Le principe des «white lists» ne tient plus. En matière de sécurité informatique, mieux vaut considérer et mettre en oeuvre le concept du greylisting.

Le monde n’est pas binaire : zéro ou un, blanc ou noir. Idem en matière de sécurité informatique. Pour se protéger, les entreprises mettent en place des «white lists». Cette technique de renforcement de la sécurité sur les endpoints, qui lutte contre les malwares, permet de mettre en place un contrôle des applications et des scripts exécutés. Cependant, l’utilisateur est la plupart du temps limité à deux modes : «approuver» ou «refuser». Pour Jean-Christophe Vitu, Pre-Sales Director – West & South Europe, CyberArk, il est essentiel de trouver le juste milieu entre le noir et le blanc, la bonne nuance applicative de gris.

Bien qu’adéquate pour des petites structures n’utilisant que quelques applications, l’approche des «white lists» est plus compliquée à mettre en place pour les grandes entreprises. Ces dernières devront plutôt opter pour les modes «autoriser l’inconnu», ce qui les expose alors à des risques inutiles en acceptant des applications potentiellement dangereuses… ou «refuser l’inconnu» et gérer des utilisateurs mécontents et des problèmes opérationnels liés au rejet d’applications sûres.

«Il est désormais nécessaire de repenser le système binaire des listes blanches pour affronter les attaques de plus en plus sophistiquées, commente Jean-Christophe Vitu Dans les Ames grises, le romancier Philippe Claudel, écrit que ‘rien n’est tout noir ni tout blanc, c’est le gris qui gagne. Les hommes et leurs âmes, c’est pareil’… Un constat qui s’applique également aux entreprises et à leur sécurité informatique. Quand une entreprise n’a recours qu’aux outils de base pour définir les applications autorisées, elle est immanquablement plus vulnérable aux menaces qui visent les points d’accès…»

Il est difficile d’analyser et d’identifier les logiciels à autoriser

Au fil des années, les chercheurs ont découvert de nombreux exécutables capables de facilement contourner les outils basiques avec des commandes simples, ainsi que d’exécuter des scripts de façon arbitraire. Faire confiance et se reposer uniquement sur un système d’autorisation binaire n’est donc pas sans risque. Ainsi, bien que ces logiciels de sécurité gratuits restent une ressource de base, des contrôles de sécurité additionnels sont nécessaires afin d’optimiser la cyber-protection d’une entreprise.

«En pratique, un service informatique ne peut pas avoir connaissance de l’ensemble des applications existantes au sein d’une grande entreprise, imaginer le contraire n’est pas réaliste», assure Jean-Christophe Vitu.

De même, il est difficile d’analyser et d’identifier les logiciels à autoriser. En effet, lorsqu’une organisation déploie une solution de contrôle des applications, elle choisit la plupart du temps de mettre en place une liste blanche, ce qui induit une analyse précise de chaque application, soit une tâche lourde et chronophage pour les équipes. Le plus simple est de se fier aux statuts «validé/refusé» proposés par défaut par le fournisseur du système d’exploitation.

«Or, tous les processus validés ne sont pas nécessairement fiables, comme par exemple ceux concernant les enfants, qui nécessitent une configuration manuelle pour assurer la protection de ces derniers, insiste Jean-Christophe Vitu. En effet, les malwares modernes peuvent passer outre les contrôles en utilisant des outils tels que PowerShell, pour ensuite télécharger en ligne les sources d’outils, notamment Mimikatz, pour les exécuter en mémoire. Ces malwares contournent par conséquent facilement les antivirus et solutions usant des listes blanches.»

Le greylisting apporte plus de souplesse à l’utilisateur final

Pour pallier ce risque, les organisations peuvent recourir au principe de greylisting, option intermédiaire entre le white listing et le black listing, qui consiste à rejeter temporairement une application moins connue afin d’en déterminer le statut. Ces listes permettent également à des applications connues, mais potentiellement suspectes, de fonctionner avec des restrictions telles qu’une impossibilité de se connecter à internet et une limitation des droits d’accès.

«Ce principe de greylisting apporte plus de souplesse à l’utilisateur final et empêche les applications d’accéder aux ressources sensibles, visées lors de cyberattaques, défend Jean-Christophe Vitu. Face à la recrudescence des piratages, il est primordial de réduire au minimum la surface d’attaque au niveau des points d’accès. Pour ce faire, l’approche la plus adaptée consiste à coupler la gestion des droits administrateurs au contrôle des applications, celui-ci représentant un avantage majeur pour bloquer les facteurs d’attaque les plus courants, notamment utilisés par les ransomwares.»