Pendant très longtemps, on croyait qu'un bon logiciel antivirus et un firewall était tout ce qui était nécessaire afin d'avoir une infrastructure informatique sécuritaire. Bien sûr, ce n'est plus le cas aujourd'hui (voir "Autopsy of a successful intrusion" dans l'Annexe A), mais il ne faut pas minimiser l'importance du logiciel antivirus dans les moyens de protection. Il est important de savoir qu'un logiciel antivirus n'est pas une panacée, et qu'il est facile pour quelqu'un qui s'y connaît de le contourner (c'est pourquoi l'approche multi-niveau est privilégiée), mais il est encore plus important de savoir qu'un logiciel antivirus n'est vraiment efficace que s'il est régulièrement mis à jour et bien configuré. Dans la plupart des cas, l'installation par défaut est préconisée, et cette configuration présente habituellement des lacunes quant au niveau de protection apportée. Il n'est pas rare également de voir que les antivirus ne sont installés que sur certaines machines jugées critiques, alors que chaque ordinateur (serveur et poste de travail) devrait en être équipé, et ce même si le serveur de courrier électronique dispose également d'un filtreur de courrier qui agit également en tant qu'antivirus. Il ne faut qu'une seule machine vulnérable pour compromettre un réseau, alors il est nécessaire d'avoir une protection qui tient compte de cet aspect.
Afin d'avoir le niveau de protection maximum de la part du logiciel antivirus, il faut choisir un produit qui permet de scanner les fichiers en mémoire en temps réel tout autant que les fichiers sur le disque dur. Pratiquement tous les produits offrent cette option à l'heure actuelle. Il faut également paramétrer le logiciel antivirus pour scanner tous les types de fichiers sans exception (autant sur le scan en temps réel que le scan du disque dur), car il est très facile de camoufler un virus connu en le faisant passer pour un autre type de fichier (I Love You!, Life Stages et Anna.Kournikova en sont de bons exemples, voir "Invisible file extensions on Windows" dans l'Annexe A pour plus de détails sur les techniques de camouflage). Avec la puissance des processeurs disponibles aujourd'hui, il n'y a aucune raison de ne pas soumettre tous les types de fichiers à l'inspection obligatoire (il se peut cependant que vous ayez à exclure certains types de fichiers, tel .pgd par exemple si vous utilisez PGPDisk). Si le logiciel le permet, il faut également scanner les fichiers compressés (une option spéciale est souvent présente à cet effet, ce qui permet de scanner non seulement le fichier compressé, mais les fichiers à l'intérieur de l'archive également). Et si le logiciel choisi permet également de scanner une machine grâce à une méthode heuristique (c'est-à-dire que le logiciel apprend à connaître les particularités de la machine, et ensuite rapporte les changements suspects comme étant une activité virale probable), il est fortement recommandé de l'activer également.
Jusqu'à présent, dans ce chapitre, je n'ai tenu compte que des options visant à protéger une machine contre les virus, mais à quoi bon mettre en place des dispositifs de protection si nous ne sommes pas en mesure d'évaluer leur efficacité? Encore une fois, la configuration par défaut de la plupart des logiciels antivirus écrira ses fichiers logs sur le disque dur local de la machine sur lequel il est installé. Cependant, certains produits offrent la possibilité de rediriger ces fichiers logs sur une machine centralisée (parfois avec un simple chemin UNC du style \\serveur\dircentral), et je recommande fortement d'utiliser cette fonctionnalité, car cela permettra au personnel informatique en place d'avoir une vision globale de l'activité virale sur le réseau, au lieu d'avoir à se déplacer de poste en poste pour les consulter un à un durant une infection majeure, ce qui tend à réduire l'efficacité de l'opération dans un moment où la rapidité d'exécution est primordiale. Si le logiciel antivirus permet également de générer des alertes par courriel ou téléavertisseur, alors le personnel informatique en place saura immédiatement lorsqu'un virus s'introduit dans le réseau, et pourront rapidement regarder les logs afin de vérifier si le logiciel antivirus a éradiqué le virus fautif ou non. Cependant, certains produits n'offrent aucune option afin de rediriger les fichiers logs ailleurs que sur le disque dur local. À cet effet, il existe un utilitaire Open Source gratuit appelé LogAgent (script Perl qui peut être compilé en éxécutable) qui peut être utilisé à cet effet. La seule fonction de Log Agent est de surveiller un ou des fichiers de logs et de faire parvenir les ajouts faits à ces fichiers vers un serveur centralisé.
Le dernier aspect à considérer est la mise à jour des fichiers de définitions de virus utilisé par le logiciel antivirus pour identifier les virus qui pourraient s'infiltrer dans le réseau. Vu le fonctionnement de ce type de logiciel, si un virus ne fait pas partie de ses fichiers de définitions, il y a de fortes chances que le logiciel ne réussise pas à l'identifier. Habituellement, le logiciel sera configuré pour se mettre à jour environ une fois par semaine ou une fois par mois, allant chercher les nouveaux fichiers de définitions directement sur le site du fournisseur de logiciel antivirus. Dépendamment du degré de paranoïa exprimé par l'entreprise concernée, une mise à jour quotidienne ou hebdomadaire est recommandée. Cependant, les mises à jour devraient se faire à partir d'un serveur situé à l'interne qui contiendra les nouveaux fichiers de définitions qui y seront préalablement testés et placés par l'administrateur réseau de l'entreprise. Ceci à pour effet de diminuer le trafic passant sur le lien Internet de la compagnie, et évite de faire face à une congestion du serveur du fournisseur d'antivirus, car les autres clients de ce fournisseur s'y brancheront également, surtout en période d'alerte. Il peut alors devenir difficile de se connecter au serveur et d'obtenir les fameux fichiers; autant aller les chercher qu'une seule fois et ensuite les distribuer à l'interne. Nous verrons plus loin comment déployer les logiciels antivirus pré-configurés sur les stations de travail.
Un dernier mot relativement à la protection antivirus: depuis environ 4 ans, les développeurs de virus ont presque tous adopté la même stratégie pour distribuer leurs morceaux de code malins, j'ai nommé Outlook. Ce logiciel, qui regroupe les fonctions de courrier électronique, d'agenda, de calendrier et j'en passe, comporte plusieurs vulnérabilités qui en fait le moyen idéal pour propager des virus. Avant l'arrivée d'Outlook, il était considéré comme étant impossible d'activer un virus simplement en lisant un message. Quiconque affirmait ceci venait de faire preuve qu'il ne savait aucunement de quoi il parlait, et courait le risque de faire rire de lui par ses pairs. Ceci n'est plus vrai depuis l'arrivée de Outlook, à cause de diverses fonctionnalités (d'autres diront vulnérabilités) qui permettent maintenant ce genre d'exploit. Il est très difficile de sécuriser Outlook afin de le rendre inoffensif, et de plus la configuration par défaut (non sécuritaire) est la plus fréquemment utilisée. Pour ces raisons, plusieurs compagnies mettront en place plusieurs dispositifs antivirus à différents endroits sur l'architecture informatique, mais ces dispositifs sont pour la plupart incapables de stopper efficacement les nouvelles menaces précédemment inconnues. On utilise souvent l'analogie d'une chaîne afin de décrire le niveau de sécurité d'un réseau informatique, affirmant que la chaîne n'est aussi forte que le plus faible de ses maillons. En renforçant les autres maillons de la chaîne (antivirus sur le serveur de courrier, antivirus sur les postes, etc.) mais en conservant le maillon le plus faible (Outlook), on ne fait que s'assurer que ce maillon faible sera celui qui cèdera. Je sais que ce que je suis sur le point d'écrire ne sera pas populaire, mais si vous tenez vraiment à vous prémunir efficacement contre les virus informatiques, bannissez Outlook de votre réseau (je parle ici du client Outlook, pas du serveur de messagerie Exchange).
Je traite de protection antivirus de façon plus technique et en profondeur dans "Virus protection in a Microsoft Windows network, or How to stand a chance", que vour trouverez en Annexe A.
2. Définition de l'approche multi-niveau
4. Mise en place de coupe-feu (firewalls) personnels