Quand le FRA développe son propre arsenal anti-malware
Si vous lisez régulièrement les articles qui paraissent ici, vous savez déjà ce qu’est le FRA.
On savait que le FRA était en charge des interceptions de communication en Suède, que l’on savait moins était qu’il avait aussi des compétences similaires à celles de l’ANSSI, à savoir, la préconisation de normes de sécurité.
L’organisme a fait le constat que les grandes organisations et surtout les infrastructures administratives et étatiques étaient tout autant vulnérables que d’autres aux attaques informatiques, à une nuance près, que les attaques peuvent provenir d’autres Etats se livrant à de l’espionnage et du renseignement. Partant de là, le FRA a sobrement énoncé que les dispositifs permettant de contrer les attaques n’étaient pas satisfaisants. Qu’à cela ne tienne, l’autorité a décidé de créer son propre outil, intégrant un firewall et un anti-virus.
L’anti-virus – selon les déclarations du porte-parole du FRA – comporterait les trois caractéristiques classiques : une reconnaissance de signature, une analyse heuristique et une analyse comportementale en sandbox. Rien de neuf sous le soleil si ce n’est que la reconnaissance de signature se baserait sur les malwares répertoriés par les services de renseignements. Autre caractéristique : les logs de l’anti-virus et du firewall seront régulièrement envoyés au FRA, théoriquement et officiellement pour analyse et mis à jour de a base de données.
Fustigeant le manque de rigueur des sociétés commerciales d’anti-virus, le FRA n’hésite pourtant pas à faire appel à une société commerciale pour créer son outil, ce qui semble être quelque peu paradoxal.
Le code-source de même que les données recueillies par le nouvel outil ne seront pas rendus publics. Mieux encore, le FRA souhaite que leur outil soit placé au cœur du système sans pour autant que les sysadmins et les RSSI n’aient accès aux bases de signatures ni à l’ensemble des données collectées par l’outil.
Le porte-parole du FRA justifie la nécessité d’intégration de cet outil par le grand nombre d’attaques qui frappent les organisations, qu’elles soient publiques ou privées, sensibles et appuie son argumentation par le fait que leur nouvel outil aurait déjà contré un certain nombre d’attaques de grande ampleur.
Cerise sur le gâteau : le développement de cet outil coûterait 25 millions de dollars et le coût de maintenance est estimé entre 30 000 et 200 000 dollars pour les organismes qui y auraient recours.
On est en droit d’être sceptique face aux déclarations du FRA qui n’est déjà pas en odeur de sainteté en Suède. On l’est encore plus lorsque l’on lit leurs préconisations en matière de sécurité et on ne peut s’empêcher de penser à l’extension d’un gigantesque mouchard sur l’ensemble du pays. Par ailleurs, il semble curieux d’annoncer déjà des résultats positifs pour un outil qui ne serait pas encore développé à moins que le FRA ait déjà mis sur pieds une version alpha ou bêta qu’elle aurait déployé dans un environnement qui n’a pas été révélé.
Leur projet est actuellement sur le bureau du pouvoir exécutif Suédois mais on peut d’ores et déjà se dire que le déploiement risque de poser un sérieux problème de constitutionnalité si son recours est rendu obligatoire.De la même façon, on peut se demander ce que peut en penser le SUIN. Affaire à suivre.