Les leaktests en tant qu'outil d'évaluation de l'efficacité du pare-feu

Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroqueries, botnet, spams, phishing, etc) publie une analyse intitulée « Les leaktests en tant qu'outil d'évaluation de l'efficacité du pare-feu ». L'article a été rédigé par Nicolaï Grebennikov, Directeur adjoint à la Recherche et à l'Innovation de Kaspersky Lab.

Cet article est consacré à l’importance grandissante des pare-feux dans le système de sécurité informatique ainsi qu’aux principes et méthodes de tests les plus connus à l’heure actuelle de pare-feu – les leaktests.

Nikolaï souligne que la nécessité du pare-feu en tant que moyen de protection évolue au même rythme que la création de nouveaux programmes malicieux.

Le pare-feu représente une « couche » supplémentaire de protection qui peut contribuer à l’interruption du fonctionnement d’un programme malveillant lorsque ce dernier n’a pas été détecté par l’antivirus d’un système de protection complexe. Une telle situation peut se présenter lorsque les bases antivirus ne contiennent pas encore la définition du programme malveillant (l’approche traditionnelle selon la signature est inopérante) ou si le programme malveillant ne présente pas un comportement carrément dangereux ou suspect (le composant d’analyse du comportement échoue).

Le pare-feu constitue un « mur » entre les applications sur l’ordinateur de l’utilisateur et les autres ordinateurs connectés au réseau local et à Internet. Pour les applications connues ou de confiance, il existe des règles d’autorisation (point de passage dans le mur) qui leur permettent de transmettre les données via le pare-feu vers le monde extérieur. L’activité de réseau des autres applications sera interceptée (elle se « heurte au mur ») et ces applications ne peuvent transmettre leurs données à l’extérieur (ni recevoir des données depuis l’extérieur). L’utilisateur peut toujours créer à n’importe quel moment de nouvelles règles d’autorisation (percer de nouveaux « trous » dans le « mur ») après quoi les applications pourront interagir avec les réseaux extérieurs.

Mais le pare-feu est il apte à protéger contre ces types de programmes malicieux ? Oui, pratiquement contre la majorité des programmes malveillants existants à l’heure actuelle. Cette affirmation peut sembler bien audacieuse mais c’est bien le cas : les fonctions de la majorité des programmes malicieux sont liées à l’activité réseau et par conséquent, ils peuvent être bloqués par un pare-feu.

Confrontés à l’utilisation active des pare-feux, les cyber-criminels n’ont d’autres choix que trouver des méthodes pour les contourner.

Toutefois, le pare-feu est un moyen de protection difficilement contournable car pour déjouer un logiciel antivirus ou un inhibiteur de comportement, l’auteur du programme malveillant peut réaliser des tests « à domicile » sur son nouveau programme malveillant et introduire les modifications requises jusqu’à ce que les composants cités ne détectent plus le code malveillant. Il est plus difficile de contourner un pare-feu en utilisant la même méthode car si le programme a besoin d’une activité réseau quelconque, il est très difficile de le dissimuler aux yeux du pare-feu. Le seul moyen envisageable est de recourir aux leaktests.

La perméabilité (leak en anglais) - est une technologie de contournement des mécanismes de contrôle de l’activité de réseau du pare-feu qui permet aux applications privées de règles d’autorisation dans la liste des règles du pare-feu d’envoyer des données depuis l’intérieur. Le pare-feu ne bloque pas l’envoi et en mode d’apprentissage, il ne signale pas cette activité de réseau à l’utilisateur.

Un pare-feu bien conçu ne peut accepter aucune fuite et il doit identifier toutes les tentatives d’activité de réseau entrante et sortante.

Pour analyser la qualité de la protection contre les fuites offerte par le pare-feu, il est possible de recourir aux leaktests (petits programmes qui réalisent une ou plusieurs fuites). Ces programmes sont écrits en général par des chercheurs et des experts de la sécurité informatique.

Quel est l’intérêt des tests comparatifs des ordinateurs personnels à l’aide de leaktests ?

Tout d’abord, ils permettent de définir la qualité intégrale du système de protection lors de la sélection du système de protection de l’ordinateur de l’utilisateur. La qualité du pare-feu est jugée selon deux critères : le contrôle des données entrantes et le contrôle des données sortantes. Un pare-feu qui obtient de bons résultats dans les tests du contrôle des données sortantes est un pare-feu qui n’est pas simplement un ajout à l’antivirus mais bien un niveau de protection complémentaire qui peut empêcher, par exemple, l’envoi de données confidentielles de l’utilisateur aux individus mal intentionnés même lorsque l’antivirus n’a pas intercepté le cheval de Troie.

Selon l’auteur, les produits qui ont obtenu les résultats « Very good » (très bon) et « Excellent » (excellent) à l’issue des tests sur le niveau de protection contre les fuites (http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php) garantissent une bonne protection pour l’utilisateur. Lorsque le produit obtient la note « Good » (bon), « Poor » (médiocre) ou « Very Poor » (très médiocre), l’auteur du programme malveillant peut choisir n’importe quel moyen pour contourner le pare-feu de ce produit.

Dans les conditions actuelles, le pare-feu est devenu un élément incontournable des systèmes de protection sophistiqués. Même les systèmes d’exploitation les plus récents tels que Windows Vista ne peuvent bloquer à eux seuls tous les types de leaktests (depuis Windows XP SP2, le système d’exploitation Windows propose un pare-feu dont les fonctions ont été considérablement élargies avec l’arrivée de Windows Vista).

A l’issue des tests réalisés en mars 2007 par Guillaume Kaddouch (http://www.firewallleaktester.com/articles/vista_and_leaktests.html), seuls 9 leaktests ont été bloqués par Windows Vista Ultimate 64-bit dans une installation par défaut.

Il ne fait aucun doute que le système d’opération est mieux protégé grâce aux nombreuses améliorations telles que UAC, IE protected mode, Service hardening et Kernel Patch Protection (Vista x64). Toutefois, pour offrir un niveau de sécurité souvent contre ces tests, même Windows Vista doit utiliser des programmes de protection complémentaires.

A l’avenir, les programmes malveillants vont utiliser de nouvelles méthodes pour contourner les mécanismes de protection des nouveaux systèmes d’exploitation et des systèmes de protection existants. C’est pour cette raison que le rôle du pare-feu en tant que niveau complémentaire de protection ne va qu’augmenter. Les auteurs de programmes malveillants vont quant à eux utiliser de plus en plus souvent des technologies de leaktests pour contourner les pare-feu. Dans ces conditions, le recours aux leaktests en tant qu’outil pour vérifier la fiabilité de la protection de l’ordinateur devient incontournable.