Comment analyser et protéger son réseau internet ?
Comment analyser et protéger son réseau internet ?

La multiplication des appareils connectés implique forcément une grande vigilance vis-à-vis des attaques par le réseau. À l'heure de l'IOT, protéger sa connexion devient une nécessité, ce que proposent les suites de sécurité modernes. Voyons ensemble en quoi un antivirus vous protège au-delà même de l'ordinateur sur lequel celui-ci est installé.

Une surveillance du trafic à l'affût des anomalies

Les logiciels malveillants n'ont pas attendu l'ère des objets connectés pour se propager via le réseau. Un des premiers vers connus, Morris, se transmettait déjà en 1988 sur ARPANET, l'ancêtre de l'Internet.

Depuis, d'innombrables malwares « légendaires » ont utilisé le réseau pour se reproduire, mais aussi pour commettre leurs méfaits. Les botnets ont causé des ravages ces dernières années, transformant les ordinateurs infectés en relais de diffusion de spam ou d'attaques de déni de service.

Une solution de sécurité - même un antivirus gratuit - peut agir contre ce type de menaces en surveillant le système : c'est ce qu'on appelle l'analyse comportementale. La suite de sécurité veille à différents endroits de l'OS afin de détecter les actions suspectes : accès anormal à un dossier, modification de fichiers, processus inconnu...

L'analyse réseau effectue un travail similaire, mais sur le trafic de la machine sur laquelle est installé le logiciel de sécurité. Le module va ainsi scanner les paquets qui transitent par votre réseau. Comme pour les fichiers, la détection de trafic suspect peut passer tout simplement par des informations connues, comme des adresses IP réputées pour être malveillantes. Dans ce cas, si une application tente de se connecter à une adresse suspecte, tout comme si vous essayez de vous connecter à un site frauduleux via votre navigateur web, l'action est interrompue.

Le machine learning pour identifier les risques inconnus

Là encore, cela fonctionne si l'adresse est déjà répertoriée dans la base de la suite de sécurité. Dans le cas contraire, la protection du réseau peut également tenter de reconnaître des comportements suspects, parce qu'ils présentent des caractéristiques qui mettent le moteur d'analyse en alerte. Il est possible par exemple de déceler une séquence d'actions qui ressemble à une attaque de type DDOS.

Antivirus sur objet connecté
Antivirus sur objet connecté

Les techniques les plus évoluées d'analyse du réseau exploitent le machine learning. Cette solution, notamment intégrée aux solutions de sécurité de type box, va passer un certain temps à observer le trafic sur la durée et affiner son apprentissage via des réseaux neuronaux, de la même manière qu'un logiciel de reconnaissance faciale. Après cette phase, l'analyse peut ainsi déceler des comportements qui sortent du cadre de cet apprentissage pour les bloquer.

Objets connectés : au-delà du PC

L'analyse réseau est un composant essentiel d'une protection moderne pour une raison évidente : notre environnement dépasse aujourd'hui largement le cadre d'un seul PC, d'un portable ou même de deux ou trois appareils mobiles. Les caméras de surveillance, les ampoules intelligentes et autres objets et capteurs sont presque systématiquement connectés à Internet.

Protégez vos objets connectés

La multiplication de l'offre en la matière à des prix souvent avantageux peut nous inciter à acheter quantité d'appareils dont on ne connaît pas forcément le niveau de sécurité. Beaucoup de caméras de surveillance bon marché utilisent des firmwares présentant un niveau de sécurité assez bas. Et là, pas d'antivirus installé sur le système pour les protéger. D'où l'importance de disposer d'une solution qui analyse le trafic réseau et qui va pouvoir, par exemple, bloquer la connexion d'une caméra IP à un serveur suspect.

Ces attaques n'ont rien d'un fantasme : le logiciel malveillant Mirai a utilisé ce vecteur des objets connectés pour s'installer et utiliser leur firmware pour lancer du spam ou des attaques DDOS. Découvert en 2016, Mirai exploite une faille qui paraît absurde par sa simplicité. Il se connecte aux appareils infectés en utilisant une base de plus de 60 combinaisons admin/mot de passe d'usine courantes, en misant sur la probabilité, malheureusement toujours aussi élevée, que les utilisateurs ne l'aient pas changé. Le succès de Mirai dépend aussi du fait qu'une caméra IP compromise est quasi invisible. Elle continue à fonctionner normalement, et n'affiche pas de signes clairs de ralentissement comme peut le faire un PC.