Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct Nov Dec
Les Analyses les plus Populaires



Kaspersky Security Bulletin 2014. Prévisions pour les APT



Bulletin de Kaspersky sur la sécurité en 2014. Principales statistiques pour 2014



Kaspersky Security Bulletin 2014. Prévisions 2015



Kaspersky Security Bulletin 2014. Evolution des malwares



Evolution des menaces informatiques au 3e trimestre 2014
 
 

  Page d'accueil / Analyses

Les menaces évoluent- les solutions aussi …

17.04.2008   |   comment

David Emm
Consultant Technique Senior, Kaspersky Lab UK

Le premier virus informatique est apparu il y a plus de vingt ans. Depuis lors, la nature des menaces a sensiblement évolué. Les menaces d'aujourd'hui sont plus complexes que jamais. De nos jours, la majorité des codes malveillants est développée sur mesure ; ceci concerne bon nombre de chevaux de Troie, d'exploits, de processus masqués (rootkits), d'hameçonnage (phishing) ou de courriers indésirables (spam), tout autant que les virus et les vers traditionnels, conçus pour détourner le fonctionnement des ordinateurs et gagner de l'argent illégalement. La connectivité introduite par Internet permet de lancer des attaques très rapides, en visant large ou, au contraire, de manière sélective les ordinateurs pris pour cibles, en fonction des objectifs des auteurs de logiciels malveillants, ou de leurs commanditaires dans l'ombre. Le code malveillant peut être inséré dans un courrier électronique, injecté dans de faux paquets logiciels ou placé en téléchargement sur des pages Web par un cheval de Troie installé sur une machine infectée. L'importance numérique du problème, en chiffres absolus, a également continué à augmenter. Les bases antivirus de Kaspersky Lab contiennent 570 500 signatures et environ 3 500 nouvelles signatures sont ajoutées par semaine.

Dans tous les domaines de l'activité humaine, le travail des générations précédentes est le socle sur lequel s'appuient les suivantes, qui tirent les leçons des succès antérieurs pour conquérir de nouveaux horizons. Cette vérité s'applique aussi aux développeurs de code malveillant. C'est par vagues successives qu'il faut comprendre l'évolution des codes malveillants.

Il n'en est pas moins vrai que les solutions de sécurité ont également évolué pour rester à la hauteur de chaque nouvelle génération de menaces. C'est pour cette raison que les menaces et solutions d'aujourd'hui présentent des différences considérables par rapport au temps des premiers virus. Mais quels sont les facteurs spécifiques qui ont influencé le développement du code malveillant ? Et comment les solutions de sécurité ont-elles évolué pour répondre à chaque nouvelle menace ?

Le premier virus informatique : les virus de secteur d’amorçage

Le premier virus informatique, appelé Brain (« cerveau »), a surgi en 1986. Le virus Brain était un virus du secteur d'amorçage. Ce type de virus modifiait le premier secteur des disquettes, le secteur d'amorçage. Le cycle de vie d'un virus de secteur d'amorçage est le suivant : dès qu'un utilisateur démarrait l'ordinateur à partir d'une disquette infectée, il chargeait son code en mémoire et s'exécutait. Il n'était pas nécessaire d'utiliser une disquette du système d'exploitation : n'importe quelle disquette suffisait. En général, l'utilisateur n'avait même pas l'intention de démarrer à partir de la disquette. Il oubliait tout simplement de retirer la disquette la veille et lorsqu'il allumait sa machine le lendemain, la disquette se trouvait toujours là. Si le BIOS était configuré pour démarrer à partir du lecteur (naturellement, de nos jours, un nombre croissant d'ordinateurs est livré sans lecteur de disquettes), le système détectait alors la disquette dans l'unité A et chargeait automatiquement le code du secteur d'amorçage, quel qu'il soit : dans le cas d'un disque infecté, ce qu'il chargeait était un virus. L'utilisateur réalisait la présence d'une disquette dans son lecteur quand il voyait apparaître un message « Erreur de disquette ou ce n'est pas un disque système. Remplacez la disquette et appuyez sur une touche ». Il retirait alors la disquette et reprenait son travail, sans réfléchir à cet incident. La suite dépendait du système d'exploitation utilisé. L'infection du secteur d'amorçage vise la couche BIOS, qui s'exécute avant même le chargement du système d'exploitation. Ces virus étaient donc indépendants du système d'exploitation1. Toutefois, ils invoquaient des fonctions DOS pour s'installer résidents en mémoire et se propager sur d'autres disquettes, par conséquent, si le système d'exploitation ne prenait pas en charge la couche DOS, ces virus n'avaient pas la possibilité de s'installer et de se propager. Ils étaient en effet limités aux seuls systèmes d'exploitations DOS, Windows 3.x (qui s'appuie sur DOS) ou Windows 9x (qui exploite parfois la couche DOS pour accéder aux disquettes). Sur d'autres systèmes d'exploitation, les dommages n'étaient possibles que si le virus s'attaquait à la couche BIOS, avant le chargement du système d'exploitation. C'était le cas du virus Michelangelo, par exemple, qui écrasait le contenu initial du disque dur lorsque l'ordinateur était allumé un 6 mars... et rendait impossible le chargement du système d'exploitation.

Les auteurs de virus du secteur d'amorçage n'avaient pas besoin de recourir à l'ingénierie sociale pour diffuser leurs créations. Il n'était pas nécessaire de faire appel aux utilisateurs, hormis leur distraction, consistant à oublier une disquette infectée dans l'unité. À l'époque, les disquettes étaient le principal moyen de transfert des données d'un ordinateur à l'autre, d'un utilisateur à l'autre. Il était donc quasiment inévitable que, tôt ou tard, l'utilisateur remette une disquette infectée à un ami, à un collègue ou à un client, et propage à son tour le virus.

Au cours des années qui suivirent l'apparition du virus Brain, les virus du secteur d'amorçage ont été davantage raffinés et mis au point. Le virus Brain infectait uniquement les disquettes, mais la plupart de ses successeurs étaient conçus pour infecter également le disque dur. Dans la plupart des cas, ceci impliquait d'écrire du code dans l'enregistrement de démarrage principal (MBR). D'autres, en particulier le virus Form, infectaient le secteur d'amorçage du disque dur. Enfin, un petit nombre (Purcyst, par exemple) infectait à la fois le MBR et le secteur d'amorçage.

Virus de fichiers DOS

Jusqu'en 1995, les virus du secteur d'amorçage représentaient environ 70 % de toutes les infections rencontrées dans la nature2. Mais, ce n'est pas le seul type de virus. Cette période a également vu l'apparition de virus qui infectaient les fichiers DOS exécutables, d'abord les fichiers COM puis les fichiers EXE. Ces virus modifiaient le fichier cible de telle manière que le code viral s'exécutait automatiquement au lancement du programme. Différentes méthodes permettaient d'infecter les fichiers.

Une méthode habituelle était l'ajout de code viral à la fin du fichier cible puis la modification de son en-tête, afin de charger en premier le code, puis continuer avec les instructions du programme original. Il existait cependant plusieurs variations à ce modèle.

Certains virus inséraient leur code au début du fichier. D'autres inséraient leur code à plusieurs emplacements du fichier. D'autres encore, appelés virus de remplacement, écrasaient entièrement le code d'origine : naturellement, le programme cible ne pouvait plus s'exécuter, et ce type de virus ne se rencontrait pas fréquemment ; leur présence était trop évidente et ils ne pouvaient survivre longtemps. Enfin, quelques virus choisirent une méthode d'infection alternative. Les virus-compagnons enregistraient leur code dans un fichier séparé, appelé « compagnon ». Par exemple, le virus pouvait renommer le fichier standard RUNME.EXE à RUNME.EXD puis créer un nouvel exemplaire de RUNME.EXE, qui contenait le code viral : quand l'utilisateur exécutait ce programme, le virus se chargeait en premier puis passait la main au programme original, de sorte que l'utilisateur ne soupçonnait rien. Une autre alternative était le « virus de liaison », qui se propageait en manipulant les voies d'accès au fichier disponibles dans le système de fichiers FAT employé par DOS. L'utilisateur recevait un fichier infecté (sur disquette, par exemple) et l'exécutait. Une fois en mémoire, le virus créait un fichier (normalement invisible) sur le disque : c'est ce fichier qui contenait le code viral. Le virus était alors en mesure de modifier les liaisons de la FAT pour faire pointer d'autres fichiers sur le secteur du disque contenant le code viral. Le résultat était que chaque fois que le fichier infecté était lancé, le système exécutait d'abord un branchement sur le code viral, puis exécutait le fichier original.

L'une des raisons qui explique la moindre fréquence des virus de fichier par rapport aux virus de secteur d'amorçage, c'est que les utilisateurs échangeaient peu souvent des logiciels, surtout en environnement professionnel. L'échange des disquettes était normalement destiné au transfert de données. Ceci dit, il existait aussi des virus de fichier, aux premiers jours. Ceux qui réussissaient le mieux et qui se propageaient le plus rapidement étaient conçus comme résidents en mémoire : ces virus de fichier dits « à action indirecte » pouvaient contrôler l'activité du système et infecter tous les fichiers que l'utilisateur choisissait d'exécuter. En revanche, les virus de fichier à action directe infectaient simplement un ou plusieurs fichiers lors du lancement du programme infecté, puis restaient en hibernation jusqu'au prochain lancement d'un fichier infecté : ces virus étaient donc beaucoup moins aptes à la propagation. Un autre facteur de diffusion des virus de fichier était leur distribution massive sur des supports infectés : cela est en effet arrivé un certain nombre de fois, avec la distribution de magazines accompagnés de disquettes infectées.

Le paysage viral des années 1980

Le nombre total de virus de fichier était en forte croissance à partir de la fin des années 80, mais seul un petit nombre de virus très réussis parvenait à dominer la scène. Le virus Jérusalem, par exemple, s'est propagé dans beaucoup d'entreprises, d'institutions académiques et d'agences gouvernementales et le 13 mai 1988 (date d'un « vendredi noir » devenu célèbre), il a provoqué la première épidémie virale de grande envergure. Le virus Vienna a engendré de nombreuses variantes après la publication de son code source. Enfin, le virus Cascade, remarquable pour avoir été le premier virus chiffré, était répandu jusque dans les années 90.

Au fur et à mesure, les auteurs ont essayé de concilier le meilleur des deux mondes, en développant des virus qui visaient à la fois le secteur d'amorçage et les fichiers. Les virus Tequila, Junkie et Natas sont tous des exemples réussis d'un type désormais célèbre de virus composite.

A cette époque, il était presque exclusivement question de virus. Mais quelques vers existaient déjà, le plus remarquable étant le ver Morris de novembre 1988: il a réussi à infecter environ 6000 systèmes vulnérables (soit 10 % de tous les ordinateurs connectés à Internet en 1988). Mais à cette date, Internet était presque exclusivement exploité par des institutions gouvernementales et académiques. L'heure des vers Internet n'avait pas encore sonné.

Par ailleurs, il n'existait qu'un nombre encore restreint de chevaux de Troie. Leur appellation (parfois abrégée en « trojan» ou « troyen ») provient du cheval de bois utilisé par les Grecs pour pénétrer furtivement à l'intérieur de la ville de Troie afin de la conquérir. Les premiers chevaux de Troie, apparus vers la fin des années 80, se déguisaient sous l'aspect de programmes innocents. Dès que l'utilisateur confiant exécutait le programme, le cheval de Troie se consacrait à sa tâche malveillante. De là provient la définition reprise par la plupart des fabricants d'antivirus: un programme non réplicateur en apparence légitime mais en réalité conçu pour effectuer une certaine action malveillante sur l'ordinateur de la victime.

Le fait que les chevaux de Troie ne se propagent pas tous seuls les caractérise et les différencie des virus. Les virus sont des parasites, qui ajoutent leur propre code à celui du programme hôte. Ils se propagent ainsi de fichier en fichier : plus la durée d'infection est longue, et plus le virus se reproduit dans la machine (et également à travers le réseau, si l'utilisateur est en mesure d'y accéder). Les chevaux de Troie, en revanche, ne disposent d'aucun mécanisme de réplication incorporé. C'est pourquoi, à cette époque, les auteurs de chevaux de Troie devaient chercher des solutions manuelles afin de distribuer leur code : par transfert sur des BBS (Bulletin Board System) dissimulés à l'abri d'une application utile, par installation délibérée dans un réseau d'entreprise, ou même par envoi postal à l'attention d'une liste de victimes prédéfinie.

Twelve Tricks, par exemple, était une version altérée d'un logiciel de tests du disque dur. Une fois installé, le cheval de Troie se recopiait lui-même dans le MBR du disque et exécutait l'une de ses douze « farces », dont beaucoup faisaient croire à la victime qu'il souffrait d'un problème matériel. Malheureusement, la possibilité existait aussi que le cheval de Troie ne reformate la piste d'amorçage du disque dur, ou qu'il ne cause progressivement des dommages à la FAT (table d'accès aux fichiers).

Un autre exemple des premiers chevaux de Troie se présentait dans une disquette d'informations sur le HIV, « Aids Information Disk ». À la fin de 1989, 20 000 disquettes contenant ce cheval de Troie ont été postées à des adresses volées du magazine PC Business World et de l'Organisation Mondiale de la Santé, par une société appelée PC Cyborg. La disquette était censée contenir des informations sur le HIV et l'auteur jouait clairement sur la préoccupation du public autour de cette maladie. Quand l'utilisateur lançait le programme d'installation, le cheval de Troie se recopiait lui-même sur le disque dur, créait ses propres fichiers et répertoires masqués et modifiait le système de fichiers. Après avoir démarré l'ordinateur 90 fois, le cheval de Troie chiffrait le contenu du disque dur, rendant les données inaccessibles. Le seul fichier encore lisible était un fichier README (lisez-moi) : il contenait une facture et l'adresse d'une boîte postale au Panama pour le paiement. Il est intéressant de noter que le contrat de licence qui accompagnait la disquette utilisée pour distribuer le cheval de Troie se réservait l'utilisation de « mécanismes logiciels » capables de « produire des effets nuisibles aux autres applications ».3

Ce n'est que bien plus tard que les chevaux de Troie ont pris le devant la scène.

Virus furtifs et polymorphiques

Au cours de cette période, nous assistons également à la mise au point de techniques spécifiques pour élargir ce qu'on appelle la « fenêtre d'opportunité », c'est à dire le laps de temps dont dispose un virus avant d'être détecté. Des techniques de dissimulation ont été développées pour masquer aux utilisateurs les modifications que le virus effectuait dans l'ordinateur. Ces techniques se chargeaient de supprimer les messages d'erreur qui auraient pu indiquer la présence du virus, d'altérer les informations des fichiers qui auraient mis en évidence une augmentation de leur taille, ou d'intercepter l'emploi d'outils d'édition du disque qui auraient permis d'examiner les secteurs système. Plus tard, les techniques de dissimulation sont devenues encore plus sophistiquées, en parvenant à mettre le code viral des fichiers infectés hors de portée des analyseurs antivirus qui tentaient de les examiner. Après cette évolution, il est devenu essentiel d'analyser le contenu mis en mémoire avant d'examiner le disque, (en effet, le chiffrement en mémoire du code viral est une opération si complexe que bien peu de virus s'y sont essayés).

Le polymorphisme était une autre technique mise au point pour permettre au code viral d'échapper à l'analyse antivirus. Le terme « polymorphe » provient du Grec « beaucoup + forme ». L'idée était de chiffrer de manière variable le code viral à chaque infection, en altérant la forme du virus de sorte que le programme antivirus ne puisse rencontrer de séquences d'octets constantes. Les premières créations de virus répondant à ce modèle datent de 1990 : mais ce n'est qu'à partir d'avril 1991, avec le virus Tequila, que le code polymorphe a fait son apparition dans ce domaine. Cette évolution a rendu impossible, pour un programme antivirus, de s'appuyer uniquement sur les signatures. D'autres techniques sont devenues essentielles, comme les émulateurs de code, ou l'utilisation d'algorithmes mathématiques permettant de «d’apporter plus de transparence (voir au travers) sur la lecture » du code.

Les deux techniques, celle du masquage et du polymorphisme, ont été ultérieurement affinées et réutilisées par les générations suivantes de développeurs de virus.

Qu'en est-il des solutions antivirus au cours de la période 1985 - 2000 ?

La progression des problèmes viraux ressemble davantage au ruissellement d'un filet d'eau qu'à une inondation : les nouveaux virus sont apparus lentement, un par un. De fait, pendant quelques années, certains considéraient même l'apparition des virus comme un mythe. Les premiers programmes antivirus étaient des utilitaires conçus pour trouver et supprimer des virus individuels ou encore, à mesure que le nombre de programmes malveillants augmentait, une poignée de virus.

Puis, au fur et à mesure que le filet d'eau devenait ruisseau, en 1989, des « toolkits » c'est à dire des trousses à outils antivirus ont été publiées. Au cœur de ces programmes, on trouvait généralement un module de balayage à la demande, conçu pour rechercher sur disque une douzaine environ de virus déjà connus. Certains offraient la possibilité de supprimer le code infecté. D'autres ajoutaient un calculateur de sommes de contrôle, permettant de créer sur un disque non contaminé des « empreintes digitales » de fichiers, de sorte que n'importe quelle altération postérieure devenait visible, même si (en théorie) le responsable était un nouveau virus.

Au départ, les programmes antivirus intervenaient seulement à la demande. Le nombre de nouveaux virus s'est développé lentement au début. D'ailleurs, leur taux de propagation était faible, comparé aux normes actuelles. La clé du problème était donc d'effectuer des balayages réguliers du système et de se doter de moyens pour extirper tout ce qui parvenait à s'infiltrer dans une organisation ou dans un ordinateur domestique. Pour cela, il était indispensable d'avoir sous la main une disquette système non infectée : en démarrant tout d'abord avec un système sain, on s'assurait qu'aucun virus en mémoire ne pourrait interférer avec les opérations d'analyse et de nettoyage4. Dans beaucoup de cas, les sociétés n'installaient même pas de programmes antivirus dans les ordinateurs individuels, en tout cas au début (mais elles corrigeaient le tir aussitôt qu'elle était victime d'un virus). Typiquement, l'administrateur effectuait un balayage régulier du système et s'efforçait d'analyser les disquettes introduites sur les machines indépendantes avant leur emploi.

Le cycle habituel de mise à jour des programmes antivirus par leurs utilisateurs était trimestriel. Quelques fabricants d'antivirus offraient des mises à jour mensuelles, mais elles n'étaient généralement pas considérées comme nécessaires et ceux qui souhaitaient bénéficier de ce niveau de sécurité supplémentaire devaient payer une prime de fréquence. Quant aux mises à jour, elles étaient bien entendu livrées... sur disquettes !

Les menaces se développent, les méthodes de détection évoluent

Cependant, à la fin de 1990, le nombre de virus atteignait les 300. Pour réagir à la menace, les fabricants d'antivirus ont commencé à mettre en place une protection en temps réel. Ceci impliquait le développement de logiciels résidents ou TSR (Terminate and Stay Resident) qui, comme les virus le plus réussis de cette époque, surveillaient le système et interceptaient les accès au disque et aux fichiers pour contrôler la présence de virus connus.

Par ailleurs, la recherche a commencé autour de procédés proactifs de détection antivirus, qui ne se servaient pas de signatures spécifiques, mais utilisaient des procédés d'analyse heuristique. Les chercheurs antivirus acquirent une connaissance toujours croissante des techniques mises en œuvre par les logiciels malveillants et profitèrent de ce savoir-faire pour créer des listes de caractéristiques suspectes, en associant chacune d'elles avec un score particulier. Le module d'analyse recherchait alors ces caractéristiques : si le score dépassait un certain seuil, alors le fichier était identifié comme probablement un virus.

La menace croissante des virus polymorphes a forcé les développeurs antivirus à compléter leur analyse des signatures par d'autres méthodes permettant au module d'analyse de « voir au travers » des couches de chiffrement. Ces méthodes font appel à des procédés de réduction, de cryptanalyse, d'analyse statistique et à des techniques d'émulation. Les émulateurs de code étaient également utilisés pour améliorer les méthodes de détection heuristiques, en rendant possible l'analyse dynamique du code.

Les bloqueurs de comportement

Une autre solution contre la forte croissance du nombre de virus a été l'analyse comportementale. Tandis que les antivirus traditionnels conservent les signatures de code malveillant dans une base de données, dont ils se servent pendant le processus d'analyse, les bloqueurs de comportement étudient le comportement d'un programme et décident s'il est malveillant, ou pas : si un programme fait quelque chose qui va outrepasser un certain seuil d'actions acceptables prédéfinies, il est interdit.

L'intérêt principal d'un bloqueur de comportements, selon ses partisans, était de distinguer entre les « bons » et les « mauvais » programmes sans avoir à faire appel à un professionnel antivirus pour l'analyse du code. Puisqu'il n'est pas nécessaire d'analyser en permanence chaque menace spécifique, il n'est pas non plus nécessaire de mettre à jour les signatures antivirus. Les utilisateurs sont donc protégés contre de nouvelles menaces à l'avance, sans avoir à mettre à jour continuellement les bases de l'antivirus.

L'inconvénient, bien entendu, c'est le flou des critères permettant de différencier entre des actions clairement malveillantes et des actions légitimes. Quelque chose de malveillant dans un programme spécifiquement conçu pour causer des dommages peut être aussi quelque chose de souhaitable dans le contexte d'un programme légitime. L'écriture sur disque à bas niveau, par exemple, dans le cas d'un virus, d'un ver ou d'un cheval de Troie pourrait conduire à l'effacement des données du disque dur, mais dans le cas du système d'exploitation, c'est une action légitime. Comment un bloqueur de comportements installé sur un serveur de fichiers peut-il savoir que la modification (ou la suppression) d'un document est une action légitime de l'utilisateur et non la conséquence de l'activité d'un programme malveillant ? Après tous, les virus ou les vers sont simplement des sortes de programmes auto-réplicateurs. Hormis cela, ils se comportent comme n'importe quel autre programme courant. C'est pour cette raison que les programmes antivirus continuent de recourir largement à la détection de programmes malveillants connus.

Mais l'analyse comportementale n'a pas disparu pour autant. En effet, de nombreuses solutions de sécurité combinent aujourd'hui l'utilisation de l'analyse comportementale avec d'autres méthodes de recherche, d'interdiction ou d'éradication du code malveillant.

Le nombre croissant des menaces n'était qu'un seul des problèmes. Le développement des techniques de dissimulation et de polymorphisme décrites ci-dessus soulignent le fait que les virus évoluent continuellement. Même si beaucoup de virus sont mal écrits ou mal recopiés, les auteurs les plus habiles sont capables d'écrire du code très efficace et de repousser sans cesse leurs limites pour maintenir leur avance sur les chercheurs antivirus. Parmi eux on trouve « Dark Avenger » (le vengeur noir), responsable, entre autres choses, du développement de deux « infecteurs rapides » capables de corrompre n'importe quel type de fichier ouvert, et de l'idée d'une destruction progressive des données (virus Dark Avenger et Nomenklatura). Dark Avenger est l'auteur du moteur auto-mutant MtE (Self-Mutating Engine), un module capable de transformer un virus normal en virus polymorphique5. Sa dernière œuvre était un virus appelé Commander Bomber, dans lequel le code était réparti tout le long du programme hôte, ce qui rendait très difficile sa détection à n'importe quelle vitesse.

Le service VX et kits de création de virus

D'autres développements ont rendu la vie difficile aux développeurs d'antivirus pendant la première moitié des années 90. Le service VX (Virus eXchange) venait le premier. Les BBS (Bulletin boards systems) ont été utilisés dès le début comme mécanisme de distribution des virus. Avant l'explosion d'Internet, les BBS étaient normalement utilisés pour télécharger des logiciels : la préparation puis le téléchargement de fichiers infectés devenait ainsi un moyen efficace de propager une infection. Mais le service VX était un perfectionnement de ce phénomène. Le principe était simple : le service VX hébergeait une collection de virus, mais pour y accéder, il fallait d'abord ajouter un virus. Bien entendu, cela a non seulement encouragé l'écriture, mais également augmenté la dissémination de virus qui autrement, n'auraient pas pu se propager. Un autre développement parallèle, à la même époque, venait d'un certain nombre de personnes en Europe aux États-Unis qui mettaient à la vente des collections de virus.

Une autre tendance inquiétante a été l'apparition de kits de création de virus. Comme leur nom l'indique, ces kits permettaient de « fabriquer des virus personnalisés », à ceux qui manquaient de connaissances ou de savoir faire informatiques suffisantes pour créer leur propre code. Ces kits offraient une interface utilisateur permettant de choisir dans une liste les caractéristiques du virus. Malheureusement pour leur auteurs, les virus fabriqués à l'aide de ces kits contenaient normalement une « empreinte digitale » caractéristique qui permettait aux chercheurs antivirus de tous les détecter tous à partir d'une même signature.

Les virus de macro

Une nouveauté importante fit son apparition en juillet 1995, avec le premier virus de macro, appelé Concept. Les virus de macro allaient dominer l'horizon des menaces pendant les quatre années suivantes.

L'auteur du virus Concept partait du constat que les utilisateurs échangeaient bien plus souvent des données que des programmes. Il utilisa des instructions WordBasic6 pour modifier le modèle NORMAL.DOT et introduire le code du virus, sous forme de plusieurs macros, dans chacun des documents que l'utilisateur créait par la suite. Ce faisant, chaque récepteur du document infecté devenait à son tour une victime du virus. Cette simple évolution, depuis longtemps annoncée et redoutée par les chercheurs antivirus, connut des implications de grande envergure.

En premier lieu, l'attention des auteurs de virus se déplaça du code exécutable (fichiers de programme et secteurs de disque) vers les données. Auparavant, les virus étaient généralement écrits en code assembleur, ce qui exigeait un certain degré de connaissances. Cette fois, il était beaucoup plus facile de créer des virus de macro avec WordBasic et plus tard, avec VBA (Visual Basic for Applications). Les macrovirus étaient également plus faciles à recopier : ils étaient en général lisibles en clair et pouvaient être copiés, modifiés et réappliqués avec facilité. Du même coup, les possibilités de création virale devenait accessible à un bien plus grand nombre d'auteurs. En conséquence, le nombre de virus augmenta de manière significative : d'environ 6000 en juin 1995, ils passèrent à 7500 à la fin de la même année, puis à 25 000 en décembre 1998.

En second lieu, les virus de macro étaient les premiers virus qui infectaient (délibérément) les fichiers de données. Comme les fichiers de données étaient échangés bien plus souvent que les logiciels, les virus de macro disposaient d'une voie de réplication bien plus efficace que les virus précédents. Ce problème s'est encore compliqué davantage avec l'apparition du courrier électronique comme moyen de communication et d'échange de données. L'utilisation croissante de la messagerie par des utilisateurs courants, et non plus seulement par des spécialistes de l'Internet, la facilité avec laquelle il devenait possible d'échanger un document en pièce jointe, et le développement de l'accès Internet à haut débit, tout cela s'est révélé un terrain fertile pour la propagation des virus de macro.

En troisième lieu, les virus de macro ne dépendaient ni de la plate-forme, ni du système d'exploitation. Ils reposaient sur des applications. Des versions de Word existaient pour Windows 3.x, Windows 95, Windows NT et pour Macintosh, et ses documents exposaient donc tous ces systèmes aux attaques, ou se comportaient comme des véhicules efficaces. Sans compter que le problème a vite débordé le cadre de Word. En effet, le langage VBA s'exécutait sur toute la suite Office (Word, Excel, PowerPoint, Access et Project), de sorte que toutes ces applications sont devenues les cibles des virus de macro : on trouvait même des virus de macro transversaux qui visaient l'ensemble des applications Office !

Comme nous l'avons dit, chaque nouvelle génération s'appuie sur le travail de la génération précédente. Les auteurs de virus de macro sont donc revenus à leurs premiers développements sur l'invisibilité ou le polymorphisme, et les ont adaptés à ce nouvel environnement.

Une nette progression des solutions de protection : les solutions pour serveur et passerelle de messagerie

Parallèlement à cette évolution, les solutions destinées à protéger les entreprises contre les menaces qui les attaquaient évoluaient aussi. Avant l'apparition des virus de macro, le centre de gravité de l'analyse antivirus était le poste de travail et, dans une moindre mesure, le serveur de fichiers. La diffusion des virus de macro par le Net a amorcé un processus destiné à protéger les serveurs de messagerie et les passerelles Internet. La raison était claire. En effet, si le courrier électronique était devenu la voie royale de propagation, le moyen le plus efficace de bloquer les menaces était de les détecter avant qu'elles n'atteignent le poste de travail. Bien entendu, la nécessité d'une protection pour le poste de travail et le serveur de fichiers ne disparaissait pas. Cette protection restait l'arme essentielle du combat antivirus. Mais il fallait désormais l'intégrer dans un système de défense élargie, à plusieurs niveaux.

Les fabricants d'antivirus progressèrent également dans leurs recherches autour des méthodes de détection proactives, plus particulièrement avec des solutions de détection générique. La détection est dite générique parce qu'elle permet de détecter et de supprimer des menaces multiples au moyen d'une seule signature. La détection générique part du principe qu'une menace réussie est souvent recopiée par d'autres personnes, ou encore, raffinée par leur auteur. Il faut donc faire face à un flux de virus, de vers ou de chevaux de Troie qui sont tous différents, mais qui appartiennent à la même famille. Dans de nombreux cas, les variantes peuvent se compter par dizaines, parfois par centaines. La détection générique a donc marqué une autre évolution dans les méthodes de détection de menaces nouvelles ou inconnues, sans disposer de signatures spécifiques.

La naissance du spam

Avec l'utilisation croissante du courrier électronique comme principal outil commercial, un autre problème a fait son apparition pour les entreprises, à savoir le courrier indésirable, communément appelé « spam », pourriel, pollupostage, etc. Plus les sociétés se servaient du courrier électronique, et plus ce média devenait attirant pour les annonceurs de biens ou services. Ce type de publicité couvrait un large éventail de produits et services, tantôt légitimes, tantôt obscènes, illégaux ou, en tout cas, non souhaités.

L'apparition et le développement du courrier indésirable s'accompagnaient de plusieurs problèmes. Parmi eux, le gaspillage de la bande passante, le temps perdu par les salariés à identifier des messages sans rapport avec leur travail, ainsi que les problèmes légaux et de gestion du personnel posés par le contenu obscène, sexiste, raciste ou simplement indésirable. Bien entendu, les limites restent floues : un message sera tantôt jugé clairement indésirable par quelqu'un, tantôt intéressant et bienvenu par quelqu'un d'autre.

C'est à cette période qu'on commença à installer des premiers filtres de contenus indésirables, déployés essentiellement sur les passerelles Internet, mais ce n'était pas la seule solution anti-spam. La collaboration s'est également développée avec les fabricants d'antivirus, davantage concentrés sur le filtrage du code malveillant au niveau des serveurs de courrier et des passerelles Internet.

1999 : Melissa ou l’usage de la messagerie pour « optimiser » l’attaque

L'apparition du virus Melissa en mars 1999 marque une avancée prodigieuse dans le domaine des menaces virales. D'une certaine manière, le virus Melissa ressemblait tout juste à un autre virus de macro. Alors que les premiers virus de macro attendaient que l'utilisateur échange des données pour se reproduire, Melissa procédait à un « détournement » proactif du système de messagerie pour se propager.7 Cette fois, l'utilisateur n'avait qu'à double-cliquer sur la pièce jointe au message infecté. Aussitôt, le virus parcourait le contenu du carnet d'adresses d'Outlook et se retransmettait directement aux adresses des contacts qu'il avait collectées. Ce système de « publipostage » permettait à Mélissa de se propager davantage et plus rapidement qu'aucun autre virus de macro avant lui. Pire encore, Melissa signifiait une menace à la stabilité de tous les systèmes de messagerie, à cause du nombre exponentiel des messages générés. Après la diffusion initiale du virus Melissa (sur l'un des newsgroups « sex »), les serveurs de messagerie des entreprises ont été rapidement submergés par le flot de messages et bon nombre d'entre eux sont tombés, littéralement étouffés sous la pression. Il n'est pas étonnant que Mélissa ait marqué un tournant. Aujourd'hui et pour encore de nombreuses années, pratiquement tous les virus et tous les vers Internet importants, qu'ils menacent les entreprises ou les particuliers, disposent de capacités de publipostage.

Melissa a marqué un tournant dans l'évolution des menaces virales. Désormais, les virus n'avaient plus besoin d'attendre qu'un utilisateur confiant se charge de diffuser le fichier infecté à leur place. En détournant le système de messagerie, les virus pouvaient contrôler un mécanisme de réplication très efficace et provoquer des épidémies mondiales en quelques jours, ou même en quelques heures.

En un sens, le virus Melissa a fait d'une pierre deux coups. D'un côté, il récupère l'héritage des virus de macro, dont il est l'une des dernières manifestations, la plus grande. De l'autre, il annonce l'apogée des vers, plus particulièrement des vers de messagerie.

Les vers de messagerie

Un ver est un programme réplicateur indépendant, autrement dit, un virus qui n'a pas besoin d'un hôte. Au lieu de se propager de fichier en fichier à l'intérieur du même ordinateur, le ver tente de mettre à profit la connectivité du réseau (ou d'Internet) pour se reproduire. Il peut donc exister, sur un ordinateur donné, un seul exemplaire du ver. La résurgence des vers est allée de pair avec le déclin des virus de macro (suite aux modifications introduites par Microsoft dans leur contrôle) et la réapparition, une fois encore, de fichiers exécutables dans la propagation d'épidémies.

Les vers de messagerie présentaient plusieurs variantes. Ils se propageaient sous forme de fichiers exécutable (comme Happy99, le premier ver informatique de l'ère contemporaine), de fichiers scripts joints à des messages (Visual Basic Script ou Java Script), ou même de scripts incorporés dans des messages HTML. Leur point commun était l'utilisation du courrier électronique, normalement associée à des techniques d'ingénierie sociale incitant les utilisateurs à exécuter le code malveillant.

L'ingénierie sociale équivaut à une faille de sécurité « non technologique » qui s'appuie essentiellement sur l'interaction humaine, en d'autres termes, il s'agit de duper les utilisateurs sans briser les dispositifs de sécurité normaux. Normalement, un virus ou un ver se présentent sous la forme d'un document joint à un message innocent. L'un des tous premiers exemples était LoveLetter, qui affichait « ILOVEYOU » dans le champ Sujet et dont le texte disait en substance « Merci de lire la lettre d'amour que je vous envoie ». Tantôt (c'est le cas de LoveLetter, SirCam, Tanatos, Netsky et de nombreux autres), le message contenait une pièce jointe avec une double extension, ce qui permettait de dissimuler la véritable nature du document – par défaut, Windows n'affiche pas la seconde extension (la véritable). Tantôt il s'agissait d'un contenu en apparence anodin, parfois même avantageux !

2001 : les premiers vers Internet apparaissent

Les vers de messagerie ne sont pas le seul type de vers. En 2001, les vers Internet refirent leur apparition. CodeRed, apparu en juillet 2001, était un ver « sans fichier ». En rupture totale avec les pratiques virales précédentes, le code du ver n'existait qu'en mémoire : il ne faisait aucune tentative pour infecter les fichiers de la machine qui l'hébergeait. CodeRed utilisait une vulnérabilité de Microsoft IIS server (MS01-033 « Uncheck Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise ») pour s'attaquer aux serveurs Windows 2000. Il pénétrait le serveur par une connexion TCP/IP sur le port 80, il s'exécutait en mémoire grâce à un débordement de tampon puis il se propageait selon le même procédé vers d'autres serveurs vulnérables. CodeRed a littéralement explosé sur Internet en quelques heures, à une vitesse considérablement supérieure à tout ce qu'on avait connu jusque là. C'était la première fois, après le précédent de Morris, qu'un ver exploitait une vulnérabilité pour se propager. Le succès de CodeRed, toutefois, permettait de prédire à coup sûr que ce type d'incident ne serait pas le dernier. En effet, à peine quelques mois plus tard, en septembre 2001, le virus Nimda exploitait une vulnérabilité d'Internet Explorer (MS01-020, « Incorrect MIME header can cause Outlook to execute e-mail attachment ») et provoquait à son tour une épidémie mondiale.

Nimda infectait les fichiers mais, à la différence des pollupostages précédents, il ne comptait pas sur l'utilisateur pour que celui-ci clique sur un fichier EXE infecté joint au message. À la place, il profitait d'une vulnérabilité du navigateur pour s'exécuter automatiquement sur les systèmes. La vulnérabilité était connue depuis six mois, mais un grand nombre de systèmes ne disposait pas encore du correctif ; ils étaient toujours exposés aux attaques et à l'exploitation de cette vulnérabilité, ce qui permit au ver Nimda d'infecter ces systèmes tout autour du globe en quelques heures.

Les exploits

Les années qui suivirent CodeRed et Nimda, la réalisation d'« exploits » visant des vulnérabilités système était devenue chose banale : les auteurs malveillants n'avaient qu'à retrouver et exploiter les « coups de pouce » que semblaient leur offrir les applications et les systèmes d'exploitation les plus répandus. Jusque là, ces méthodes d'attaque étaient le fait de pirates, plutôt que d'auteurs de virus. Mais de nouveau, la combinaison des techniques « traditionnelles » d'écriture de virus avec les procédés de piratage a donné lieu à un nouveau « bon en avant » du développement de logiciels malveillants.

Certaines menaces ont évité l'utilisation combinée de plusieurs techniques virales « traditionnelles ». Lovesan, Welchia et Sasser, par exemple, étaient des vers Internet purs et simples. Ils ne possédaient aucun générateur de publipostage et n'exigeaient aucune intervention de la victime pour exécuter le programme infecté. Ces menaces se propageaient plutôt par Internet, directement de machine en machine, en utilisant différents « exploits ». Lovesan exploitait la vulnérabilité MS03-026 (« Buffer Overrun In RPC Interface Could Allow Code Execution »). Welchia exploitait la même vulnérabilité, plus la MS03-007 (« Unchecked Buffer In Windows Component Could Cause Server Compromise »). Sasser exploitait la vulnérabilité MS04-011 (débordement de tampon du service Windows LSASS.EXE).

C'est Nimda qui a lancé la course en combinant un exploit avec d'autres méthodes d'attaque. En plus de générer un publipostage, il ajoutait également le code viral de l'exploit (en JavaScript) aux fichiers HTML qu'il trouvait. Si la machine infectée s'avérait être un serveur, les utilisateurs qui se connectaient aux pages Web étaient donc infectés à leur tour. Nimda allait encore plus loin et, pour se reproduire dans les réseaux d'entreprise, il balayait le réseau local à la recherche de ressources accessibles où il déposait ses propres copies, prêtes à être exécutées par des utilisateurs confiants. Sur les machines infectées, le code malicieux transformait également les unités locales en unités de partage réseau, disponibles à distance pour des utilisateurs malveillants. Afin de couronner le tout, Nimda utilisait aussi l'exploit MS00-078 (« Web Server Folder Traversal ») pour infecter les serveurs Microsoft IIS Server vulnérables, en se téléchargeant à partir d'autres machines déjà infectées du même réseau local. En raison de cette stratégie d'attaque multilatérale, beaucoup présentent Nimda comme un exemple de menace « composite ».

Beaucoup de menaces réussies (du point de vue de leur auteur, cela va sans dire) se servaient de mécanismes d'attaques multiples et exploitaient des vulnérabilités afin de contourner l'utilisateur et de pouvoir exécuter automatiquement leur code, car cela permettait de réduire au minimum le « temps de latence » entre l'apparition d'une nouvelle menace et le moment où elle atteignait des proportions épidémiques. Les menaces se propageaient ainsi plus vite que jamais, atteignant des proportions planétaires en quelques heures, en profitant des infrastructures de messagerie et du nombre croissant de vulnérabilités comme d'un tremplin pour investir les entreprises.

Evolution de la vitesse de réaction

La diffusion des menaces à « vitesse Internet », le nombre croissant des épidémies mondiales ont mis en évidence, plus que jamais, l'importance des temps de réponse des fabricants antivirus contre les nouvelles menaces. Au « bon vieux temps », les mises à jour trimestrielles suffisaient pour la plupart des clients. Plus tard, les mises à jour mensuelles sont devenues la norme. Puis, dans le sillage des vers de messagerie et des vers Internet, la plupart des fabricants d'antivirus sont passés aux mises à jour hebdomadaires. Maintenant, beaucoup commencent à offrir des mises à jour quotidiennes.8 La vitesse de réaction aux nouvelles menaces est d'ailleurs devenue une caractéristique d'évaluation, mesurée par des bancs d'essai indépendants.9

En outre, pour contrer les techniques d'ingénierie sociale utilisées par des auteurs de logiciels malveillants, beaucoup d'entreprises commencèrent à interdire de manière systématique certains types de fichiers au niveau de leur passerelle Internet – fichiers EXE, PIF, SCR et autres pièces jointes – pour qu'ils ne puissent pas atteindre les utilisateurs.

Quoi qu'il en soit, on était préoccupé par le délai qui pouvait s'écouler entre l'apparition d'un nouvel exploit ou d'une nouvelle menace, et la disponibilité de mesures de protection, et le fait qu'entre temps, la menace pouvait se propager sans être détectée. Certains s'interrogèrent sur la capacité des solutions antivirus traditionnelles, qui procédaient par analyse de signatures, pour gérer du code malveillant chaque fois plus complexe.10 Il va de soit que les principaux fabricants commencèrent à élargir la portée de la protection qu'ils offraient.

Pare-feux personnels

Une première solution a été l'ajout d'un pare-feu personnel. Les pare-feu personnels permettent de contrôler et de bloquer le trafic indésirable. Un pare-feu personnel, comme son nom le suggère (et à la différence des pare-feu classiques des passerelles Internet), peut s'installer dans un ordinateur de bureau ou dans un serveur. Il fonctionne comme un « inspecteur du trafic » bureautique, c'est à dire qu'il examine le trafic en entrée et en sortie dans l'ordinateur, et qu'il autorise ou interdit certaines connexions en fonction de stratégies prédéfinies. En général, deux fonctions caractérisent les pare-feu personnels. D'une part, le filtrage par applications. C'est-à-dire qu'ils définissent des règles d'applications à usage général, comme des navigateurs Web, ICQ, des programmes de messagerie instantanée et d'autres. Les pare-feu personnels assurent d'autre part un filtrage des paquets : ils analysent les transferts de données (entêtes, protocole utilisé, ports, adresses IP, etc.) et filtrent les paquets en fonction des stratégies de sécurité définies.

Intrusion prevention systems (IPS)

Certains fabricants de sécurité ont complété ces technologies traditionnelles par des systèmes de prévention des intrusions (IPS, Intrusion Prevention System). Les IPS locaux conçus pour protéger des ordinateurs de bureau et des serveurs, font normalement appel à l'analyse comportementale pour détecter le code malveillant. Pour ce faire, ils contrôlent et soumettent tous les appels dirigés au système à des stratégies de sécurité qui déterminent ce que doit être un comportement « normal ». Ces stratégies peuvent être particularisées à l'extrême, puisque un comportement peut être spécifié pour certaines applications spécifiques. Il est ainsi possible de bloquer des activités comme l'ouverture ou le balayage de ports, la tentative de réaffectation de privilèges dans le système ou l'infiltration de code à l'intérieur de processus en exécution, qui répondent à un comportement anormal. Certains systèmes de prévention complètent l'analyse comportementale à l'aide de signatures de code hostile connu.

Les IPS de réseau, déployés au niveau du réseau, filtrent les paquets de code malveillant et détectent une consommation anormale de la bande passante ou un trafic non standard (paquets mal formés, par exemple). Un IPS réseau est particulièrement utile pour détecter des attaques DoS (Denial-of-Service), ou le trafic généré par des vers réseau.

Analyses de comportement

Plusieurs fabricants ont également combiné les technologies existantes avec l'analyse comportementale : ils surveillent en temps réel l'activité des applications, interdisent toutes les actions suspectes et parviennent même à « défaire » les modifications introduites dans le système par un programme malveillant.

Toutes ces technologies « nouvelles » ont pour but de lutter contre les vols d'informations confidentielles, les vers réseau, et le code malveillant qui convertit l'ordinateur victime en un « zombie » générateur de pollupostages.

L'avantage de ces deux techniques, c'est qu'elles offrent une protection générique contre du code malveillant non connu, au lieu de ne compter que sur des signatures de menaces connues. L'effet secondaire, c'est le risque de fausses alertes. Pour tenter de minimiser ce risque, bon nombre de ces techniques disposent d'un mode d'apprentissage fonctionnant sur notifications, qui permet au produit de se faire une idée de ce qu'il faut considérer comme un comportement « normal » dans un environnement donné. Cette caractéristique nécessite cependant des ajustements attentifs, ce qui entraîne une surcharge administrative bien supérieure à celle d'une protection antivirus traditionnelle. Dans le cas d'une solution par IPS, des mises à jour sont également nécessaires pour détecter de nouvelles méthodes d'attaque (même si ce n'est au rythme hebdomadaire ou quotidien requis pour mettre à jour les signatures antivirus traditionnelles).

Du cyber-vandalisme au cyber-crime

Depuis 2003, on observe un déclin du nombre des épidémies généralisées, qui reflète un déplacement des centres d'intérêts des auteurs de logiciels malveillants. Il y a quelques années encore, les virus et autres programmes malveillants étaient en général des actes individuels de vandalisme, une volonté antisociale qui s'exprimait à travers une technologie de pointe. La plupart des virus se limitaient eux-mêmes à l'infection de disques ou de programmes. La définition d'un « dommage » équivalait pour l'essentiel à la perte de données effacées ou (moins souvent) altérées par un virus sur les disques affectés.

Vers la généralisation du Crimeware ?

Une nouvelle tendance s'affirme depuis ces dernières années. Nous sommes aujourd'hui confrontés à des délits logiciels (on parle de « crimeware »), c'est à dire, de code malveillant destiné à gagner de l'argent illégalement. Les milieux criminels ont bien compris le potentiel d'argent facile qu'offrent les logiciels malveillants dans un monde en réseau et beaucoup de menaces sont aujourd'hui écrites sur commande.

On observe nettement chez les auteurs de code malveillant un changement de tactique. La diminution du nombre d'épidémies globalisées correspond à un abandon des méthodes d'attaque contre des victimes indifférenciées partout dans le monde. Depuis leur apogée en 2003, le nombre des épidémies généralisées a diminué de façon constante. Cela ne signifie pas que les épidémies ont disparues, mais qu'elles n'ont plus de conséquences globales. Au contraire, les attaques sont de plus en plus ciblées.

Ceci s'explique en partie par le savoir-faire croissant des organismes policiers tout autour du monde qui suivent à la trace les auteurs des délits sur Internet. Une autre explication tient aussi au nombre d'années d'expérience acquises par les chercheurs antivirus qui combattent les épidémies à grande échelle. Sur ce point, la réponse rapide aux nouvelles menaces, moyennant des définitions virales, n'est que la partie émergée de l'iceberg. Les équipes de recherche antivirus du monde entier ont développé des « antennes de détection précoce » qui leur permettent de détecter rapidement toute activité malveillante sur Internet. Quand une attaque se produit, il est possible de dépister et de fermer les serveurs responsables, de récupérer les informations confidentielles des victimes, ce qui permet d'atténuer les effets d'une attaque.

Une troisième raison existe, cependant, liée aux motivations du milieu criminel. Puisque la plupart des logiciels criminels est destiné au vol de données confidentielles et à leur exploitation en vue d'obtenir de l'argent illégalement, il s'ensuit que les données récupérées doivent subir un traitement postérieur avant utilisation. Quand des millions d'ordinateurs sont visés, l'attaque est non seulement plus facile à détecter, mais elle implique une logistique énorme. C'est aussi pour cette raison que les auteurs malveillants ont intérêt à mieux focaliser leurs attaques.

Normalement, cela implique d'agir à petite échelle, en ciblant un millier de machines à la fois, par une action éclair. Ou encore, de mettre au point un morceau de code permettant d'attaquer une seule victime, ou un faible nombre de victimes.

Ces attaques sont souvent mises au point avec l'aide de chevaux de Troie. Ces dernières années ont montré une croissance massive du nombre de chevaux de Troie : ils sont devenus désormais l'arme préférée des auteurs de logiciels malveillants. Naturellement, il existe de nombreuses versions de chevaux de Troie, chacune permettant d'effectuer une fonction spécifique sur l'ordinateur de la victime. On peut citer les portes dérobées (Backdoor Trojan), les voleurs de mots de passe, les chargeurs (Trojan-Droppers), les téléchargeurs (Trojan-Downloaders) ou les proxies (Trojan-Proxies).

Ils peuvent être utilisés pour dérober des informations confidentielles (nom d'utilisateur, mot de passe, code PIN, etc.), pour des fraudes informatiques. Ils peuvent encore être « enrôlés » dans une armée de zombies, permettant de lancer une attaque DDoS (Distributed-Denial-of-Service) sur une organisation cible. Ces derniers ont été utilisés pour extorquer de l'argent aux organisations : une démonstration d'une attaque DDoS offre alors à la victime un avant-goût de ce qu'elle aura a subir si elles ne paie pas la rançon. Alternativement, les machines ciblées peuvent se transformer en proxies spécialisés dans la diffusion de pollupostages. On a également assisté à une croissance dans le nombre de vers ou de trojans « rançonneurs », utilisés pour extorquer de l'argent à des particuliers. Ces programmes chiffrent les données et laissent un fichier Lisez-moi qui demande à l'utilisateur de verser de l'argent à l'auteur du programme à travers l'un des nombreux services de paiement électronique.

Souvent, les ordinateurs cibles sont intégrés dans des réseaux, par le biais de canaux IRC ou de sites Web sur lesquels le criminel a installé une fonctionnalité manquante. De tels réseaux de robots (bot networks) sont normalement pilotés par un serveur de contrôle unique. Dans ce cas, il est possible de les arrêter après avoir identifié leur localisation. Cependant, des réseaux robotisés plus complexes sont apparus, qui prennent modèle sur les réseaux P2P (peer-to-peer). Le plus célèbre de ces réseaux est Zhelatin (aussi appelé « Storm Worm »), apparu en janvier 2007 et qui n'a pas cessé de s'organiser depuis. Ce modèle a été également adopté par le backdoor MayDay, apparu pour la première fois en septembre 2007. La persistance de Zhelatin s'explique par sa conception distribuée de sorte que, en l'absence d'un serveur de contrôle centralisé, il n'est pas possible de mettre un terme au fonctionnement du réseau robotisé.

L'abandon des épidémies généralisées en faveur d'attaques plus discrètes et ciblées s'accompagne en même temps d'une évolution importante : le déclin relatif des publipostages comme voie de distribution du code malveillant. Il y a encore quelques années, la plupart des épidémies de vers qui se servaient du système de messagerie pour assurer leur diffusion de manière proactive, récupéraient de plus en plus de contacts au fur et à mesure de leur propagation. Cette méthode était utilisée par des vers comme LoveLetter, Klez, Tanatos (Bugbear), Sobig, Mimail, Sober et Mydoom pour provoquer des épidémies générales. À présent, de plus en plus de logiciels malveillants sont délibérément pollupostés en direction d'ordinateurs ciblés. Ceci permet aux auteurs de contrôler la distribution de leur code en ciblant une certaine population d'ordinateurs, au lieu de le laisser se propager librement.

Pour cette même raison, les paquets logiciels malveillants déposés sur les machines des victimes contiennent souvent aussi un téléchargeur (Trojan Downloader). Comme leur nom l'indique, ces chevaux de Troie sont conçus pour télécharger du code malveillant à partir de sites Web spécifiques. Ils servent non seulement à contrôler la propagation du code malveillant, mais aussi à assurer sa mise à jour automatique par Internet. Ils servent également de plus en plus à installer des logiciel espions ou porno-capteurs à l'insu et sans l'autorisation de l'utilisateur.

Les attaques de phishing

L'utilisation de code malveillant n'est pas la seule méthode employée par les cybercriminels pour récupérer des données personnelles afin de gagner de l'argent illégalement. L'hameçonnage ou phishing (de l'anglais "fishing" en anglais, la faute étant délibérée) est une forme spécialisée de crime informatique. Ce procédé consiste à duper les utilisateurs sous de faux prétextes pour qu'ils communiquent leurs données personnelles (nom utilisateur, mot de passe, code PIN ou toute autre donnée d'accès) puis à utiliser ces informations pour obtenir l'argent. C'est bien une fraude : un vol de données, suivi d'un vol d'argent. Les hameçonneurs s'appuient essentiellement sur l'ingénierie sociale. Ils créent une reproduction presque parfaite du site Web d'une institution financière choisie d'avance. Ils réalisent alors un envoi massif non sollicité d'un message qui imite la correspondance authentique de l'institution financière. Ils utilisent les logos légitimes, la même mise en page et font même référence aux noms véritables des grands dirigeants de l'institution. Ils reproduisent également l'en-tête dans le message pour qu'il ressemble à celui de la banque authentique. En général, ces messages informent les clients que la banque a modifié son organisation informatique et demande à tous les abonnés de reconfirmer leurs données utilisateur. De temps en temps, des pannes du réseau ou même des attaques de pirates sont le prétexte utilisé pour demander aux clients de reconfirmer leurs données personnelles.

Ces faux messages ont tous un point en commun : l'hameçon est destiné à pousser l'abonné à cliquer sur un lien présent dans le message. Si l'utilisateur mord à l'hameçon, il court alors un risque sérieux de voir ses informations confidentielles utilisées par un criminel pour accéder à son compte bancaire. Le lien conduit directement l'utilisateur sur une reproduction à l'identique du véritable site de la banque. Ce site contient un formulaire à compléter : une fois envoyé, le criminel dispose de l'information nécessaire pour se connecter en ligne et détourner l'argent du compte de l'utilisateur.

Les délinquants courent de gros risques. C'est pourquoi ils sont peu disposés à renoncer aux machines qu'ils ont prises sous leur contrôle. Il est désormais habituel que les auteurs de logiciels malveillants tentent de saboter le système de sécurité, en stoppant les processus actifs, en supprimant ou en bloquant les mises à jour du programme antivirus. Certains vont même jusqu'à supprimer le code malveillant concurrent. Un certain cheval de Troie, Backdoor.Win32.Agent.uu (baptisé SpamThru) se servait même de la copie piratée d'un programme antivirus12 pour rechercher puis supprimer les autres logiciels malveillants présents dans l'ordinateur de la victime.

De plus en plus de rootkits

Par ailleurs, l'utilisation de rootkits destinés à masquer la présence de code malveillant ou de logiciels espions s'est accru au cours des 12 derniers mois. Le terme rootkit provient de l'univers Unix, où il désignait des outils de maintenance disponibles pour l'utilisateur « root », mais qui restaient invisibles pour l'administrateur système. Aujourd'hui, il désigne les techniques de dissimulation utilisées par les auteurs de logiciels malveillants pour rendre invisibles les modifications introduites dans l'ordinateur de leur victime. Typiquement, l'auteur d'un logiciel malveillant parvient à accéder dans un système en forçant le mot de passe ou en exploitant une vulnérabilité de l'application, puis il s'en sert pour récupérer d'autres informations sur le système jusqu'à ce qu'il parvienne à obtenir des privilèges d'accès administrateur dans la machine. Les rootkits sont souvent employés pour cacher la présence d'un cheval de Troie, en dissimulant des enregistrements modifiés, ses propres processus ou l'activité d'un autre programme système.

Le cas des codes malicieux sur les mobiles

Jusqu'ici, le centre d'intérêt principal des auteurs de logiciels malveillants étaient les ordinateurs de bureau et les portables. Mais, avec l'apparition de Cabir en juin 2004, il s'est produit un flot régulier de code malveillant qui ciblait spécialement les périphériques mobiles.

L'utilisation de périphériques mobiles dans les entreprises continue de progresser et avec eux l'utilisation de technologies sans fil, d'un type ou d'un autre. Ces périphériques sont tout à fait sophistiqués : ils sont équipés de services IP, ils permettent de surfer sur le Web et ils disposent de connexion réseau. En fait, il y a peu de choses qu'un périphérique mobile ne puisse faire comme un ordinateur portable.

C'est là que se trouve le problème. Les entreprises fonctionnent aujourd'hui dans un espace ouvert, avec des employés connectés en permanence et qui sont donc exposées aux attaques partout où ils travaillent : au bureau, à la maison ou en déplacement. Les périphériques mobiles sont par définition moins sûrs, car ils fonctionnent en dehors du périmètre de sécurité traditionnel. Plus les données qu'ils contiennent sont précieuses, plus les périphériques ou les réseaux sans fils sont une cible attrayante pour les auteurs de code malveillant. L'histoire du développement logiciel a prouvé à maintes reprises que la simplicité d'accès s'obtient en détriment de la sécurité. Dans la mesure où les périphériques mobiles opèrent en dehors du périmètre de protection traditionnel, ils deviennent facilement le maillon faible du système de sécurité de l'entreprise.

Le premier ver pour téléphones mobiles, appelé Cabir, est apparu en juin 2004. Depuis lors, Cabir s'est propagé dans 40 pays tout autour du globe. Cabir se propage grâce à Bluetooth. C'est la méthode de communication sans fil la plus habituelle pour échanger de données, et il ne faut pas se surprendre que les auteurs de virus l'aient choisi. Un nombre important de périphériques compatibles Bluetooth sont laissés ouverts : ils sont exposés aux infections et aux piratages.

En une très courte période de temps, des virus, des vers et des chevaux de Troie sont apparus pour périphériques mobiles; soit toute la panoplie des menaces qui avaient mis vingt ans pour se développer sur les PC classiques

Actuellement, on dénombre environ dix nouvelles menaces par semaine contre les mobiles. Beaucoup sont franchement simplistes, mais il est certain que les auteurs de logiciels malveillants prévoient à long terme que les périphériques mobiles leur permettront de gagner de l'argent illégalement. En avril 2006, le premier logiciel espion (du type Trojan-Spy) est apparu pour Symbian OS : Flexispy es un cheval de Troie qui prend le contrôle des smartphones et envoie les données d'appel et de SMS à son auteur ou commanditaire. Il est vite apparu que son auteur était en train de vendre sa création pour 50$. Des logiciels malveillants similaires existent pour Windows Mobile, qui est actuellement le second système d'exploitation le plus répandu sur les périphériques mobiles.

La plupart des menaces contre les mobiles rencontrées jusqu'ici interagissent avec l'utilisateur (qui doit accepter et exécuter le fichier transféré). De prime abord, on pourrait être surpris de constater avec quelle rapidité elles se sont propagées. Mais il faut se souvenir de la réussite des vers pour ordinateurs, qui attendaient de la part de l'utilisateur une intervention similaire. La clé de l'affaire est l'ingénierie sociale, qui se sert souvent d'images pornographiques, de téléchargement de films, de services gratuits et de combines d'argent rapide.

Le procédé est le même dans le cas des téléphones mobiles. Par exemple, le ver Comwar utilise MMS (service de messagerie multimédia) pour se reproduire à partir des contacts présents dans le carnet d'adresses d'un téléphone, avec un coût d'environ 0,35€ par message. Après enquête, il s'avère que de nombreux utilisateurs acceptent des fichiers transmis par Bluetooth, en particulier s'il s'agit de contenu à caractère sexuel.

Les conséquences des menaces pour mobiles sont variables. Le téléphone peut devenir inutilisable tant que le ver est installé : le cheval de Troie Skuller, disponible en téléchargement depuis de nombreux sites pour mobiles, remplace les icônes d'origine par l'icône d'un crâne et le service devient inaccessible à la connexion. Le cheval de Troie Mosquit envoie des SMS à des numéros surtaxés. Dans le cas de logiciels criminels comme Brador, Flexspy ou d'autres chevaux de Troie pour mobiles, les conséquences sont le vol des données confidentielles conservées dans le périphérique mobile, et leur mise à disposition au profit des auteurs ou commanditaires de ces logiciels malveillants. Il va de soi que les données conservée sont rarement chiffrées, et bon nombre d'utilisateurs n'utilisent même pas de mot de passe renforcé.

Alors que les délinquants en sont encore à expérimenter les technologies mobiles, certains développements intéressants sont déjà apparus. Il s'agit de Lasco, une combinaison hybride de ver et de virus ; Cxover, qui infecte des fichiers sur les périphériques mobiles et les ordinateurs PC ; et RedBrowser, un cheval de Troie qui cible les téléphones avec Java (J2ME), c'est à dire, autres que des smartphones.

Bien qu'il soit clair que les périphériques mobiles sont loin d'être immunisés contre des attaques, il est difficile de prévoir quand cette série d'essais laissera place à un « coup de maître » généralisé. Cela dépendra largement de l'usage qu'on en fera. Dès que le nombre et l'utilisation des smartphones pour le commerce en ligne aura atteint une masse critique, ils seront la cible des milieux criminels, comme n'importe quel autre système à usage général. Les criminels contemporains exploitent les données conservées dans les ordinateurs de bureau ou portables pour gagner de l'argent illégalement. Demain, ils chercheront pour la même raison à se saisir des données présentes dans les périphériques mobiles.

Voilà pourquoi les principaux fabricants antivirus ont développé des solutions de protection pour les périphériques mobiles, à la fois sous la forme d'un logiciel intégré et sous la forme d'un équipement destiné aux fournisseurs de services mobiles.

Les challenges d’aujourd’hui

Depuis l'apparition des premiers virus de PC, la menace pour les entreprises et les particuliers a évolué au point de ne pouvoir la reconnaître. Au début, personne ne pouvait prévoir le nombre vertigineux, et la variété des logiciels malveillants tels qu'ils existent aujourd'hui. Chaque vague successive de logiciels malveillants représentait de nouveaux défis: modifications des solutions existantes, mise au point de nouvelles réponses ou adaptation de technologies externes pour les besoins des antivirus. Ce n'est pas seulement l'horizon des menaces qui a radicalement changé en 20 ans, ce sont aussi les solutions de sécurité. Plus particulièrement, les motivations des auteurs de logiciels malveillants ont évolué, passant du cyber-vandalisme à l'exploitation des données en vue d'obtenir illégalement de l'argent. Plus que jamais, il est important d'assurer une protection adéquate contre les 200 menaces nouvelles qui surgissent quotidiennement, mais aussi de fournir des solutions permettant de contrer les nouvelles menaces inconnues, sans compter sur des signatures. Les premières solutions antivirus avaient une approche unidimensionnelle, comparée aux solutions holistiques que produisent de nos jours les principaux fabricants de produits de sécurité. À cela s'ajoute l'évolution des pratiques commerciales et la disparition des périmètres réseau traditionnels, qui exigent que les solutions de sécurité soient en mesure de protéger l'entreprise et son personnel partout où il est désormais possible de conclure des affaires.


1 En raison des limitations décrites, on pourrait penser que les virus d'amorçage ont fini par disparaître. C'est en effet le cas... ou presque ! Cependant, en janvier 2007 nous avons appris l'existence de deux infections par le virus Junkie, l'une en Russie, et l'autre aux Pays Bas ; puis en septembre 2007, des ordinateurs portables atteints du virus Angelina ont été livrés par un fournisseur danois

2 L'expression « in the wild » (littéralement, à l'état sauvage) a été popularisée par Joe Wells, en avril 1993, avec la création du site The WildList, qui assure le suivi des infections dans le monde réel

3 L'auteur présumé du cheval de Troie, le Dr. Joseph Popp, a été par la suite extradé vers le Royaume Uni. La cour l'a cependant jugé irresponsable en raison de son comportement devant le tribunal (une cour italienne le condamnera plus tard in absentia)

4 Bien qu'un petit nombre de virus, comme Exebug et Purcyst, modifiaient les paramètres CMOS pour empêcher la machine de démarrer à partir d'une disquette saine

5 Ceci a lancé une tendance. Au cours des années suivantes, d'autres moteurs polymorphiques sont apparus, par exemple « Trident Polymorphic Engine » et « Nuke Encryption Device »

6 Langage de macros implémenté dans les premières versions de Word for Windows

7 Melissa n'était pas le premier virus qui tentait d'utiliser la messagerie pour générer un publipostage. En 1998, le virus RedTeam incluait déjà du code pour se transmettre par Internet. Toutefois, ce virus ne ciblait que le client Eudora et ne parvenait pas à se reproduire en masse

8 Aujourd'hui, Kaspersky Lab est le seul fabricant d'antivirus qui offre une mise à jour des signatures d'heure en heure

9 C'est le cas, en particulier, de AV-Test GmbH

10 En 2001, Gartner écrivait dans son commentaire La fin de la détection antivirus par signatures sur les ordinateurs de bureau (Signature-Based Virus Detection at the Desktop is Dying): « Aujourd'hui, les logiciels antivirus qui équipent les ordinateurs la majorité des entreprises et qui procèdent par analyse de signatures n'ont plus qu'une efficacité marginale, qui se réduit progressivement. Gartner pense que les fabricants doivent songer à renforcer, voire remplacer la technique d'analyse de signatures par des approches plus robustes. Autrement, les entreprises seront débordées par les logiciels malveillants qui s'annoncent sur le fil de la prochaine vague des services Web »

11 Le logiciel antivirus téléchargeable était Kaspersky(r) Anti-Virus

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com