 |
|
|
| |
|
|
|
| La réalité des virus multiplate-forme |
| Infecter n'importe quel système d'exploitation et n'importe quel terminal : une idée qui intéresse les créateurs de virus depuis plusieurs années mais reste à l'état de concept. Pourtant le risque de codes portables existe.
(18/05/2006) |
|
 |
En
savoir plus |
|
Dossier 
Virus |
Les virus multi plates-formes bientôt une réalité ? Pas vraiment, même si l'un d'entre eux a été découvert récemment par le laboratoire antivirus de l'éditeur Kaspersky. Linux.Bi - ou Win32.Bi selon le système d'exploitation touché - est apparu en avril 2006 en prenant pour cible à la fois les systèmes Windows et les systèmes Linux, mais il reste à l'état de virus conceptuel sans aucune charge malveillante hormis sa propagation.
"Les virus ciblant plusieurs plates-formes ne sont pas nouveaux. Le premier d'entre eux, W32-PeElf, a été créé en 2001 par un groupe de pirates baptisé 29A et spécialisé dans les virus un peu novateur. Il a été suivi en 2002 par Simile.D capable de faire du polymorphisme, de s'envoyer par e-mail en se faisant passer pour un fichier PDF et d'afficher un message à la machine connectée en tenant compte de son interface graphique", rappelle Candid Wuest, expert en sécurité informatique chez Symantec.
Les systèmes d'exploitations Windows et Linux ne sont pas les seuls touchés par ces virus. En 2001, un virus nommé S-Admin, affectait les machines sous Solaris ou sous Windows. Après avoir détecté de quel système le serveur était doté, il téléchargeait le code malveillant correspondant. C'est d'ailleurs l'une des particularités des virus multi plates-formes actuels, ils ne sont pas véritablement indépendants du système d'exploitation mais repose sur un principe de détection et d'adaptation du code assez simple.
"Même avant ces premiers virus multi plates-formes, on peut considérer que les codes portables ont commencé avec les virus macro. Ces programmes ciblaient des applications comme Microsoft Office qui existent aussi bien sous Windows que sur Mac OS. Il y a d'ailleurs eu bien plus de virus macro que de virus multi plates-formes. Ils étaient aussi plus dangereux en terme de contenu", souligne Eugenio Correnti, spécialiste antivirus pour F-Secure.
| L'intérêt des cyber-criminels n'est pas à la complexité du code |
L'hypothèse est peu probable que ces virus se développent à terme pour plusieurs raisons. D'abord l'intérêt des créateurs de virus, actuellement tourné vers l'argent et la rentabilité de leur création, n'est pas compatible avec la notion de virus multi plates-formes. En effet, il est plus intéressant de cibler le grand public que les entreprises, or le système grand public le plus adopté se trouve être Windows.
En sélectionnant un système d'exploitation, le cyber-criminel peut exploiter toutes ses connaissances sur ce système et ses failles, mais aussi produire plus rapidement des virus à la chaîne. Autre limitation : les langages utilisés pour créer des virus multi plates-formes ne sont pas accessibles à tous. L'exemple de Simile.D parle de lui-même : le virus a été écrit en assembleur et tire partie de fonctionnalités propres aux systèmes Linux et Windows.
Pour écrire ce genre de programmes, les créateurs de virus ont la possibilité de prendre des langages de scripts comme VB6, Delphi ou encore un langage portable comme Java. Reste que plus il élargit son spectre en terme de système d'exploitation, plus il doit limiter les fonctions de son virus pour qu'il s'applique partout de la même façon ou alors plus il doit connaître les failles des systèmes qu'il attaque afin d'obtenir le même résultat sur chaque programme ciblé.
"D'autres virus multi plates-formes existent, ceux qui font la liaison entre les postes de travail et les terminaux mobiles. Le dernier en date étant Worm_cxover.A qui touche Windows XP et Windows CE. Il a besoin du framework .Net et de l'outil de synchronisation ActivSync pour se propager. Si ces fonctions sont présentes, il utilise le système de messagerie pour se propager et peut supprimer quelques fichiers dans les répertoires", note Loucif Kharouni, ingénieur en sécurité chez Trend Micro.
| Les logiciels plus intéressants que les systèmes d'exploitation |
Même si ce dernier reste à l'état de concept théorique et ne se retrouve pas encore dans la nature, la multiplication de ces virus types pourrait donner des idées à d'autres. Les éditeurs d'antivirus s'y sont déjà préparés et la plupart disposent d'une offre comparable sous Windows, Mac OS, Linux et Unix. Si la signature de ces virus multi plates-formes différent selon le système d'exploitation sur lequel ils se trouvent, les éditeurs peuvent le repérer grâce à de l'analyse comportementale ou une évaluation sur la partie de code commune entre Linux et Windows par exemple.
De même, les entreprises ont été sensibilisées à la nécessité de se doter d'outils de détection d'intrusion, de filtrage ou de pare-feu en amont du réseau et sur les postes. Ainsi, les solutions de sécurité scannent l'ensemble des fichiers et des connexions réseaux sans tenir compte du système ciblé à destination.
"Un des risques possible par contre provient des vulnérabilités multi plates-formes, notamment celles qui touchent les navigateurs Web. Je prendrais l'exemple de la vulnérabilité CVE-2005-2340 qui touche le logiciel QuickTime et permet des exécutions arbitraires de codes aussi bien sur Mac OS que sur Windows", déclare François Paget, chercheur antivirus chez McAfee.
En touchant les applications et non le système lui-même, les créateurs de virus étendent la portabilité de leur création. Les systèmes embarqués, par exemple dans les distributeurs automatiques de billet ou dans l'aéronautique, pourrait même être ciblé à partir du moment où ils utilisent des logiciels courants du marché et s'ouvrent vers l'extérieur par des connexions réseaux filaires ou non filaires. Là encore, la complexité du virus et l'intérêt des créateurs déterminera si ces exploitations verront le jour ou non. |
|
|
|
|
|
|
