En savoir plus

Philippe Bourgeois (CERT) : "Créateurs de virus et spammeurs se rejoignent"

Dossier Virus

"Ce type de virus ne véhicule pas forcément de nouvelles technologies mais combine plusieurs techniques éprouvées dans le but d'allonger artificiellement leur durée de vie : retro-virus, failles et vulnérabilités, backdoor, social engineering et mass-mailing. Tout commence par le mass-mailing et le social engineering qui propagent le virus, l'exploitation de failles permet l'installation du ver sur la machine et le retro-virus désactive l'antivirus. Enfin la backdoor laisse au pirate une porte ouverte à tout moment sur le système", analyse David Kopp, directeur R&D chez l'éditeur antivirus Trend Micro.

Malgré l'exploitation de toutes ces technologies, une variante ne reste que rarement plus d'un mois en tête du classement des éditeurs. Le constat des éditeurs est unanime : la durée de vie des codes malveillants baisse. "Aujourd'hui le top 10 change tous les mois, alors qu'il y quelques années, des programmes comme Kak@M, Ska@M ou Klez restaient actifs pendant plusieurs mois d'affilée voire plusieurs années. Mais contrairement aux mass-mailers qui infectent un large spectre [de machines] en très peu de temps, ces vers là fonctionnaient par diffusion souterraine lente", souligne François Paget, représentant du laboratoire de détection de virus de l'éditeur McAfee.

A ceci est venu s'ajouter l'augmentation des équipements de sécurité en entreprise. Ainsi, d'après les dernières études des cabinets spécialisés, plus de 90% des sociétés sont équipées d'antivirus ou de pare-feu. L'exploitation de vulnérabilités et la diffusion en masse du virus deviennent alors les techniques les plus sures de contamination. "Certains créateurs de virus incluent même l'exploitation de cinq vulnérabilités au lieu d'une seule. Pour une entreprise, il est quasiment impossible de s'assurer que toutes les machines ont bien été mises à jour", ajoute David Kopp.

En parallèle, le délai espaçant la découverte d'une vulnérabilité de la publication du code en tirant parti a constamment diminué. Ainsi, alors qu'il avait fallu un an et demi à Nimda pour apparaître et exploiter une faille logicielle, Sasser apparu en 2004 met seulement 17 jours pour tirer profit d'une faille touchant Windows XP. Mais globalement, ces vers spammeurs, une fois leur signature connue, ne parviennent pas à infecter autant de monde et aussi longtemps que des virus comme Melissa ou I Love You qui circulaient dans les années 2000.

"Le but des créateurs de virus a changé, nous ne sommes plus dans le cas des épidémies de masse qu'il était possible de trouver il y a encore quelques années. Aujourd'hui, ce sont des micro-épidémies de spams, phishing ou ouvrant une porte ouverte avec une motivation financière derrière. Les créateurs ne se focalisent pas sur les technologies mais sur la réutilisation de codes. De plus, avant ces mêmes créateurs travaillant sur du code proche du système alors que désormais ils programment en C++ et sont capables de modifier un code et de le recompiler en quelques dizaines de minutes. Si une de leurs tentatives n'a pas marché, ils modifient le code jusqu'à ce qu'ils parviennent à leurs buts", déclare Marc Blanchard, responsable pour Kaspersky France.

Dans cette optique, la durée de vie du virus importe peu, seul compte la propagation et le nombre d'utilisateurs trompés ou de PC infectés. Et les réseaux de PC zombies deviennent le nouveau fléau des éditeurs d'antivirus. "Ce sont des programmes qui ont été conçus pour être très rapidement utilisé mais qui sont également très rapidement détecté. Cela explique pourquoi nous en découvrons 25 à 30 nouveaux par jour. Alors que pour une famille de virus, il existe quelques dizaines de variantes, on trouve aujourd'hui entre 4 000 et 7 000 variantes dans les familles de robots Agobots ou Sdbots", affirme-t-on chez McAfee.

Ces nouveaux réseaux de réseaux servent ensuite de relais aux créateurs de virus aussi bien pour tester leurs nouveaux virus que pour le propager. Sur ces réseaux de PC zombies, de nouveaux codes malveillants peuvent même se mettre à jour à distance par l'intermédiaire de portes ouvertes. "Si l'on prend l'exemple de Doomjuice et Mydoom, les ordinateurs infectés par ce dernier chargent une enveloppe en mémoire qui attend une éventuelle mise à jour. Le point d'entrée de Mydoom et Doomjuice étant le même, il suffit de tromper les systèmes de protection pour mettre à jour Mydoom en passant par les portes qu'il a laissé ouvertes", explique Marc Blanchard.

D'autres types de virus développent également une meilleure résistance aux procédures de sécurité comme ceux se déplaçant par fichiers et non par système de messagerie ou encore les routines appelant des fichiers .dll à la place des serveurs SMTP, du code polymorphe ou des points d'entrée obscurs. Mais ces programmes se raréfient, autant que les virus purement destructeurs. "Nous ne faisons plus face à la complexité mais à la quantité. Les créateurs cherchent à réaliser des choses grandioses dans un temps très court", résume François Paget.

En savoir plus

Philippe Bourgeois (CERT) : "Créateurs de virus et spammeurs se rejoignent"

Dossier Virus

Une tendance qui devrait encore se généraliser dans les années à venir avec le développement de l'électronique et de l'informatique embarquée. Les PDA, téléphones portables, satellite, carte d'identité électronique et les systèmes intégrés dans les voitures, maisons ou autres sont autant de nouveaux terminaux susceptibles d'accueillir pendant un laps de temps très court, les futurs codes malveillants. Dès lors, le temps entre l'apparition d'une nouvelle technique et sa parade devient crucial. "Mais toute solution fait surgir un autre problème, la durée de vie des virus est une perpétuelle course contre la montre", conclut David Kopp.