Développée dans le but de nuire à un système informatique, la catégorie des
malwares regroupe de multiples codes malveillants dont les virus, les vers,
les chevaux de Troie, les backdoors et les spywares.
"Pourquoi les capturer ? Dans le but de mieux appréhender les risques et d'utiliser cette compréhension
pour concevoir des modes de réaction efficaces", répond l'expert en sécurité de
la division R&D d'Orange, Laurent Butti.
Cette analyse doit ainsi donner des clefs pour freiner la place croissante
prise par les bots. Ces derniers fonctionnent en effet via un canal de
contrôle par l'intermédiaire duquel le pirate donne ses instructions. Pour rendre
un botnet inopérant, il faut préalablement bloquer le canal de contrôle et, pour
connaître son activité réseau, il faut le disséquer, donc le capturer.
La capture se fait par le biais de pots de miel (honeypots) de moyenne interaction
comme le logiciel Open Source, Nepenthes. Ce dernier peut émuler des vulnérabilités,
ce qui permet de capturer différents malwares via des vulnérabilités connues.
Nepenthes a ainsi été déployé sur une connexion Renater depuis fin 2005. Bilan
: sur les 843 codes différents capturés, 632 sont des bots et seulement 36 des
vers. 764 utilisent des techniques de protection comme les packers pour contourner
les mécanismes de détection (antivirus...).
|