L'équipe de sécurité d'un prestataire de services de paiement signale une pièce jointe au format PDF pour examen. Elle provient d'un fournisseur connu, ne présente aucun risque selon toutes les signatures de la base de données antivirus, et est donc transmise à la boîte de réception du service financier sans être examinée de plus près. Ce PDF contient une charge utile spécialement conçue pour échapper à la détection : aucune signature connue, aucun comportement suspect, rien que le moteur antivirus n'ait jamais été programmé pour détecter. Lorsque quelqu'un s'en rend compte, le fichier a déjà atteint son objectif.
Ce n'est pas une hypothèse. Les macros intégrées, les objets OLE, le JavaScript dans les fichiers PDF et les scripts obscurcis dans les fichiers Office constituent des vecteurs d'attaque courants dans les attaques visant les services financiers. Et les formats de fichiers privilégiés par les attaquants (PDF, Excel, Word) sont précisément ceux qui acheminent quotidiennement les données des titulaires de cartes dans un environnement de paiement. Les rapports, les relevés, les demandes d’ouverture de compte et la correspondance avec les fournisseurs transitent tous sous forme de fichiers, ce qui signifie que chacun de ces formats constitue également un point d’entrée potentiel dans l’environnement contenant les données des titulaires de cartes.
Si vous avez indiqué que l’exigence n° 5 de la norme PCI DSS 4.0.1 était « satisfaite » parce qu’un antivirus est déployé sur l’ensemble de vos terminaux, il convient de se demander ce que cette couverture recouvre réellement. Les antivirus et les solutions EDR (Endpoint and Response) sont des outils puissants et indispensables. Ils reposent toutefois sur un postulat spécifique : pour être neutralisée, une menace doit d’abord être détectée. Notre premier article de cette série examinait en quoi la norme PCI DSS 4.0.1 renforce globalement les exigences en matière de protection contre les logiciels malveillants. Cet article approfondit une lacune spécifique : comment les menaces véhiculées par les fichiers parviennent, de par leur conception, à contourner les antivirus, et comment combler cette lacune dans un environnement de paiement.
Ce que fait réellement un antivirus, et jusqu’où vont ses limites
Les antivirus et les solutions EDR sont efficaces dans leur domaine de prédilection : la détection des menaces déjà identifiées. La détection basée sur les signatures compare un fichier à une base de données de logiciels malveillants connus. La détection comportementale des solutions EDR recherche des schémas correspondant à des attaques antérieures. Ces deux approches reposent sur le fait d'avoir déjà rencontré un cas similaire auparavant.
Cette dépendance constitue également une limite. Une charge utile « zero-day » ne présente aucune signature à comparer. Un fichier conçu pour échapper à l’analyse statique, par le biais de l’obfuscation, du chiffrement ou de la manipulation structurelle, peut passer l’inspection sans déclencher la moindre alerte. Les attaquants connaissent parfaitement le fonctionnement des outils de détection, ce qui explique pourquoi une grande partie de la surface d’attaque moderne repose sur la capacité à les contourner plutôt qu’à les neutraliser. Cela ne signifie pas pour autant que les antivirus et les solutions EDR ne remplissent pas correctement leur rôle. Cela signifie simplement qu’on leur demande d’accomplir une tâche qui, par définition, ne peut pas couvrir des menaces que personne n’a encore répertoriées.
Menaces liées aux fichiers dans l'environnement des données des titulaires de carte
Cela revêt une importance particulière pour le CDE (environnement de données des titulaires de carte). Les données des titulaires de carte ne transitent pas uniquement par les canaux réseau. Elles circulent également via des fichiers : rapports, relevés, journaux de transactions, correspondance avec les fournisseurs. Lorsqu’un fichier malveillant pénètre dans cet environnement sans être détecté, cela ne se résume pas à une alerte de logiciel malveillant manquée. Il s’agit d’une violation de la barrière de sécurité que la norme PCI DSS impose aux organisations de contrôler. Un fichier qui passe à travers les filtres antivirus parce que sa charge utile n’est pas reconnue reste un fichier présent au sein du CDE et contenant cette charge utile. Le résultat de l’analyse ne modifie en rien le contenu du fichier.
Ce que fait plutôt la technologie Deep CDR™
Au lieu de se demander si un fichier est malveillant, la technologie Deep CDR™ part du principe que tout fichier pourrait l’être et le traite en conséquence. Le processus décompose un fichier en ses éléments constitutifs, élimine tout ce qui est susceptible de contenir du contenu exécutable ou des menaces actives (macros, scripts intégrés, objets OLE), puis reconstitue une version propre et entièrement fonctionnelle dans le format d’origine. Cette reconstruction s’effectue de manière récursive : une archive imbriquée dans une autre archive, ou un document contenant lui-même un fichier intégré, est nettoyé à chaque couche, et pas seulement à la couche la plus externe. Découvrez les performances de la technologie Deep CDR™.
La différence réside dans le mécanisme, et non dans le marketing. Les outils basés sur la détection tentent d’identifier la menace. La technologie Deep CDR™ supprime ce dont la menace aurait besoin pour fonctionner, qu’elle ait déjà été identifiée ou non. Une faille « zero-day » et un logiciel malveillant connu sont traités de la même manière, car l’outil ne cherche pas à reconnaître l’un ou l’autre. Il supprime purement et simplement le mécanisme de diffusion. Le résultat est un fichier qui s’ouvre, s’affiche et fonctionne exactement comme l’original, à l’exception des composants susceptibles de véhiculer une menace active. Des tests indépendants le confirment : la technologie Deep CDR™ a été la première solution CDR à atteindre 100 % de protection et de précision lors du test CDR autonome réalisé par SE Labs.
Dans le cadre de la norme PCI DSS, ce qui importe, c’est ce que cela implique pour l’exigence n° 5— « Protéger tous les systèmes contre les logiciels malveillants et mettre régulièrement à jour les logiciels ou programmes antivirus » : il s’agit d’une mesure de contrôle qui vise précisément la catégorie de menaces que la détection basée sur les signatures est structurellement incapable de détecter, et qui est appliquée au moment même où un fichier pénètre dans l’environnement, plutôt qu’après coup.
Adéquation entre les technologies Metascan Multiscanning Deep CDR™ et la norme PCI DSS 4.0.1
La norme PCI DSS 4.0.1 n'exige pas un seul type de mesure de protection contre les logiciels malveillants. Elle exige une protection à plusieurs niveaux qui couvre à la fois les menaces connues et inconnues. Un outil unique, aussi performant soit-il dans sa fonction spécifique, ne peut à lui seul répondre à cette exigence. C'est là que l'association de la détection et de la prévention prend tout son sens pour répondre à ces exigences spécifiques.
Exigence n° 1 : Mettre en place et assurer la maintenance des mesures de sécurité du réseau
L'exigence n° 1 vise à empêcher les risques provenant des appareils qui accèdent à la fois à des réseaux non fiables et à l'environnement CDE de se propager au sein de ce dernier. La technologie Multiscanning Deep CDR™ contribuent directement à cet objectif : une protection anti-malware multicouche couvrant le trafic réseau, les e-mails, les terminaux et les supports amovibles bloque simultanément plusieurs points d’entrée, tandis que la combinaison du Multiscanning et du CDR garantit que les fichiers et les données franchissant la frontière entre les réseaux non fiables et le CDE arrivent nettoyés et exempts de contenu malveillant, quel que soit le canal par lequel ils sont passés.
Exigence n° 5 : Protéger l'ensemble des systèmes et réseaux contre Software malveillants
Au niveau des exigences, le « Metascan Multiscanning plus de 30 moteurs antivirus) et la technologie Deep CDR™ (qui reconstitue les fichiers dans des formats sûrs afin de neutraliser les menaces « zero-day » et les menaces intégrées) sont les deux fonctionnalités phares qui répondent à cette exigence de bout en bout. Ensemble, elles couvrent les deux volets de la stratégie anti-malware : la détection avancée des menaces véhiculées par les fichiers pour les versions 5.2/5.2.1, où chaque fichier est traité par la technologie Deep CDR™ et le Metascan Multiscanning d’être autorisé à entrer dans un environnement protégé ; l’analyse en plusieurs couches pour la version 5.3.2, où l’analyse multi-niveaux, le sandboxing ainsi que le désarmement et la reconstruction du contenu constituent les contrôles complémentaires recommandés ; et la détection des tentatives de phishing par pièce jointe pour la version 5.4, où MetaDefender Email Security Multiscanning Metascan Multiscanning l’analyse en sandbox pour intercepter les pièces jointes malveillantes avant qu’elles n’atteignent l’utilisateur.
- Exigence 5.2 (prévention et détection des logiciels malveillants). C'est là que les deux technologies jouent un rôle distinct et complémentaire. Metascan Multiscanning analyse les fichiers à l’aide de plus de trente moteurs antivirus commerciaux, ce qui confère à la détection des menaces connues une profondeur qu’aucun moteur ne peut égaler à lui seul. De plus, comme ces moteurs associent les signatures à l’heuristique et à l’apprentissage automatique, Metascan détecte également une part significative de logiciels malveillants inconnus, ce qui porte son taux de détection global à 99,2 % des menaces connues et inconnues combinées. La technologie Deep CDR™ prend en charge la fraction de menaces échappant à l’analyse et empêche les exploits « zero-day ». Ensemble, elles permettent de détecter les menaces connues et de neutraliser les menaces que l’analyse seule laisserait passer, en neutralisant leur mécanisme de diffusion avant même qu’elles ne posent problème.
- Exigence 5.3.2 (analyse en temps réel ou périodique). La technologie Deep CDR™ fonctionne en ligne, au point d’entrée. Chaque fichier est traité dès son arrivée dans l’environnement, et non lors d’un balayage programmé. Cela permet de répondre aux attentes en matière d’inspection en temps réel sur l’ensemble du trafic Web, des e-mails et des canaux de transfert de fichiers simultanément, plutôt que de compter sur des analyses périodiques pour détecter ce qui aurait pu passer entre-temps.
- Exigence 5.4 (mécanismes anti-hameçonnage).MetaDefender Security™ associe la technologie Metascan Multiscanning l’analyse en sandbox pour détecter les pièces jointes malveillantes ou suspectes avant qu’elles n’atteignent la boîte de réception, tandis que MetaDefender ajoute une analyse dynamique des pièces jointes suspectes dans un environnement contrôlé afin de détecter les charges utiles de type « zero-day » ou obscurcies qui échappent à l’analyse basée sur les signatures. MetaDefender étend cette visibilité à la couche réseau, en signalant les connexions suspectes et la transmission de charges utiles liées à des campagnes de hameçonnage.
Exigence n° 6 : Développer et assurer la maintenance Secure et Software Secure
Exigence 6.3 (identification des vulnérabilités). Les fichiers contenant des exploits ciblant des vulnérabilités logicielles connues constituent un risque au niveau des fichiers, et pas seulement au niveau du réseau. La technologie Deep CDR™ éliminant le mécanisme de diffusion de l’exploit avant que le fichier n’atteigne un utilisateur ou un système, elle traite ce risque au point d’entrée, que la vulnérabilité sous-jacente ait déjà fait l’objet d’un correctif ou non.
Vous vous demandez comment cela s'inscrit dans le cadre de votre propre périmètre PCI DSS ? Téléchargez le guide de conformité PCI DSS pour découvrir plus en détail comment les technologies Metascan Multiscanning Deep CDR™ s'intègrent dans votre environnement.
La place Multiscanning du CDR dans la pile
L'intérêt de cette approche par couches dépend du contexte dans lequel elle est mise en œuvre. Une couverture qui ne s'applique qu'au niveau du terminal laisse le reste du parcours du fichier sans protection, et les données des titulaires de carte franchissent la frontière du CDE par davantage de canaux que ne le prévoient la plupart des matrices de conformité. Dans un environnement de paiement, les points les plus critiques sont ceux où les fichiers franchissent régulièrement cette frontière.
- Sécurité des applications Web : les applications qui traitent les données des titulaires de cartes constituent également une voie d'accès permettant à des fichiers malveillants et à des menaces « zero-day » de pénétrer dans l'environnement de données de carte (CDE) par le biais de téléchargements ou d'interactions impliquant des fichiers.
- Passerelle de messagerie : les pièces jointes sont nettoyées avant leur envoi, ce qui permet d'éliminer les documents Office détournés à des fins malveillantes et les fichiers PDF malveillants, qui constituent le format de diffusion le plus courant pour les attaques de spearphishing dans le secteur des services financiers.
- Proxy Web / ICAP: le trafic HTTP et HTTPS est analysé en temps réel, et les fichiers téléchargés depuis Internet sont reconstitués avant d'atteindre les systèmes internes.
- Supports amovibles : les fichiers provenant de USB sont effacés de manière sécurisée au niveau de la borne avant d'entrer dans le CDE. Cette mesure répond directement à l'exigence 5.3.3 et élimine les supports amovibles en tant que vecteur d'attaque.
- Transfert de fichiers géré : les fichiers échangés avec les partenaires et les fournisseurs sont nettoyés pendant leur transfert, et pas seulement au moment de leur réception.
La plateforme MetaDefender™OPSWAT applique systématiquement les technologies Metascan Multiscanning Deep CDR™ à tous ces points, ainsi que la technologie Proactive DLP™ et d’autres fonctionnalités, de sorte que la couverture ne dépend pas du canal par lequel un fichier est transmis. Elle ne dépend pas non plus du format dans lequel un fichier est reçu : la technologie Deep CDR™ couvre plus de 200 types de fichiers, depuis les PDF, les feuilles de calcul et les documents Word qui dominent les flux de paiement jusqu’aux images, archives et autres formats qui, dans la pratique, franchissent les limites de l’environnement de données de l’entreprise (CDE).
Qu'il soit connu ou inédit, le résultat est le même
Revenons au fichier PDF mentionné au début de cet article. Rien dans cette affaire n’était hypothétique, et rien ne relevait d’une mauvaise exécution de la part de qui que ce soit. Le fournisseur était fiable, l’analyse n’a révélé aucune anomalie et le fichier a été livré exactement comme prévu. C’est précisément le type de scénario que l’exigence n° 5 vise à prévenir, et c’est également un scénario qu’une cartographie reposant uniquement sur un antivirus ne peut pas entièrement prendre en compte.
La technologie Deep CDR™ reconstruit les fichiers en supprimant les composants potentiellement dangereux ; ainsi, la question de savoir si la charge utile était connue ou inédite ne se pose même pas. La technologie Metascan Multiscanning la même opération pour tout élément comportant une signature. Grâce à ces deux technologies, un fichier arrivant dans la boîte de réception du service financier est soit une menace qui a été détectée, soit une menace qui a perdu les éléments nécessaires à son fonctionnement — et en aucun cas une menace qui n’a tout simplement pas encore été identifiée.
Points à retenir
- Les données de paiement transitent par des fichiers d'entreprise — rapports, relevés, correspondance avec les fournisseurs — qui ne sont pas pris en compte dans un audit de sécurité réseau.
- La protection couvre aussi bien les menaces connues que celles qui ne le sont pas encore : plus de 30 moteurs antivirus détectent les logiciels malveillants connus, tandis que la technologie Deep CDR™ supprime les composants dont une faille « zero-day » aurait besoin pour s'exécuter, sans qu'il soit nécessaire d'identifier au préalable la menace.
- Cette mesure est conforme à certaines exigences spécifiques de la norme PCI DSS (5.2, 5.3.2, 5.4, 1.5/1.5.1, 11.5/11.5.1), grâce à un système de journalisation centralisé qui atteste que le contrôle est actif au moment de la vérification par l'évaluateur.
Vous souhaitez savoir précisément dans quelle mesure la technologie Deep CDR™ et Multiscanning à l'ensemble des exigences de la norme PCI DSS 4.0.1 ? Téléchargez le guide de conformité PCI DSS et la liste de contrôle pour obtenir une analyse détaillée, mesure par mesure.
