Vous êtes dans : Accueil > Tribunes libres >

Protection virale : rendez-moi mon Minitel !

Cédric Cartau, LUNDI 15 JUIN 2015 Soyez le premier à réagirSoyez le premier à réagir

Amis informaticiens, RSSI et décideurs de tout poil, si comme moi vous avez été pris depuis une quinzaine de jours dans le maelström des alertes virales issues du ministère ou des confrères, vous ne pouvez que vous demander comment tout cela va bien finir.

Il paraît que quand on commence à regretter le « bon vieux temps » (qui en fait n'a d'ailleurs jamais existé) c'est que l'on est en train de devenir trop vieux ou trop con pour continuer le job : alors je m'interroge sérieusement sur mon avenir dans la profession.

Les alertes virales ont fusé dans tous les sens : transmissions par mail de fichiers Word infectés (macros malicieuses et tenaces que les éditeurs d'antivirus n'ont identifiés, et encore pour partie, que plusieurs jours plus tard : on n'est même plus dans le zéro day, mais dans le zéro week ! Des cryptowares : çà c'était en janvier mais les envois perdurent. Et maintenant des mails eux-mêmes infectés dans le corps du texte, ce qui amène les pouvoirs publics à conseiller de revenir à de la lecture de message en mode texte (un paramétrage spécifique des clients de messagerie). Je vois venir le moment où il faudra déployer des terminaux 32x70 sur les bureaux des utilisateurs pour assurer la bureautique de base – si tel est le cas je vous conseille de vous refamiliariser rapidement avec la touche « Tab », ça pourrait servir dans les prochains mois.

Dans mon CHU, la console AV envoie chaque semaine le top 10 des PC infectés : certaines fois, nous découvrons des PC utilisateurs qui ont subi pas moins de 450 attaque virales en tout genre en moins de 5 jours – le record pour le moment est une alerte virale faisant suite à une insertion de clé USB dans un port de PC : 800 malwares détectés sur la clé, qui dit mieux ?

Je commence à expliquer à ma DSI qu'il va falloir consacrer du temps homme à analyser ces cas : la plupart du temps on sait que ces infections proviennent de la navigation Internet des agents, et il est important de comprendre pourquoi un simple agent administratif a pu ramasser 400 malwares différents dans la même semaine : des corrélations systématiques entre les traces de l'antivirus et celles du proxy web vont être nécessaires, et pendant que l'on fait ça on ne fait pas autre chose. Je pense qu'à terme il faudra mettre un agent à plein temps sur ce sujet dans les DSI des CHU. 

Depuis des années, l'ANSSI suggère de revenir aux fondamentaux de la sécurité : back to basics. Je crains que la vie des spécialistes du domaine, tout du moins pour ce qui concerne le volet des attaques virales, ne devienne plus que du basic à longueur de semaines. Je veux que l'on me rende mon Minitel : pour les vieux comme moi qui ont connu cette douce époque, il fallait certes avoir une libido d'enfer grave pour être excité devant les dessins en 64x44 pixels de filles à poil sur 3615 ULLA, mais au moins on ne chopait pas de cochonnerie à chaque écran. 

anssi, rssi, chu, dsi, antivirus