07/02/2001
Virus,
vers et chevaux de Troie: le calme avant la tempête ?
Depuis le ver VBS/HomePage
qui avait frappé début mai dernier par
ses capacités saisissantes en matière
de propagation, les alertes sont devenues beaucoup plus
rares qu'elles ne l'ont été en début
d'année. Et ceci, au point de se demander si
la plupart des éditeurs d'antivirus ne s'étaient
pas passés le mot pour en limiter la diffusion.
Déjà, lors de la visite
du datacenter d'Exodus,
son vice-président sécurité le
Dr
Bill Hancock exprimait son inquiétude sur
le sujet face à un public de responsables sécurité
plutôt dubitatifs dans l'ensemble. Inquiétude,
car HomePage n'a pas montré de véritable
innovation en dehors de la force de frappe déployée
par ses auteurs. C'est pourquoi il s'est vite
essoufflé, et apparaît beaucoup moins
menaçant dans la plupart des classements d'aujourd'hui.
Etat
des lieux : les vers Magistr, MTX et Hybris en tête
Ainsi, depuis deux
semaines, c'est le plus dangereux de tous, alias Magistr,
qui fait le plus de ravages aussi bien selon SecurityPortal
qu'Antivirus.com,
le portail mondial de Trend
Micro. En ce moment même, l'éditeur
d'antivirus déclare environ 10 000 nouvelles
infections dans le monde sur les 7 derniers jours
(2 700 en Europe). D'après le directeur
des laboratoires européens Marc Blanchard, "depuis
le début de l'année, nous avons signalé
6 ou 7 grosses alertes qui indiquaient toutes
un certain degré de propagation. Mais nous ne
pouvons pas tout notifier à chaque fois. Par
rapport à 2000, il y a eu autant d'alertes voire
plus depuis le début de l'année, mais
il s'agit en général de codes non répandus,
ou de déclinaisons des technologies existantes
pour lesquelles nous avons déjà la parade.
Nous avons surtout connu beaucoup d'alertes ces derniers
temps avec Hybris,
MTX
et Magistr ; c'est à peu près tout.
Et ceci, en dehors des anciens codes malicieux comme
ILoveYou
et Melissa qui sont toujours présents".
Vers
chiffrés polymorphes vs propagation rapide
Or, il convient de
souligner la complexité particulière des
trois premiers vers cités, les deux suivants
se propageant toujours en raison d'un certain laxisme
dans l'installation et la mise à jour des antivirus.
Plusieurs grandes catégories de vers, ou codes
malicieux transmis à travers Internet, se dessinent
cependant. D'un côté, les émules
d'ILoveYou, adeptes de la propagation rapide, comptent
dans leurs rang HomePage, Mawanella
et Anna
Kournikova. Mais les dégâts ne sont
en général causés qu'au niveau
des serveurs de messagerie qui peuvent parfois être
saturés.
Puis, Magistr, MTX et Hybris sont tous des vers 32-bits,
au même titre que Kriz
et Navidad qui étaient programmés
pour se déclencher à Noël 2000. Ces
codes malicieux sont complexes par leur capacité
à changer de forme tout en étant chiffrés.
Les spécialistes les qualifient de PE, pour Portable
Executable, le mode standard de lancement des applications
sous Windows. Certains, pour illustrer leurs caractéristiques
de plus en plus courantes, reprennent le même
acronyme pour Polycriptic Encryptic. Parmi les plus
récents, une partie sont hybrides et intègrent
des chevaux de Troie qui ouvrent des "portes de
derrière" ou backdoors laissant la possibilité
au pirate de s'approprier à distance le poste
utilisateur. Dans le passé, il a été
difficile de les ranger objectivement dans une catégorie
précise, comme leur ancêtre FunLove.
Aujourd'hui, la plupart d'entre eux ne font plus peur
aux éditeurs qui ont développé
les parades, bien qu'ils ne puissent tout réparer
non plus. "Nous n'intervenons pas en pompiers et
nous devons d'abord stopper les virus", affirme
Marc Blanchard. "Certains vers concatènent
des fichiers système. Là, l'éradication
ne suffit pas et le système peut encore garder
des traces."
Hier : Javascript et ActiveX.
Demain : PHP multi-OS ?
Après, de nombreux autres hybrides existent comme
les macros Word alliées à des chevaux
de Troie. Mais jusque-là, tous nécessitaient
l'ouverture d'une pièce jointe et le lancement
d'un fichier. Au delà semble émerger une
troisième catégorie de virus transparents,
qui se caractérise par Kak.
Il existe aussi bien sous forme VBScript que JavaScript,
qui sont les deux langages de programmation des vers
actuels. Mais cet ancêtre particulier est en bonne
voie d'éradication, car Microsoft,
l'éditeur du programme de messagerie Outlook,
a corrigé la faille à l'origine de sa
propagation.
Enfin, deux autres catégories à surveiller
émergent à peine. La première a
été initiée par l'innocent PHP/Pirus,
qui se transmet via une simple connexion à une
page web. Depuis sa première apparition en novembre
2000, plusieurs variantes ont fait leur apparition.
Selon Marc Blanchard, "ce sont juste des tests
ou des tentatives, tout comme l'étaient les codes
JavaScript et ActiveX en 1998. Face à eux, nous
avons développé la parade qui consiste
en un bon scanner http et ftp (lire
le Faq) comme celui que nous fournissons avec InterScan."
La dernière tendance, quant à elle, est
plus récente. Il s'agit des vers Linux, parmi
lesquels LiOn
et Ramen. L'un d'eux, le multi-plates-formes Winux,
s'avère capable
de se propager à la fois sur Linux et Windows.
Hypothèse sur l'accalmie
: le concours de virus
Face à ce
panorama réellement inquiétant et mouvant,
les deux derniers mois de silence relatif laissent
rêveurs. Peut-être
pour ne pas motiver les pirates en leur faisant de la
publicité. Mais il est vrai aussi que la démarche
qui consiste à secouer les entreprises en provoquant
la psychose ne fait pas l'unanimité parmi les
professionnels de la sécurité. Dans le
passé, nombre d'éditeurs d'antivirus ont
ainsi été pointés du doigt, ce
qui pourrait expliquer que la plupart aujourd'hui ne
jouent plus autant sur cette corde. Or, quelle que soit
la manière, les entreprises et institutions doivent
être sensibilisées aux multiples modes
de protection existants. Car leurs capitaux sont en
jeu.
Du reste, une autre explication est évoquée
par Marc Blanchard : "il n'y a pas de nouvelle
technologie et pour tout dire, cela m'inquiète.
Les pirates sont peut-être sur un 'contest', c'est
à dire un défi qu'ils se lancent entre
eux pour désigner le virus le plus destructeur,
le plus transparent ou même le plus propagateur.
Ils se donnent 'x' jours et à une date donnée,
tout le monde soumet son virus."
Une accalmie relative
Et dans ce cas,
il faudrait espérer que cela n'arrive pas cet
été, lorsqu'une partie des équipes
informatiques des entreprises seront peut-être
en vacances. Toujours est-il que les éditeurs
d'antivirus veillent. Chez Trend Micro, une importante
"war team" intervient en 24/7 toute l'année
depuis les trois labos principaux situés à
Paris, en Asie et aux Etats-Unis. Ces trois centres
supervisent aussi les 18 laboratoires répartis
à travers le monde, qui emploient plus de 80 virus
coordinators et 60 virus doctors. Plusieurs autres éditeurs,
de leur côté, disposent également
d'un support aguerri.
Mais la meilleure solution consiste encore, avant de
partir en vacances, à regarder si les portes
sont bien fermées pour éviter que les
cambrioleurs ne rentrent trop facilement. Et là,
pour ceux qui ne disposent pas en même temps de
protections au niveau de la messagerie, du navigateur
web et du poste client, il est peut-être encore
temps de s'équiper.
|