Solutions contre le « Drive By Download »

La criticité n’étant donc plus à démontrer, voyons ensemble quelles peuvent être les solutions.

•    Sensibiliser vos utilisateurs aux risques possibles lors de la navigation

Ils auront les bons réflexes afin de vous prévenir rapidement en cas de comportement suspect. Dans les petites entreprises cela passe par un dialogue de proximité à répéter encore, et encore, et encore …. Dans les entreprises plus importantes, l’envoi régulier de communications visant à sensibiliser les utilisateurs est également apprécié (certaines entreprises proposent ces sensibilisations sous forme de bandes dessinées).

•    Utiliser un seul navigateur au sein de votre entreprise et limiter/contrôler les plugins installés

Si vous êtes en environnement Windows et Active Directory, préférez Internet Explorer. La question n’est pas de remettre en cause Chrome, Firefox  (ou tout autre navigateur) qui sont de bons navigateurs. Leur gestion centralisée et leur configuration sont complexes au sein d’un domaine Active Directory (aucune stratégie de groupe disponible par défaut) et la configuration au travers de scripts est complexe, voir hasardeuse. Gardez en tête qu’avoir plusieurs navigateurs signifie que vous augmentez significativement le périmètre d’attaques de vos ordinateurs car il faudra prévoir de suivre les versions et patcher ces navigateurs ainsi que leurs plugins installés sur chacun d’eux (et à ma connaissance, il n’y a aucun outil qui permet de remonter simplement ces informations pour les trois principaux navigateurs du marché). Sans compter les nombreuses failles présentes dans les extensions Chrome et Firefox… mais ceci est un large sujet qui pourrait faire l’objet d’un autre article…

•    Installer les correctifs de sécurité systèmes (notamment les « Cumulative Update d’Internet Explorer ») et ceux des plugins installés sur le navigateur (Adobe Reader, Adobe Flash, Shockwave, QuickTime, Silverlight etc.). Les sites suivants vous permettront de vérifier les mises à jour de sécurité disponibles pour votre navigateur et ses plugins installés : Qualys et Secunia.

SECUNIA permet également l’intégration de sa technologie de scan des outils tiers dans WSUS et SCCM (à noter qu’il existe également une version gratuite pouvant être installé en tant qu’application à part entière sur l’un de vos postes de travail). SolarWinds vient également tout juste de lancer sa propre solution.

•    Désactiver les plugins qui ne sont pas utilisés depuis votre navigateur. Pour IE, cette modification s ‘effectue au niveau du menu Outils/Options Internet/Programmes/Gérer les modules complémentaires. Assurez si possible que les plugins installés supportent pleinement les technologies ASLR et DEP. Ces technologies permettent de baisser légèrement le taux de réussite de ces attaques.

•    Vous faire accompagner/conseiller par des professionnels de la sécurité. Nous vous conseillons de faire appel à des professionnels afin de faire auditer vos sites internet pour ne pas vous retrouver dans le cas de ces sites publics utilisés pour attaquer des visiteurs (en l’occurrence vos clients ! ;-)). L’image de l’entreprise pourrait fortement en pâtir.

•    Faire auditer la sécurité globale de vos postes de travail et de vos accès à Internet afin de limiter les risques d’attaques de vos postes clients. Un professionnel saura vous donner les pistes à suivre pour sécuriser correctement votre infrastructure.

•    Surveiller les rapports d’activités de votre antivitus au niveau de votre console. Les virus du type « Trojan. Dropper » ou « Trojan.Downloader » sont souvent synonymes de ce type d’attaque.

•    Utiliser une analyse de flux antivirale sur vos équipements partageant la connexion Internet au sein de votre entreprise. La plupart des proxy proposent désormais un module antivirus pour cela (module parfois payant) ou alors il est également possible de trouver ce type de module au niveau de vos antivirus sur les postes clients.

•    Eviter de donner les droits Administrateurs à vos utilisateurs. Cela empêchera les virus d’augmenter facilement leur privilège et ainsi s’intégrer en profondeur dans le système d’exploitation (je ne parle même pas des administrateurs de domaine, support technique, etc.), qui ne doivent absolument pas pouvoir surfer avec leur compte Administrateur, sans quoi ils infecteront la totalité du parc informatique en quelques heures du fait de leurs droits étendus sur les postes clients (droits qui seront alors utilisés par les virus pour se propager au travers des partages administratifs des ordinateurs distants).

Cela fait beaucoup de conseils à suivre mais en même temps l’éventail des risques utilisé par ce type d’attaque est malheureusement large.

N’hésitez pas à faire appel à des services de professionnels de la sécurité pour vous accompagner dans une réflexion plus globale adaptée à votre parc informatique. Avoir le recul nécessaire sur ce qui se fait en termes d’attaque est important pour permettre de sécuriser correctement un parc informatique. C’est un travail de longue haleine mais qui sera bien accepté par votre hiérarchie et vos utilisateurs si vous prenez le temps de leur expliquer les risques qui y sont associés.