2004, année marquée par les nombreuses variantes des
vers mass-mailers. Netsky, Mydoom ou Sober se sont accaparés sous leurs différentes incarnations et pendant
des mois les premières places des classements établis par les éditeurs d'antivirus.
Et la longévité de ces trois familles de virus, garantie
par la publication et la réutilisation de code, atteint désormais
l'année.
"Ce type de virus ne véhicule pas forcément de nouvelles
technologies mais combine plusieurs techniques éprouvées dans
le but d'allonger artificiellement leur durée de vie : retro-virus,
failles et vulnérabilités, backdoor, social engineering et
mass-mailing. Tout commence par le mass-mailing et le social
engineering qui propagent le virus, l'exploitation de failles
permet l'installation du ver sur la machine et le retro-virus
désactive l'antivirus. Enfin la backdoor laisse au pirate
une porte ouverte à tout moment sur le système", analyse David
Kopp, directeur R&D chez l'éditeur antivirus Trend Micro.
Malgré
l'exploitation de toutes ces technologies, une variante ne
reste que rarement plus d'un mois en tête du classement des
éditeurs. Le constat des éditeurs est unanime : la durée de
vie des codes malveillants baisse. "Aujourd'hui le top 10
change tous les mois, alors qu'il y quelques années, des programmes
comme Kak@M, Ska@M ou Klez restaient actifs pendant plusieurs
mois d'affilée voire plusieurs années. Mais contrairement
aux mass-mailers qui infectent un large spectre [de machines] en très peu
de temps, ces vers là fonctionnaient par diffusion souterraine
lente", souligne François Paget, représentant du laboratoire
de détection de virus de l'éditeur McAfee.
A ceci est venu s'ajouter l'augmentation
des équipements de sécurité en entreprise. Ainsi, d'après
les dernières études des cabinets spécialisés, plus de 90%
des sociétés sont équipées d'antivirus ou de pare-feu.
L'exploitation de vulnérabilités et la diffusion en masse
du virus deviennent alors les techniques les plus sures de
contamination. "Certains créateurs de virus incluent même
l'exploitation de cinq vulnérabilités au lieu d'une seule.
Pour une entreprise, il est quasiment impossible de s'assurer
que toutes les machines ont bien été mises à jour", ajoute
David Kopp.
En parallèle, le délai espaçant la découverte d'une vulnérabilité
de la publication du code en tirant parti a constamment diminué.
Ainsi, alors qu'il avait fallu un an et demi à Nimda pour
apparaître et exploiter une faille logicielle, Sasser apparu
en 2004 met seulement 17 jours pour tirer profit d'une faille
touchant Windows XP. Mais globalement, ces vers spammeurs,
une fois leur signature connue, ne parviennent pas à infecter
autant de monde et aussi longtemps que des virus comme Melissa
ou I Love You qui circulaient dans les années 2000.
La
durée de vie importe peu, seule la contamination
compte |
"Le but des créateurs de virus a changé, nous ne sommes
plus dans le cas des épidémies de masse qu'il était possible
de trouver il y a encore quelques années. Aujourd'hui, ce
sont des micro-épidémies de spams, phishing ou ouvrant une
porte ouverte avec une motivation financière derrière. Les
créateurs ne se focalisent pas sur les technologies mais sur
la réutilisation de codes. De plus, avant ces mêmes créateurs
travaillant sur du code proche du système alors que désormais
ils programment en C++ et sont capables de modifier un code
et de le recompiler en quelques dizaines de minutes. Si une
de leurs tentatives n'a pas marché, ils modifient le code
jusqu'à ce qu'ils parviennent à leurs buts", déclare Marc
Blanchard, responsable pour Kaspersky France.
Dans cette optique, la durée de vie du virus importe peu,
seul compte la propagation et le nombre d'utilisateurs trompés
ou de PC infectés. Et les réseaux de PC zombies deviennent
le nouveau fléau des éditeurs d'antivirus. "Ce sont des programmes
qui ont été conçus pour être très rapidement utilisé mais
qui sont également très rapidement détecté. Cela explique
pourquoi nous en découvrons 25 à 30 nouveaux par jour. Alors
que pour une famille de virus, il existe quelques dizaines
de variantes, on trouve aujourd'hui entre 4 000 et 7 000 variantes
dans les familles de robots Agobots ou Sdbots", affirme-t-on
chez McAfee.
Les
backdoors utilisées pour mettre à jour le
virus à distance |
Ces nouveaux réseaux de réseaux servent ensuite de relais
aux créateurs de virus aussi bien pour tester leurs nouveaux
virus que pour le propager. Sur ces réseaux de PC zombies,
de nouveaux codes malveillants peuvent même se mettre à jour
à distance par l'intermédiaire de portes ouvertes. "Si l'on
prend l'exemple de Doomjuice et Mydoom, les ordinateurs infectés
par ce dernier chargent une enveloppe en mémoire qui attend
une éventuelle mise à jour. Le point d'entrée de Mydoom et
Doomjuice étant le même, il suffit de tromper les systèmes
de protection pour mettre à jour Mydoom en passant par les
portes qu'il a laissé ouvertes", explique Marc Blanchard.
D'autres types de virus développent également une meilleure
résistance aux procédures de sécurité comme ceux se déplaçant
par fichiers et non par système de messagerie ou encore les
routines appelant des fichiers .dll à la place des serveurs
SMTP, du code polymorphe ou des points d'entrée obscurs.
Mais ces programmes se raréfient, autant que les virus purement
destructeurs. "Nous ne faisons plus face à la complexité mais
à la quantité. Les créateurs cherchent à réaliser des choses
grandioses dans un temps très court", résume François Paget.
Une tendance qui devrait encore se généraliser dans les années
à venir avec le développement de l'électronique et de l'informatique
embarquée. Les PDA, téléphones portables, satellite, carte
d'identité électronique et les systèmes intégrés dans les
voitures, maisons ou autres sont autant de nouveaux terminaux
susceptibles d'accueillir pendant un laps de temps très court,
les futurs codes malveillants. Dès lors, le temps entre l'apparition
d'une nouvelle technique et sa parade devient crucial. "Mais
toute solution fait surgir un autre problème, la durée de
vie des virus est une perpétuelle course contre la montre",
conclut David Kopp.
|