Par Samia Amrout
Le spécialiste finlandais de la sécurité des réseaux intégrés et des solutions de continuité de services Stonesoft, a annoncé la disponibilité des descriptions techniques détaillées sur les premières techniques d’évasion avancée (en anglais Advanced Evasion Techniques). Les premiers échantillons étudiés comprenant 23 méthodes d’évasion et leurs descriptions ont été livrés au CERT-FI. Dans le processus de coordination CERT-FI sur les vulnérabilités, les éditeurs de sécurité ont eu jusqu’à six mois de temps pour trouver une façon de mettre à jour leurs systèmes contre les menaces récemment découvertes.
« Nous attendions de la communauté des fournisseurs à ce qu’ils respectent le processus et précisent s’ils sont vulnérables à ces techniques avancées d’évasion ou non. En outre, s’ils le sont, ils devraient indiquer quand et comment ils mettront à jour leurs systèmes pour assurer une protection contre ces AET », a déclaré Juha Kivikoski, chefs des opérations de Stonesoft.
« Il semble que dans de nombreux cas, les correctifs fournis face aux faux-fuyants ne mettent pas fin à des connexions suspectes sur la base des paramètres spécifiques utilisés dans les échantillons, ce qui provoque des perturbations du trafic », a expliqué, pour sa part, Mika Jalava, chef des technologies chez Stonesoft. « La manière correcte, bien sûr, serait de comprendre le protocole et le normaliser avant l’inspection. Il ne suffit pas d’empreintes digitales pour les faux-fuyants eux-mêmes, car ils sont facilement modifiés pour contrecarrer un simple matching. Ce type de détection est également sujet à des faux positifs. Beaucoup de méthodes d’évasion recourent essentiellement aux fonctions du protocole qui sont autorisées par les normes d’aujourd’hui. Par ailleurs, il suffit de détecter et de prévenir tout trafic qui pourrait être utilisé pour cacher les attaques dérobées. »
L’inspection des systèmes de sécurité du réseau doit comprendre les différentes couches de protocole. Au vu de l’évolution des nouvelles techniques d’évasion, la fonctionnalité responsable de cette tâche, le moteur de normalisation, doit évoluer avec en parallèle.
A long terme, Stonesoft recommande aux programmeurs, aux concepteurs de même qu’aux organisations de normalisation de prendre une position plus stricte contre l’« ambiguïté » dans les protocoles réseaux. Les problèmes de réseau d’aujourd’hui sont plus souvent liés à la sécurité plutôt qu’à la compatibilité avec les systèmes obsolètes. Souvent, les failles de sécurité – en particulier celles liées aux évasions – sont causées par des implémentations du protocole qui tentent de se conformer à des techniques de codage différentes.