Le 20/02/2024 à 16:42, Nicolas Vigier a écrit :
On Tue, 20 Feb 2024, Maxime DERCHE wrote:Bonjour Nicolas, Le 20/02/2024 à 09:36, Nicolas Vigier a écrit :On Mon, 19 Feb 2024, Vincent Duvernet wrote:Comment faire évoluer la situation sans faire bondir les admins réseaux ? Voici mes 2 cts : Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer un "scoring" avec le nom de l'entreprise par catégorie (accès distant, visiteurs, utilisateurs, cloud...) ça pourrait faire sens. Ça permet de poser des questions techniques pointues sans que le site ne fasse de rétention (donc faut un site de confiance on est bien d'accord). Est-ce que c'est suffisant ? probablement pas mais ça donnerait l'impression de faire quelque chose un minimum qualitatif plutôt que de remplir un fichier Excel à la con en me faisant perdre mon temps.Et c'est comme cela que l'on se retrouve ensuite à devoir faire des trucs completement idiots dans le seul but d'augmenter le "scoring". Le questionnaire demande si toutes les machines font tourner un antivirus homologué et à jour ? Afin de pouvoir répondre oui et augmenter le "scoring", la machine sous Linux non connectée au réseau fera donc desormais tourner une machine virtuelle Windows avec un antivirus, les antivirus homologués ne fonctionnant que sous Windows (avant peut-etre de la reinstaller completement sous Windows, pour simplifier), et nous allons la connecter au réseau afin de pouvoir mettre à jour l'antivirus.Alors celle-là on l'a entendue tellement de fois qu'on se demande encore comment on peut encore la tenter, mais ça rate jamais. C'est les lacs du Connemara. La machine sous Linux "non connectée au réseau" a une carte IPMI/iLO/etc. qui... est connectée au réseau.Une machine "non connectée au réseau" n'a évidement pas une carte IPMI/iLO/etc connectée au réseau sinon ca ne serait pas une machine non connectée au réseau.Si c'est une machine virtuelle alors elle est en plus connectée au réseau physique de l'hôte. Bref dans un périmètre technique réseau, tout ce qui existe est _forcément_ connecté. Et ce qui n'est pas connecté au réseau doit quand même être tenu à jour parce qu'il reste toujours le risque de l'accès physique à la machine, donc il n'y a vraiment pas moyen de prétendre un zéro réseau.Ca dépend des cas. Mais peu importe, c'était un exemple fictif où un antivirus n'apporte strictement rien. Si il y a un risque d'accès physique à la machine c'est pas un antivirus qui va y changer quoi que ce soit.
Ah je peux t'assurer que ce n'est pas du tout un "exemple fictif", c'est même du quotidien sur le terrain à peu près partout. Dans le même genre on a le mythe de l'isolation sur un vlan séparé, où le serveur continue à traiter du trafic...
L'antivirus apporte une protection antimalware, a minima vis-à-vis d'une base de signatures connues, ce qui n'est pas "rien", surtout si la base est mise à jour très régulièrement (chaque heure). Si la machine est branchée au réseau il apporte également une gestion unifiée des alertes, ce qui n'est pas rien non plus, surtout quand on connaît les temps de propagation (qui sont littéralement fulgurants quand tous les serveurs partagent la même architecture matérielle, le même OS et le même niveau de mise à jour, donc les mêmes vulnérabilités -- dès qu'un serveur est compromis c'est tout l'étage de l'infra qui l'est dans les secondes qui suivent), sans alerte il n'est pas envisageable de répondre à l'incident autrement que par un communiqué de presse et une notification à la CNIL. L'antivirus participe à la supervision au même titre que les sondes de température remontées par SNMP.
Il n'y a pas si longtemps les infections se faisaient majoritairement hors-ligne, par des échanges de disquettes, même entre ami-es... Ce risque particulier n'a pas évolué.
Évidemment les technologies antivirales ne se valent pas toutes, et leurs diverses implémentations non plus, et l'efficacité des équipes de reversers qui font les 3x8 en se relayant H24 à l'année pour tenir à jour les bases de signatures non plus. Ce n'est pas une raison pour cracher dans la soupe...
Après effectivement j'ai déjà soulevé ici ou ailleurs (frsag ?) la question de l'antivirus sous Linux, ça existe, y compris en zone UE (ESET par exemple). Et il y a toujours l'ami ClamAV quand il faut vraiment une excuse (ou bien quand on fait de l'OpenBSD :p).Et sachant que plusieurs vulnérabilités critiques sur Clamav on deja été annoncées dans le passé, cela rajoute de la surface d'attaque sur la machine. Ce qui peut valoir le cout ou pas suivant le contexte.
Mais lol, cette mauvaise fois. :-)L'antivirus te permet de couvrir un risque. Un scénario d'attaque est modélisable par une chaîne de risques appliqués à des actifs, donc couper un risque particulier sur la totalité des actifs permet de casser un certain nombre de chaînes de risques, et c'est contrer autant de scénarii de risques à l'échelle globale de l'infrastructure.
Si des vulnérabilités critiques sont publiées, dans ClamAV comme dans n'importe quel autre bout de code, il faut appliquer la procédure de mise à jour critique -- avec un gestionnaire de paquet la surface d'attaque n'est pas plus grande avec ou sans tel ou tel autre logiciel installé, surtout s'il est actionné via une orchestration centralisée.
En toute bonne foi, agrandir un tout petit peu la surface d'attaque pour la réduire énormément, le compromis est généralement considéré bénéfique.
Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/>
OpenPGP_signature.asc
Description: OpenPGP digital signature
