Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul    
     
Les Analyses les plus Populaires



Escroqueries sur les réseaux sociaux



Enfants et Internet : conseils pour leur sécurité



Courrier indésirable en avril 2014



"Ce site risque d'endommager votre ordinateur" Comment reconnaître et déjouer les infections de sites Internet



Evolution des menaces informatiques au 1er trimestre 2014
 
 

  Page d'accueil / Analyses

Résistance virtuelle : qui va l'emporter ?

18.01.2007   |   comment

Yury Mashevsky
Expert Antivirus, Kaspersky Lab

A l'époque des balbutiements de l'informatique, peu de personnes auraient supposé qu'après un laps de temps relativement court, chaque foyer serait équipé d'un ordinateur personnel auquel nous serions nombreux à confier nos finances, notre correspondance privée et bien d'autres choses.

La déferlante d'utilisateurs sur Internet a entraîné l'apparition d'un nombre croissant de services commerciaux en ligne. Cette situation a changé avec l'arrivée d'éléments spécifiques à Internet.

La cybercriminalité est désormais indissociable d'Internet et le marché des codes malveillants se développe avec un dynamisme certain. Le taux de croissance des nouveaux programmes malveillants est exponentiel comme en témoigne l'illustration 1.


Augmentation du nombre de programmes malveillants préalablement inconnus.
Source : Kaspersky Lab

Durant la décennie 90 – 2000, les éditeurs de logiciels antivirus arrivaient sans peine à faire face au flux de programmes malveillants développés par des étudiants pendant leur temps libre, la situation s'est quelque peu compliquée au fil des ans. A court terme, les sociétés spécialisées dans la sécurité informatique seront toujours en mesure de résister au flux croissant de programmes malveillants, de courriers indésirables et d'autres manifestations de l'activité criminelle. Mais dans la situation actuelle, il n'est déjà plus pensable de se débarrasser une fois pour toute de la cybercriminalité. La question est de savoir s'il sera possible de freiner son incessante croissance.

La pierre d'achoppement de cette lutte, c'est l'utilisateur et les entreprises qui constituent une source de revenu pour les cybercriminels. D'après diverses organisations, ces revenus dépassent de loin ceux des éditeurs de logiciels antivirus. La lutte a atteint son point culminant.

Cet article vise à présenter la situation actuelle : quels sont les moyens déployés par les cybercriminels pour déjouer les stratégies des sociétés de sécurité informatique et qui va pouvoir influencer les milieux criminels dans un avenir proche et de quelle manière ?

Cybercrimels contre éditeurs de sécurité informatique

A l'heure actuelle, les sociétés de sécurité informatique représentent la seule et unique force capable d'opposer une résistance efficace aux cybercriminels. Dans cette lutte de tous les instants, les individus malveillants trouvent des astuces de plus en plus subtiles pour déjouer les technologies existantes, ce qui pousse le secteur de la sécurité informatique à développer de nouveaux moyens de protection. Cette "guerre" suit une spirale : face aux évolutions technologiques, les criminels ne baissent jamais les bras. Au contraire, chacune d'entre elles est scrupuleusement étudiée afin de déterminer sa "vitalité" et définir ses vulnérabilités.

La société Blue Security et son projet Blue Frog constituent un exemple frappant de ce phénomène. Dès sa création, le projet Blue Frog s'est présenté comme une solution efficace contre le courrier indésirable. Et de fait, tout se passait bien au début. Certains utilisateurs de la "grenouille bleue" avaient observé une réduction de 25% du volume de courrier indésirable. En un an, le projet était devenu une sérieuse épine dans le pied des spammeurs, ce qui allait entraîner la fin du spam business. La "grenouille bleue" dut se retirer après une série d'attaques par déni de service trop puissantes.

La situation n'est pas simple non plus du côté des éditeurs de logiciels antivirus. L'activité des criminels se manifeste sous la forme d'une série de "petites morsures" ou d'une approche complexe de la résistance aux outils de protection antivirus.

Parmi les exemples de "petites morsures", nous pouvons citer les procédés suivants :

  • Les auteurs du ver Bagle ont suivi les tentatives d'accès au site malveillant menées par les éditeurs de logiciels antivirus et ils leur ont glissé un fichier tout à fait inoffensif afin que ces sociétés ne puissent pas étudier leur code malveillant. Par contre, les utilisateurs traditionnels qui cliquaient sur le lien malveillant téléchargeaient le code malveillant.
  • Les auteurs du cheval de Troie Trojan-PSW.Win32.LdPinch surveillent l'activité du pare-feu. Lorsque le pare-feu demande à l'utilisateur d'autoriser l'activité du programme, le cheval de Troie répond par l'affirmative.
  • Les individus mal intentionnés envoient régulièrement des programmes malveillants sous la forme de mises à jour au nom d'éditeurs de logiciels antivirus afin de les discréditer.

S'agissant de l'approche complexe en matière de résistance aux moyens de protection antivirus, rien de neuf n'est à signaler. Les moyens utilisés peuvent être regroupés en deux catégories :

  • Résistance passive ;
  • Résistance active.

Résistance passive

La résistance passive implique l'utilisation de moyens qui compliquent l'analyse et/ou la détection du contenu malveillant. Plusieurs démarches existent en la matière (code à génération dynamique, polymorphisme, etc.) mais dans la majorité des cas, les auteurs de programmes malveillants ne perdent pas leur temps à la mise au point de tels mécanismes. Pour attendre leur objectif, ils utilisent une solution bien plus simple, les packers.

Il s'agit d'utilitaires qui permettent de crypter un programme cible à l'aide d'algorithmes spécialisés sans nuire à son fonctionnement. Le recours aux packers facilite considérablement la tâche des cyber-criminels : afin que l'antivirus ne soit plus en mesure de reconnaître un code malveillant connu, l'auteur n'a pas besoin de le réécrire. Il suffit de le compacter à l'aide d'un packer inconnu du logiciel antivirus. Le résultat est le même, mais au prix d'un effort bien moindre.

Comme nous l'avons dit ci-dessus, ce sont principalement des fichiers exécutables qui sont compactés de cette manière. L'illustration 2 représente la part de programmes malveillants compactés par comparaison au nombre global de nouveaux codes malveillants :


Croissance de la part d'exemples compactés
(l'erreur de définition du nombre d’échantillons compactés par des packers inconnus est inférieure à 1%).
(Source : Kaspersky Lab)

La croissance constante de la part de programmes compactés dans le flux global de nouveaux programmes malveillants inconnus témoigne de la confiance que les auteurs de programmes malveillants placent dans cette technique. Il est évident que l'utilisation de packers connus des éditeurs de logiciels antivirus n'a pas de sens car le code malveillant original sans protection sera de toute manière reçu par le logiciel antivirus. C'est la raison pour laquelle les individus mal intentionnés utilisent des packers inconnus de leurs opposants. Il peut s'agir de packers prêts à l'emploi, de packers modifiés ou de packers qu'ils ont développés eux-mêmes. L'illustration 2 montre également l'augmentation du nombre de programmes malveillants préalablement inconnus compactés à l'aide de packers inconnus de Kaspersky Anti-Virus.

On rencontre ces derniers temps de plus en plus de "sandwichs" : il s'agit d'un programme malveillant compacté à l'aide de plusieurs packers dans l'espoir qu'aucun logiciel antivirus ne soit capable de reconnaître tous les packers utilisés. L'illustration 3 montre la croissance de la part de ces "sandwichs" par rapport au nombre global de nouveaux programmes malveillants compactés :


Croissance de la part de "sandwichs" par rapport au nombre global de nouveaux échantillons compactés.
(Source : Kaspersky Lab)

Les machines virtuelles et les émulateurs sont très efficaces pour l'analyse des codes malveillants compactés. Les auteurs de programmes malveillants l'ont très vite compris et ils ont réagi en augmentant le nombre de programmes qui utilisent un code permettant de lutter contre ces technologies. A leur tour, les éditeurs de logiciels antivirus ont perfectionné les technologies de protection, ce qui a débouché sur une nouvelle escalade des moyens.

Résistance active

La résistance active offerte par les auteurs de programmes malveillants face aux technologies antivirales antivirus intègre les actions des codes malveillants qui gênent le fonctionnent des logiciels antivirus. Le blocage de la mise à jour des logiciels antivirus, la suppression des outils de protection en mémoire et sur le disque, la dissimulation de l'activité du code malveillant, etc. sont des exemples de résistance active.

L'illustration 4 représente le nombre de modifications inconnues de programmes malicieux qui luttent activement contre les logiciels antivirus.


Croissance de la part de nouvelles modifications de programmes malveillants qui utilisent la résistance active face aux outils de protection antivirus.
(Source : Kaspersky Lab)

Non seulement le rythme de croissance des nouveaux programmes malveillants ne cesse de s'accélérer (cf. ill. 1), mais la part globale de programmes malveillants offrant une résistance active aux logiciels antivirus augmente également. Cela s'explique par l'exploitation d'outils (rootkit) afin d'allonger la durée de vie du programme malveillant dans le système infecté : plus le code malveillant sera diffusé discrètement, plus grandes seront ses chances d'échapper aux bases des éditeurs de logiciels antivirus.

Et alors que par le passé, un programme malveillant pouvait déjouer les technologies de quelques logiciels antivirus seulement, maintenant il n'est pas rare de rencontrer des programmes malveillants capables de contourner les défenses de dizaines, voire de centaines, de logiciels antivirus.

Malgré les mesures prises par les criminels, les éditeurs de logiciels antivirus ont développé assez vite de nouvelles technologies de protection du milieu d'exécution qu'ils ont intégrées à leurs produits puis des mécanismes de protection contre les outils de dissimulation de l'activité. Cela s'est traduit par un ralentissement de la croissance des programmes résistants aux antivirus). En réaction à la protection de l'environnement d'exécution des antivirus, les criminels ont lancé des codes malveillants avec des pilotes : ce n'est plus le code utilisateur qui est chargé de neutraliser le logiciel antivirus mais le code du régime du noyau qui jouit de tous les privilèges pour contrôler le système. Email-Worm.Win32.Bagle.gr est un exemple de ce type de code malveillant.

Les cybercriminels lancent des attaques en parallèle sur d'autres fronts. Ainsi, les auteurs du ver Warezov accélèrent la diffusion des modifications du ver. Le temps qui sépare l'apparition d'un code d'exploitation après la sortie du correctif correspondant est réduit. Les programmes malveillants s'en prennent en permanence à de nouveaux environnements.

Au rang des succès des éditeurs de logiciels antivirus, on peut citer le recul de l'intérêt porté par les auteurs de programmes malveillants au trafic de messagerie. Les cybercriminels ne pensent plus que le courrier électronique soit un moyen efficace pour la diffusion de leur production, alors que c'était toujours le cas il y a peu. Désormais, grâce aux technologies antivirales, les codes malveillants peuvent être interceptés rapidement avant même que la diffusion de masse par email soit terminée. Les auteurs de codes malveillants ne se déclarent pas vaincus pour autant et l’on observe d'ores et déjà un renforcement de la popularité de la diffusion des codes malveillants via Internet.

La cybercriminalité sur Internet place les sociétés de sécurité informatique face à une pression constante. En constatant l'explosion des revenus des cyber-criminels, les milieux criminels peuvent attirer des cadres hautement qualifiés afin de pouvoir développer sans cesse de nouvelles technologies d'attaque. Grâce à leur potentiel, les sociétés de sécurité informatique seront en mesure de résister à cette pression pendant quelques années encore même si cela deviendra de plus en plus difficile. Quelle sera la suite de cette évolution ? Difficile de le savoir aujourd’hui estime la communauté des experts.

Lutte entre cybercriminels et entreprises

Lassées des attaques incessantes des cybercriminels sur leurs infrastructures et sur l'infrastructure de leurs clients, les entreprises qui, hier encore se présentaient en victimes, ont décidé de réagir. Si 2004 et 2005 correspondent aux années de la cyber criminalisation totale du réseau avec une explosion du nombre de nouveaux programmes malveillants, 2006 restera l'année où les entreprises ont commencé à accorder à la cybercriminalité toute l'attention qu'elle mérite.

A titre d'exemple, nous pouvons évoquer les institutions financières qui ont décidé, en toute indépendance, de répliquer aux cyber-criminels. Au cours de l'année écoulée, les banques ont toutes introduit de nouvelles méthodes d'enregistrement, depuis les mots de passe à usage unique jusqu'à la biométrie, ce qui a considérablement compliqué la tâche des individus mal intentionnés lors de la mise au point de codes malveillants ciblant les structures financières. De plus en plus de logiciels affichent des avertissements en ligne lors de la diffusion d'un nouveau correctif mais malheureusement, les individus mal intentionnés réagissent plus vite que les utilisateurs. Les délais pour la diffusion d'un correctif ont également été réduits.

Lutte entre les cybercriminels et les Etats

Les moyens les plus puissants de lutte contre les cybercriminels sont probablement entre les mains des Etats mais malheureusement, à l'heure actuelle l'Etat est l'acteur qui a manifesté le moins d'intérêt à la problématique.

L'ampleur de la cybercriminalité est telle que les autorités ne disposent tout simplement pas des ressources nécessaires pour s'occuper ne serait-ce que d'une partie de tous les délits perpétrés. La tâche qui se présente aux autorités judiciaires est ardue : toute action est compliquée lorsque la cybercriminalité ne se limite pas aux frontières d'un seul état (un cybercriminel peut avoir un serveur dans un pays et attaquer les utilisateurs se trouvant dans un autre pays alors que lui est établi dans un troisième) et l'infrastructure du réseau permet aux éléments criminels d'agir très rapidement tout en préservant leur anonymat. De plus, les engrenages de l'Etat mettent du temps à tourner. Les autorités perdent un temps précieux à prendre des décisions et à trouver des accords si bien qu'au lancement de l'enquête, les individus ont déjà changé d'emplacement et d'hébergeurs.

A l'heure actuelle, les autorités publiques font plus penser à une victime des cybercriminels qu'à un combattant. Pour confirmer cette situation, voici quelques exemples qui ont été abondamment traités dans la presse :

  • Tout conflit politique international important s'accompagne presque toujours d'une lutte entre les cybervoyoux des pays impliqués. Cela se manifeste par les attaques réalisées contre les sites Internet gouvernementaux des adversaires. Ce fut le cas à la fin de l'année 2005 lorsque les cybervoyoux du Pérou et du Chili se sont affrontés sur la question de l'appartenance des zones de pêche ou lors du dernier conflit entre le Liban et Israël pendant lequel chaque jour, des dizaines de sites israéliens, libanais et américains ont été attaqués. L'opposition entre les cybervoyoux chinois et japonais ou américains et chinois est permanente. Et les Etats punissent rarement ces débordements dont sont victimes les ressources gouvernementales en ligne.
  • Les individus mal intentionnés marquent souvent leur désaccord avec l'un ou l'autre organisme gouvernemental par le biais d'une attaque par déni de service ou par d'autres mesures malveillantes. Ce fut le cas du ministère des affaires étrangères japonais qui fut victime en automne 2006 d'une attaque par déni de service en signe de protestation à la visite d'un temple "militariste" par des personnalités officielles. Idem pour des sites suédois au printemps 2006 pour protester contre la lutte contre le piratage.
  • Les structures gouvernementales sont souvent considérées comme une source de données exclusives qui pourront ensuite être revendues à bon prix sur le marché noir ou contribuer à la réalisation d'une attaque quelconque. Prenons le cas par exemple de RosFinMonitoring (service russe de surveillance financière qui enregistre toutes les transactions dont le montant dépasse 20 000 USD). Son système informatique est victime chaque jour, d'après le directeur-adjoint, de tentatives d'attaques. Selon ce fonctionnaire, les individus mal intentionnés sont attirés par les informations sur les banques.

Après s'être finalement rendues compte de la gravité et de l'ampleur du problème posé par les cybercriminels, les autorités tentent de changer la situation et elles ont adopté certaines mesures, même si elles peuvent être qualifiées de tardives :

  • afin de faciliter l'interaction et d'accélérer les réactions, les autorités judiciaires de divers pays ont tenté de créer e-Interpol ;
  • Lors du forum régional de l'ASEAN en été 2006, les pays membres ont décidé de créer un réseau d'informations sur les cyber-crimes liés aux ordinateurs, de diffusion de recommandation pour la lutte contre la cybercriminalité et d'autres informations similaires ;
  • En été 2006, le sénat américain a ratifié l'accord européen de lutte contre la cybercriminalité, rejoignant ainsi quelques dizaines d'autres pays ;
  • Plusieurs pays (Russie, Grande-Bretagne) envisagent de renforcer la législation en vigueur.

D'après certains fonctionnaires, ces mesures vont faciliter la lutte contre la cybercriminalité et le cyberterrorisme et permettront d'élucider plus rapidement ces crimes. C'est probablement ce qui va se produire à long terme mais pour l'instant les cybercriminels ne remarquent pas du tout que l'Etat cherche à les attaquer. Ils ignorent complètement les tentatives d'ouverture de ce front. Les mesures adoptées ne vont pas introduire d'améliorations sensibles. Toutefois, il faut se réjouir que la machine gouvernementale se soit mise en marche et qu'elle soit partie dans la bonne direction.

Conclusion

A l'heure actuelle, seules les sociétés de sécurité informatiques sont en mesure d'offrir une résistance digne de ce nom aux cybercriminels. Mais la situation va se détériorer en raison du nombre croissant de cyber-attaques. Chaque année écoulée complique la lutte.

Les cybercriminels sont de mieux en mieux organisés et regroupés. De ce côté-ci des barricades, le front est plus décousu. Les éditeurs de logiciels antivirus, les organismes gouvernementaux et les autres entreprises rechignent à l'idée de partager des informations, ce qui se traduit par la perte d'un temps précieux et la complication des enquêtes avec les mesures appropriées.

Il n'est pas encore trop tard pour changer la situation, mais cela va demander beaucoup d'efforts. Le développement et la mise en oeuvre de nouvelles technologies de protection doit s'accompagner de la création d'un front commun regroupant tous les acteurs de la lutte contre les cybercriminels capables de faire changer la situation.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com