Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr    
     
     
Les Analyses les plus Populaires



Cybermenaces financières en 2013. 2e partie : programmes malveillants



BitGuard : un système de recherche forcée



Evolution des menaces informatiques : 3e trimestre 2013



Bulletin Kaspersky Lab – prévisions 2014



Courrier indésirable en février 2014
 
 

  Page d'accueil / Analyses

La malveillance par delà Vista ou XP

4.08.2009   |   comments (1)

Magnus Kalkuhl
Marco Preuss

Windows est peut-être omniprésent, mais les systèmes d'exploitation alternatifs pour les entreprises ou les particuliers n'en sont pas moins inexistants. Cependant, ces alternatives ne sont pas sans risque, comme certains pourraient le penser.

Les lecteurs de publications en ligne et les membres de forums informatiques connaissent bien ce phénomène où chaque communiqué d'un nouveau cheval de Troie s'accompagne d'un déluge de commentaires dans le genre « Cela n'arriverait jamais avec Linux ! ». Soyons honnêtes : c'est la vérité au moins dans 99 % des cas. Les faits montrent que la majorité des programmes malveillants identifiés à ce jour (plus de 2 millions) prennent Windows pour cible. De son côté, Linux n'est la cible que de 1898 de programmes malveillants et apparaît comme un système d'exploitation relativement sûr. Et jusqu'à aujourd'hui, seuls 48 des programmes malveillants identifiés ont choisi Apple OS X comme objectif.

Des débuts turbulents

Au début des années 1970 – bien avant la commercialisation de Windows par Microsoft – le virus Creeper avait infecté des ordinateurs sous système d'exploitation TENEX DEC. Ce type de malware, dont on peut dire qu'il était en avance sur son temps, se propageait en utilisant le réseau ARPANET (précurseur de l'Internet aujourd'hui). Creeper a été suivi du virus Pervade en 1975. Pervade était programmé pour des systèmes UNIVAC et avait été créé pour distribuer un jeu appelé « Animal ». Enfin, en 1982, ce fut le tour des systèmes d'Apple : les utilisateurs eurent le redoutable privilège d'avoir à lutter contre le virus Rich Skrenta de Elk Cloner, qui se propageait à travers les disquettes et causait régulièrement des pannes système.



Fig.1 Message affiché par le virus BHP

Quatre ans plus tard, les utilisateurs de Commodore 64 rejoignirent les victimes de virus – le virus BHP (dont on pense qu'il était une création du groupe « Bayerische Hacker Post ») provoquait le clignotement de l'écran à intervalles irréguliers, et saluait la malheureuse victime d'un message qui disait : « HALLO DICKERCHEN, DIES IST EIN ECHTER VIRUS! » (qu'on peut traduire par « Salut mon pote, ceci est un vrai virus !"). Le texte était suivi d'un numéro de compteur qui s'incrémentait à chaque nouvelle infection. Le virus veillait également à sa propre survie après un redémarrage du système en détournant un certain nombre d'interruptions.

Ce n'est qu'en 1986 que le premier programme malveillant pour MS-DOS est finalement apparu. Le virus Brain s'attaquait au secteur d'amorçage ; sans autre formalité, son code mentionnait les noms, adresses et numéros de téléphone des auteurs. Les créateurs de Brain étaient deux frères, Basit et Amjad Farooq Alvi, qui affirmaient avoir créé Brain pour déterminer le taux de piratage informatique en Inde. Ils reconnurent cependant avoir perdu le contrôle de leur expérience.

 

Fig. 2 Shellcode de la Backdoor.UNIX.Galore.11

Dans les années suivantes, on assiste à une floraison de scénarios malveillants et bientôt, tous les systèmes d'exploitation ont dû les prendre en compte. Plus de 190 pièces malveillantes ont été dénombrées pour Commodore Amiga, et deux autres douzaines pour Atari ST. Parmi elles, on trouvait le virus « c't » [http://www.stcarchiv.de/am88/06_viren.php ], réellement publié en 1988 dans le magazine iX spécialisé pour Commodore, sous forme de listing assembleur que les lecteurs pouvaient recopier – ce qui illustre la bienveillance de l'époque à l'égard du code malveillant.

L'indésirable monopole de la malveillance

Les virus, les vers et autres programmes malveillants n'ont réellement commencé à se propager qu'avec l'accès des particuliers au Web. Avant cela, les logiciels malveillants se diffusaient lentement de disquette en disquette, mais ensuite, des programmes comme Melissa ou ILOVEYOU sont devenus capables de faire le tour du monde en quelques minutes. Le rôle des multiples plates-formes d'échange a été déterminant dans ce progrès. Les logiciels malveillants propagés par messagerie ont atteint tout leur potentiel (au point de représenter une menace pour la majorité des internautes) lorsque Windows et Outlook ont pris une part de marché significative. L'hétérogénéité considérable du paysage informatique, caractéristique du secteur privé au cours des années 1980, a cédé la place à MS-DOS et Windows. En outre, l'arrivée de l'Internet a introduit une autre nouveauté : pour la première fois, des programmes malveillants étaient capables de communiquer avec leurs auteurs.

Alors qu'auparavant la propagation de virus et de vers était une affaire de malchance, il était désormais possible de récupérer des données dans un ordinateur cible ou de relayer des instructions destinées à un agent installé sur un disque dur distant. Ces conditions, déjà idéales pour les attaques DDoS et les pollupostages à grande échelle, se sont à leur tour révélées particulièrement profitables. Naturellement, quelqu'un qui gagne de l'argent en organisant des attaques de ce type est en permanence à la recherche de nouvelles victimes en grand nombre. Voilà la raison pour laquelle des millions de chevaux de Troie sont envoyés tous les jours par messagerie en direction d'utilisateurs Windows – il n'y a pas grand intérêt à cibler BeOS ou Plan 9, compte tenu de l'objectif recherché. L'affirmation selon laquelle des systèmes d'exploitation alternatifs sont plus sûr que Windows XP est donc discutable et, même dans l'hypothèse d'un système d'exploitation inattaquable, les disques durs contiendraient encore assez d'applications vulnérables, avec des failles de sécurité pouvant être exploitées en vue d'une attaque.

Le status quo

Microsoft Windows est donc devenu le standard de fait des logiciels malveillants en raison de sa prépondérance sur le marché. La différence ne tient pas seulement au nombre de nouveaux programmes malveillants ciblant Windows, de loin plus élevé que celui qui pour les autres systèmes ; le type de malveillance varie également en fonction de l'environnement pris pour cible. Deux mondes distincts se sont constitués.

Système
d‘exploitation
Total Backdoors,
Hacktools,
Exploits &
Rootkits
Virus
et vers
Trojans
Linux 1898 942 (50%) 136 (7%) 88 (5%)
FreeBSD 43 33 (77%) 10 (23%) 0 (0%)
Sun Solaris 119 99 (83%) 17 (15%) 3 (2%)
Unix 212 76 (36%) 118 (56%) 3 (1%)
OSX 48 14 (29%) 9 (19%) 11 (23%)
Windows 2247659 501515 (22%) 40188 (2%) 1232798 (55%)

Fig 2: Windows subit les assauts des Trojans alors que les autres OS sont la cible des vers et des rootkits.

Dans le cas des logiciels malveillants pour Windows, l'objectif est, dans la majorité des cas, de capturer un ordinateur pour diriger des attaques DDoS, d'envoyer des pollupostages et, là où c'est possible, d'utiliser un échantillon de ver pour le propager à travers le plus grand nombre possible d'ordinateurs. Pour les cybercriminels, qu'un utilisateur s'aperçoive que sa machine est infectée, ce n'est pas une catastrophe : leurs réseaux robotisés, ou botnets, sont de si grande taille (on estime par exemple que le botnet Kido/ Conficker est constitué de plusieurs millions de PC zombies), que la perte d'une machine ne leur pose pas de réel problème. Dans le cas d'une attaque contre un système Unix, toutefois, l'objectif est de passer inaperçu, pour pouvoir récupérer des données de cartes bancaires employées sur des boutiques en ligne, ou des mots de passe utilisateur. Dans la plupart des cas, les attaques ne sont pas mises au point à l'aide de chevaux de Troie, mais par l'exploitation de failles de sécurité dans les services des serveurs.

De nouveaux amis pour OS X

Jusqu'en octobre 2007, le paysage de la malveillance pour Apple OS X n'avait rien de spectaculaire. Deux exploits, quatre vers, un virus et un processus caché (rootkit) – il s'agissait pour l'essentiel de « preuves de concept », sans recherche manifeste d'un retour financier de la part de l'attaquant. Toutefois, cette situation a changé à l'automne, avec l'apparition du premier cheval de Troie pour OS X : OSX.RSPluga.A. Comme indiqué plus haut, il n'y a pas grand intérêt à polluposter des chevaux de Troie pour d'autres systèmes que Windows. Les auteurs de ce programme malveillant, qui ont apparemment suivi le même raisonnement, ont préféré annoncer ce qui semble être un site pornographique, sur différents forums pour utilisateurs Mac. Mais quand un utilisateur tentait de reproduire une vidéo, un message indiquant l'absence d'un codec s'affichait. Naturellement, l'utilisateur était aussitôt invité à télécharger le codec manquant. Or, les utilisateurs devaient saisir leur mot de passe administrateur pour installer le « codec »: face à des situations similaires, les utilisateurs de Mac, tout à leur enthousiasme, se sont révélés aussi crédules que les utilisateurs de Windows. Le virus OSX.RSPluga.A manipule les entrées DNS de telle sorte que de nombreuses adresses – celles de plusieurs banques ainsi que eBay ou PayPal – ne sont plus correctement paramétrées. Les victimes sont ainsi redirigées vers des sites d'hameçonnage (phishing).

À la mi-janvier, la société finlandaise d'antivirus F-Secure a publié la première solution contre ces arnaques. Un programme gratuit « détectait » plusieurs exemplaires de code malveillant sur des ordinateurs propres à 100 % : pour éliminer la prétendue menace, l'utilisateur devait acheter le produit. Ce type d'escroquerie n'est pas nouveau pour les utilisateurs de Windows, mais les développeurs du programme cherchaient à découvrir à quel point les utilisateurs de Mac se feraient prendre.

Pas de panique

Compte tenu du nombre de cas, on pourrait se questionner sur la véritable importance de la menace. Après tout, comparé à Windows, n'importe quel autre système représente une oasis de sécurité. Mais il y a un petit rappel à faire : les chevaux de Troie n'ont pas besoin des privilèges de l'utilisateur root pour lire les données par le port 80 ou pour utiliser le téléphone. Et dans un monde où même les débutants en informatique se saluent par un « C'est bien Ubuntu ?", les utilisateurs Linux doivent se préparer à devenir les cibles de cybercriminels visant les plus inexpérimentés d'entre eux.

Au bout du compte, le plus grand des risques, c'est de croire qu'un système est imprenable. En ces temps où même les ordinateurs de magasins discount sont équipés d'un antivirus, de nombreux utilisateurs Linux vont jusqu'à refuser d'installer des analyseurs gratuits comme ClamAV, avec l'argument que cela n'est tout simplement pas nécessaire. La communauté open source en particulier, dispose de toute une panoplie de solutions hautement performantes, sur des technologies comme SELinux, AppArmor, ainsi qu'une gamme de détecteurs d'intrusion système. Ceux qui refusent d'installer ces solutions (que ce soit à cause des efforts que cela représente, ou parce qu'ils ne jugent pas cela nécessaire) ne s'apercevront probablement jamais que leur ordinateur aura été capturé par quelqu'un à la recherche d'une bonne prise.

La protection des entreprises

Les entreprises, plus particulièrement, ne peuvent pas se permettre de souscrire à des mythes sur la sécurité. Il ne fait aucun doute que tous les serveurs ont besoin d'une protection antivirus, même si cela ne sert qu'à protéger les nombreux utilisateurs Windows du réseau.

Pour stopper les attaques malveillantes au niveau de la passerelle, il convient d'installer des systèmes de pare-feu, de détection et de prévention des intrusions. Que ce soit sous forme de boîtiers autonomes (appliances) ou de serveurs dédiés, une passerelle équipée sous Linux ou dérivé constitue souvent la première ligne de protection du réseau interne. En plus de définir les services disponibles et de fournir la première ligne de défense contre les piratages, un pare-feu correctement configuré peut également être déployé pour empêcher l'auto-propagation de programmes malveillants (vers) à travers les connexions réseau. Par exemple, il est possible de protéger un réseau contre « Lovesan.a » simplement en interdisant les ports TCP 135 et 4444.

Par ailleurs, un pare-feu peut également intervenir pour limiter des dommages potentiels. Si le réseau possède effectivement des clients infectés, l'interdiction des ports ciblés permet d'éviter l'établissement de connexions et l'exploitation des systèmes victimes. Pour minimiser le risque global d'infection et d'attaques, il faut prendre en compte un certain nombre de scénarios lors de la configuration d'un pare-feu et définir clairement quels sont les services et les ports autorisés.

Il reste que des programmeurs ingénieux ont quand même trouvé le moyen de contourner des systèmes de sécurité simples comme celui-là. Il est toujours possible d'infiltrer des paquets de données en utilisant des connexions en tunnel et de services autorisés (DNS et HTTP, par exemple). C'est pourquoi des modules intelligents équipés de systèmes de détection ou de prévention des intrusions, ainsi que des pare-feu liés aux applications, représentent un plus par rapport aux pare-feu classiques.

Grand merci au proxy !

Il est également possible d'installer un proxy, qui évite que les employés n'accèdent directement à Internet. Cette solution ne réduit pas seulement le trafic, elle améliore aussi la sécurité, parce qu'une quantité significative de programmes malveillants se propage à travers des sites Web malveillants. Le logiciel Squid est probablement le proxy le plus fréquemment utilisé sous environnements Linux / Unix. Il dispose également de sa propre interface : « ICAP » (Internet Content Adaptation Protocol, RFC 3507). Dans ce cas, les pétitions de l'utilisateur sont traitées par RESPMOD (modification des réponses), qui analyse les objets demandés par les serveurs Web, et par REQMOD (modification des requêtes), qui analyse les objets transmis aux serveurs Web. Un modèle de proxy apparenté est HAVP (http://www.server-side.de), souvent déployé pour permettre l'analyse du trafic natif aussi bien pour HTTP que pour FTP. Une variante connue sous le nom de proxy transparent est également répandue, en raison de sa facilité d'intégration. Ce dernier type est connecté en amont de la passerelle (pare-feu ou similaire) et ne nécessite aucun paramétrage côté client (configuration navigateur). La mise en œuvre technique de cette solution peut, par exemple, se composer d'un serveur en mode pont, à partir duquel un proxy vient relayer les requêtes soumises au filtre de contenus. Dans une autre solution, le proxy reçoit les requêtes HTTP qui ont été redirigées par un serveur dédié fonctionnant comme un pare-feu et, dans le cas de petits réseaux, le proxy peut être intégré avec le pare-feu lui-même (TransProxy http://transproxy.sourceforge.net. Ces deux options sont relativement faciles à déployer sur des installations Linux / Unix utilisant des outils standard.

Bien sûr, un proxy ne peut pas garantir une protection absolue. Le meilleur des anti-virus ne pourra pas déplomber le mot de passe d'un fichier protégé, et dans le cas de connexions VPN chiffrées, par exemple, les limites techniques d'un proxy deviennent évidentes aussi.

La protection du trafic de messagerie

Le trafic de messagerie reste l'une des voies principales de propagation des logiciels malveillants. Selon la taille du réseau (du nombre d'utilisateurs), une passerelle de messagerie est déployée en amont de passerelles Exchange ou Lotus Domino, par exemple, ou dans d'autres solutions de groupware. Des équipements Linux ou Unix (Solaris) ou dérivés (* BSD), avec des MTA (Mail Transfer Agents) comme postfix, exim, qmail ou sendmail sont souvent déployés ici. Ils installent leurs propres interfaces de filtrage antivirus et antispam. La méthode la plus courante est celle connue comme double MTA. Chaque message est délivré deux fois au MTA. En premier lieu, un message du serveur distant est réceptionné. Il est ensuite relayé vers le filtre de contenus pour sa vérification et de nouveau renvoyé au MTA. Sendmail offre également une interface API (l'API Milter). Dans ces systèmes de filtrage en amont, des solutions relayées, composées de plusieurs analyseurs antivirus et antispam (2 ou 3 filtres antivirus et 2 autres antispam) sont également utilisées pour le trafic de messagerie. L'avantage, c'est que l'analyseur peut aussi fonctionner sur un système dédié et posséder une adresse, ce qui évidemment réduit la charge de la passerelle de messagerie. De cette façon, il est très facile d'intégrer une passerelle de courrier (MTA) et un filtre de contenus dans des solutions en cluster à haute disponibilité (HA). Mais des solutions en cluster HA complètement intégrées existent aussi (c'est à dire, MTA et filtre dans un seul système). Les serveurs de messagerie internes exploitent également des systèmes de filtrage en amont en raison de la moindre consommation de ressources consacrées à l'analyse ou au stockage des logiciels malveillants et des pollupostages. Moins de ressources sont également mobilisées pour traiter les volumes importants du trafic de messagerie. C'est pourquoi la solution du serveur relais est également envisageable pour les petites entreprises. Certains fabricants offrent aussi des solutions « clé en main », intégrées, pour simplifier l'administration.

La protection des serveurs de fichiers

Les données enregistrées par voie électronique représentent souvent un actif important de l'entreprise, qu'il s'agisse de plans de production, d'un inventaire ou d'autres données. En particulier, les données à caractère personnel ou nécessitant des mesures spéciales de protection sont souvent stockées sur des serveurs de fichiers : listes d'employés, comptes utilisateurs et CV, etc. Il convient toujours de protéger ces référentiels de données, centralisés dans le réseau, afin d'empêcher le vol, la manipulation ou l'espionnage de données.

De nombreux réseaux sont équipés de systèmes alternatifs composés d'un service Samba et de serveurs Windows. Dans de tels cas, l'intégration est possible en utilisant un module VFS (système virtuel de fichiers) qui redirige le trafic de données pour le passer par l'analyseur antivirus. Cela permet d'analyser les données en temps d'accès (en lecture ou en écriture).

Des modules de noyau (Linux, FreeBSD), sont également disponibles sur les systèmes alternatifs. Ils permettent de protéger non seulement le service Samba, mais aussi de vérifier tous les objets du système. Ils sont disponibles aussi bien pour NFS que pour les serveurs Web et FTP. Cette solution a l'inconvénient qu'à chaque nouvelle version du noyau, il faut vérifier la prise en charge et recompiler éventuellement le module.

Il existe un très grand parc de serveurs sous d'autres systèmes que Windows. Ces systèmes sont AS/400 pour Solaris, HP-US, IRIX et AIX, pour n'en nommer que quelques-uns. Ils offrent tout ce qu'il faut : depuis le système de fichiers jusqu'aux bases de données, en passant par des applications industrielles, ou la prise en charge des comptes utilisateurs. Ici, la difficulté est de trouver des solutions de sécurité appropriées tenant compte non seulement du S.E. (système d'exploitation) de la plate-forme, mais aussi de la diversité des architectures CPU (SPARC, PPC, Itanium, Alpha, MIPS, PA-RISC... en plus d'Intel). Quand une solution n'est pas prise en charge, le système en question doit être isolé du reste du réseau afin de limiter les risques autant que possible. Les solutions passent par des réseaux séparés avec des pare-feu, des restrictions d'accès et des systèmes spécialisés de détection ou de prévention des intrusions.

Une grande variété de clients

Dans 99 % des cas, les postes clients sont implémentés sous Windows – mais il est évident que les postes de travail Linux, BSD et Mac OS X doivent aussi être protégés, car des attaques ne sont jamais à exclure. Des supports comme les CD-ROM et les DVD constituent un vecteur d'attaques, et les disquettes ou disques Zip représentent toujours un certain risque. Les mémoires USB et les disques externes USB / FireWire ont également tendance à passer d'un système à l'autre, offrant aux logiciels malveillants des voies de propagation.

Un autre problème particulier, en plus des postes fixes et ordinateurs portables, est celui posé par le nombre croissant de smartphones et de PDA en circulation et qui, de toute évidence, doivent aussi être sécurisés. Dans une configuration réseau standard, le vecteur d'attaque est clairement l'Internet. Ces derniers temps, les administrateurs système et les conseillers en sécurité doivent affronter le problème de la protection des nœuds internes. Cette tâche n'est pas des plus faciles, parce que le nombre de plates-formes ne cesse d'augmenter. En plus des différentes versions de Windows Mobile, des systèmes comme Symbian et Linux ou des systèmes propriétaires sont actuellement en exploitation. Trouver des solutions de sécurité pour ces systèmes est une tâche difficile et parfois impossible.

Conclusion

L'utilisation de technologies non majoritaires semble offrir certains avantages de sécurité, mais n'apporte pas de garanties : un système de bureau Solaris, par exemple, qu'on peut considérer peu habituel, peut utiliser comme serveur un système standard qui sera la cible d'attaques, comme n'importe quel autre serveur. Ceux qui se soucient de la sécurité de leurs données doivent donc s'assurer que leurs ordinateurs sont protégés, quel que soit le système d'exploitation. Dans l'idéal, cela devrait se faire en combinant des technologies complémentaires les unes des autres. Même dans ce cas, on ne saurait jamais être assez prudent – l'utilisation d'applications Web se généralise au détriment des applications exécutées sur un ordinateur local. Un bon exemple est donné par les forums et services d'annonces avec de faibles contraintes de sécurité : il est possible d'altérer le code HTML pour organiser des attaques croisées sur des sites, quel que soit le système d'exploitation. En conclusion, la leçon à retenir est la même : – « Attention, les pingouins, restez prudents ! ».

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com