Virus, vers et chevaux de Troie: le calme avant la tempête ?

Depuis le ver VBS/HomePage qui avait frappé début mai dernier par ses capacités saisissantes en matière de propagation, les alertes sont devenues beaucoup plus rares qu'elles ne l'ont été en début d'année. Et ceci, au point de se demander si la plupart des éditeurs d'antivirus ne s'étaient pas passés le mot pour en limiter la diffusion. Déjà, lors de la visite du datacenter d'Exodus, son vice-président sécurité le Dr Bill Hancock exprimait son inquiétude sur le sujet face à un public de responsables sécurité plutôt dubitatifs dans l'ensemble. Inquiétude, car HomePage n'a pas montré de véritable innovation en dehors de la force de frappe déployée par ses auteurs. C'est pourquoi il s'est vite essoufflé, et apparaît beaucoup moins menaçant dans la plupart des classements d'aujourd'hui.

Etat des lieux : les vers Magistr, MTX et Hybris en tête
Ainsi, depuis deux semaines, c'est le plus dangereux de tous, alias Magistr, qui fait le plus de ravages aussi bien selon SecurityPortal qu'Antivirus.com, le portail mondial de Trend Micro. En ce moment même, l'éditeur d'antivirus déclare environ 10 000 nouvelles infections dans le monde sur les 7 derniers jours (2 700 en Europe). D'après le directeur des laboratoires européens Marc Blanchard, "depuis le début de l'année, nous avons signalé 6 ou 7 grosses alertes qui indiquaient toutes un certain degré de propagation. Mais nous ne pouvons pas tout notifier à chaque fois. Par rapport à 2000, il y a eu autant d'alertes voire plus depuis le début de l'année, mais il s'agit en général de codes non répandus, ou de déclinaisons des technologies existantes pour lesquelles nous avons déjà la parade. Nous avons surtout connu beaucoup d'alertes ces derniers temps avec Hybris, MTX et Magistr ; c'est à peu près tout. Et ceci, en dehors des anciens codes malicieux comme ILoveYou et Melissa qui sont toujours présents".

Vers chiffrés polymorphes vs propagation rapide
Or, il convient de souligner la complexité particulière des trois premiers vers cités, les deux suivants se propageant toujours en raison d'un certain laxisme dans l'installation et la mise à jour des antivirus. Plusieurs grandes catégories de vers, ou codes malicieux transmis à travers Internet, se dessinent cependant. D'un côté, les émules d'ILoveYou, adeptes de la propagation rapide, comptent dans leurs rang HomePage, Mawanella et Anna Kournikova. Mais les dégâts ne sont en général causés qu'au niveau des serveurs de messagerie qui peuvent parfois être saturés.

Puis, Magistr, MTX et Hybris sont tous des vers 32-bits, au même titre que Kriz et Navidad qui étaient programmés pour se déclencher à Noël 2000. Ces codes malicieux sont complexes par leur capacité à changer de forme tout en étant chiffrés. Les spécialistes les qualifient de PE, pour Portable Executable, le mode standard de lancement des applications sous Windows. Certains, pour illustrer leurs caractéristiques de plus en plus courantes, reprennent le même acronyme pour Polycriptic Encryptic. Parmi les plus récents, une partie sont hybrides et intègrent des chevaux de Troie qui ouvrent des "portes de derrière" ou backdoors laissant la possibilité au pirate de s'approprier à distance le poste utilisateur. Dans le passé, il a été difficile de les ranger objectivement dans une catégorie précise, comme leur ancêtre FunLove.

Aujourd'hui, la plupart d'entre eux ne font plus peur aux éditeurs qui ont développé les parades, bien qu'ils ne puissent tout réparer non plus. "Nous n'intervenons pas en pompiers et nous devons d'abord stopper les virus", affirme Marc Blanchard. "Certains vers concatènent des fichiers système. Là, l'éradication ne suffit pas et le système peut encore garder des traces."

Hier : Javascript et ActiveX. Demain : PHP multi-OS ?
Après, de nombreux autres hybrides existent comme les macros Word alliées à des chevaux de Troie. Mais jusque-là, tous nécessitaient l'ouverture d'une pièce jointe et le lancement d'un fichier. Au delà semble émerger une troisième catégorie de virus transparents, qui se caractérise par Kak. Il existe aussi bien sous forme VBScript que JavaScript, qui sont les deux langages de programmation des vers actuels. Mais cet ancêtre particulier est en bonne voie d'éradication, car Microsoft, l'éditeur du programme de messagerie Outlook, a corrigé la faille à l'origine de sa propagation.

Enfin, deux autres catégories à surveiller émergent à peine. La première a été initiée par l'innocent PHP/Pirus, qui se transmet via une simple connexion à une page web. Depuis sa première apparition en novembre 2000, plusieurs variantes ont fait leur apparition. Selon Marc Blanchard, "ce sont juste des tests ou des tentatives, tout comme l'étaient les codes JavaScript et ActiveX en 1998. Face à eux, nous avons développé la parade qui consiste en un bon scanner http et ftp (lire le Faq) comme celui que nous fournissons avec InterScan." La dernière tendance, quant à elle, est plus récente. Il s'agit des vers Linux, parmi lesquels LiOn et Ramen. L'un d'eux, le multi-plates-formes Winux, s'avère capable de se propager à la fois sur Linux et Windows.

Hypothèse sur l'accalmie : le concours de virus
Face à ce panorama réellement inquiétant et mouvant, les deux derniers mois de silence relatif laissent rêveurs. Peut-être pour ne pas motiver les pirates en leur faisant de la publicité. Mais il est vrai aussi que la démarche qui consiste à secouer les entreprises en provoquant la psychose ne fait pas l'unanimité parmi les professionnels de la sécurité. Dans le passé, nombre d'éditeurs d'antivirus ont ainsi été pointés du doigt, ce qui pourrait expliquer que la plupart aujourd'hui ne jouent plus autant sur cette corde. Or, quelle que soit la manière, les entreprises et institutions doivent être sensibilisées aux multiples modes de protection existants. Car leurs capitaux sont en jeu.

Du reste, une autre explication est évoquée par Marc Blanchard : "il n'y a pas de nouvelle technologie et pour tout dire, cela m'inquiète. Les pirates sont peut-être sur un 'contest', c'est à dire un défi qu'ils se lancent entre eux pour désigner le virus le plus destructeur, le plus transparent ou même le plus propagateur. Ils se donnent 'x' jours et à une date donnée, tout le monde soumet son virus."

Une accalmie relative
Et dans ce cas, il faudrait espérer que cela n'arrive pas cet été, lorsqu'une partie des équipes informatiques des entreprises seront peut-être en vacances. Toujours est-il que les éditeurs d'antivirus veillent. Chez Trend Micro, une importante "war team" intervient en 24/7 toute l'année depuis les trois labos principaux situés à Paris, en Asie et aux Etats-Unis. Ces trois centres supervisent aussi les 18 laboratoires répartis à travers le monde, qui emploient plus de 80 virus coordinators et 60 virus doctors. Plusieurs autres éditeurs, de leur côté, disposent également d'un support aguerri.

Mais la meilleure solution consiste encore, avant de partir en vacances, à regarder si les portes sont bien fermées pour éviter que les cambrioleurs ne rentrent trop facilement. Et là, pour ceux qui ne disposent pas en même temps de protections au niveau de la messagerie, du navigateur web et du poste client, il est peut-être encore temps de s'équiper.