cet éditeur continuent. Son évasion bizarre du Bélize en 2012 après la mort non éclaircie d'un voisin a laissé des traces de même que la dernière déclaration de John McAfee « je serai éternellement reconnaissant à Intel de me libérer de cette association terrible avec le pire logiciel de la planète, ce ne sont pas mes mots mais ceux de millions d'utilisateurs furieux. »