JDNet
Solutions: Selon vous, quelle est la plus grande menace aujourd'hui
en terme de virus et autres codes malicieux ?
Vincent Gullotto:
Je pense que le plus grand risque
vient encore et toujours des virus de type mass
mailing. Ce sont d'abord des menaces pour les utilisateurs
finaux puis les PMEs, et enfin pour les utilisateurs des grandes
entreprises qui sont déjà très protégées.
La nouvelle menace correspond à la prochaine génération
de mass mailers qui utilisent Internet, se mettent en veilleuse
et continuent de se propager. Et nous en sommes seulement
au tout début de ces attaques.
Que
pensez-vous des virus polymorphes et chiffrés ? Ne
sont-ils pas l'un des plus grands risques ?
V.G: Ils ne sont problématiques que dans la
mesure où ils demandent plus de temps pour développer
un vaccin. Mais ces menaces ne sont pas très nombreuses,
car elles réclament à leurs programmeurs du
temps pour les développer, ainsi que des habiletés
particulières liées à un savoir assez
pointu. Je dirais qu'une majorité de ces auteurs de
codes malicieux ont un passé de programmation classique
et sont capables de mettre les mains dans du code macro ou
d'élaborer facilement de nouvelles variantes. Mais
seul un tout petit pourcentage d'entre eux a les capacités
de rapprocher des moteurs molymorphiques et de chiffrement.
|
François
Paget
Expert en sécurité
"virus et antivirus"
|
François Paget: Je
dirais aussi que ce n'est pas une nouvelle menace en tant
que telle. Dans toutes les familles de virus, nous avons vu
des codes polymorphes chiffrés. Et le moteur polymorphe
est parfois plus costaud que tout le reste. J'ai vu des virus
où sur 50 Ko, il y avait 48 Ko de polymorphisme.
Bien sûr cela nous donne du travail, mais ce n'est pas
cela qui nous inquiète le plus. J'ai surtout l'impression
que certains programmeurs de virus créent une montagne
de code polymorphique, et ne voient pas une petite faille
à côté que nous pouvons exploiter en 5 minutes
pour le mettre hors-circuit. Pour tout vous dire, j'aurais
dit en 1999 que c'était le problème numéro
un. Aujourd'hui, cela occupe encore presque 100 % de
mon temps car c'est ma spécialité, mais ce n'est
plus vraiment l'une des principales menaces.
Les
codes malicieux qui mêlent vers, virus et chevaux de
Troie sont-ils en nette augmentation ?
V.G: Au cours des deux dernières années,
les menaces sont devenues multidimensionnelles. De fait, les
chercheurs de vers et de virus ont rencontré des codes
qui se déplacent à travers le réseau
et sont en même temps capables de voler des données.
Il y a deux ans, nous avons intercepté un virus appelé
Caligula, qui infectait la machine sous forme de macro Word
et s'avérait capable de chercher les clefs PGP stockées
dans les fichiers .PGP et .ASC. Une fois trouvées,
il pouvait les renvoyer par e-mail. C'était un risque
important mais les auteurs du virus avaient oublié
la question du mot de passe. Et comme ils n'étaient
pas capables de récupérer la clef publique,
leur tentative n'a servi à rien.
Code
Red et SirCam étaient-ils liés en quelque sorte
d'un point de vue tactique ? Existe-t-il des virus qui coopèrent
aussi sur la partie technique ?
V.G: Non je ne crois pas que Code Red et SirCam aient
été liés, et je pense qu'il s'agit simplement
de coïncidence. Maintenant, il existe 10 ou 12 de
ces couples de virus dont vous parlez, mais aucun n'a connu
une telle prolifération comme Code Red. En revanche,
il existe une coopération entre les programmeurs de
virus, et nous pouvons le dire d'après des informations
que nous retrouvons à l'intérieur de codes sources.
Dans la plupart des cas, si une telle collaboration existe,
nous en sommes avisés. Et il ne faut pas oublier que
les programmeurs de virus se connaissent généralement.
Dans le code de W95/Champaign, par exemple, le programmeur
saluait au passage les membres d'un groupe espagnol assez
actif, et il y avait une chance non négligeable qu'ils
lui ait apporté leur aide.
Pourquoi
ce groupe espagnol n'a-t-il pas été arrêté
?
Et pourquoi n'arrête-t-on pas plus souvent les auteurs
de ces codes malicieux ?
V.G: D'une part, il n'est pas toujours facile de les
trouver. Et d'autre part, dans beaucoup de pays comme les
Etats-Unis, ce n'est pas illégal d'écrire un
virus. C'est le premier amendement à la constitution
américaine au sujet de la libre expression qui veut
cela.
F.P: En France, il n'est pas non plus interdit d'écrire
un virus, mais toutes les lois existent pour punir leurs auteurs.
Ce ne sont pas des lois qui ont été élaborées
en particulier à leur encontre mais qui peuvent être
utilisées dans ce cadre. Mais ce qui manque surtout,
ce sont les plaintes des entreprises.
V.G: Oui, et je voudrais rajouter qu'établir
la preuve est rarement facile. Il faut donc trouver d'autres
moyens pour empêcher ces programmeurs de nuire. L'auteur
de Melissa a pu être inculpé pour détournement
de l'usage du système téléphonique, car
il a pu être prouvé que ceci avait été
fait dans un objectif de destruction. Et quand quelqu'un envoit
un mail bomb (courrier explosif), ce qui permet des poursuites
aux Etats-Unis est l'usage détourné du système
postal.
Quel
est le profil moyen (âge, motivations...) des auteurs
de virus ? Ceux qui travaillent pour le compte de sociétés
ou de gouvernements sont-ils plus nombreux qu'on ne le pense
?
V.G: Je pense que la grande majorité de ces
programmeurs ont entre 16 et 35 ans, mais la plupart
d'entre eux se situent plutôt entre 18 et 25 ans.
Ce sont souvent des jeunes qui ont de réelles capacités
sociales. Maintenant, je crois qu'il existe effectivement
des hackers et des auteurs de virus qui travaillent pour le
compte d'organisations. Mais ils sont peut-être moins
nombreux que ceux qui sont en colère contre le gouvernement,
contre leur employeur qui les a renvoyé, ou dont ils
estiment qu'ils sont sous-payés. Ceci dit, je crois
que ceux qui attaquent une société particulière
emploient plutôt de vraies méthodes de hacking
spécifiques au système cible.
Le
fait de connaître à l'avance l'existence des
"concours de virus" vous permet-il de mieux identifier
les menaces ?
V.G: Nous ne savons pas toujours quand ces concours
ont lieu. Et souvent, ce ne sont pas eux qui créent
les plus grandes menaces, car le pire est souvent élaboré
en privé. Si les programmeurs annoncent seulement à
l'avance la tenue prochaine d'un concours, cela ne reste pas
clair. Mais si nous connaissons l'historique des personnes
qui y participent, que nous disposons d'exemples de leurs
codes sources et que nous savons quel est le thème
du concours, alors nous pouvons éventuellement travailler
dessus proactivement.
Comment
travaillez-vous avec les forces de l'ordre ?
V.G: Aux Etats-Unis, nous discutons avec les pouvoirs
publics sous une forme protocolaire au sujet de nombreux vers
et virus différents. S'ils le demandent, nous leur
envoyons des éléments, et nous faisons remonter
beaucoup d'informations au FBI. De leur côté,
ils nous disent ce qu'ils ont trouvé et nous en envoient
des parties si nous le demandons. Il existe une équipe
spécialisée au sein du gouvernement.
F.P: En France, nous avons des relations moins formelles.
Lorsque le ministère de l'intérieur ou la gendarmerie
ont des questions à poser, nous échangeons des
coups de téléphone ou des e-mails sécurisés
chiffrés à l'aide de PGP (l'algorithme dont
les droits sont détenus par Network Associates, ndlr).
Cela arrive en particulier quand une entreprise dépose
une plainte. Je n'échange jamais de virus avec l'administration,
mais parfois des informations.
Existe-t-il
des synergies entre les éditeurs d'antivirus ? Refusez-vous
parfois aussi de travailler avec certains que vous ne jugeriez
pas assez sérieux ?
V.G: Nous échangeons des informations de recherche
et sur les quantités de virus observés avec
d'autres responsables antivirus. Mais évidemment, nous
n'échangeons pas nos technologies qui sont spécifiques
d'un produit d'éditeur à un autre. Par exemple,
cela peut-être "j'ai trouvé un octet chiffré
et il se trouve à tel endroit dans le virus."
Maintenant, il y en a qui font le choix de ne pas participer
à ces échanges, et d'autres avec qui nous ne
participons pas. Il existe à l'heure actuelle plus
de 1 000 produits antivirus et seulement une dizaine
d'éditeurs reconnus autour de 35 produits. Concernant
ces derniers, je crois qu'ils sont tous sérieux. Mais
j'ajouterais aussi que certains ne sont pas aussi sûrs
lorsque l'on parle de la qualité de leurs produits.
F.P: En France, nous collaborons avec Marc Blanchard
de Trend Micro, mais nous ne pouvons pas dire que nous travaillons
avec Trend Micro. Les relations sont établies entre
chercheurs et sont basées sur la confiance. Nous n'échangeons
pas avec des personnes tant qu'elles ne sont pas respectées
et dignes de confiance.
Les
menaces touchant les utilisateurs mobiles sont-elles crédibles
?
V.G: Heureusement, il n'y en a pas beaucoup. C'est
pourquoi nous ne les voyons pas comme actuelles mais comme
potentielles. Nous croyons qu'il peut en exister de différentes
formes, pour les téléphones mobiles d'un côté,
et pour les assistants personnels de l'autre. En même
temps, ces menaces ne seraient pas capables de s'étendre
d'un type de terminal à un autre. Sur les assistants
personnels, elles seraient plus similaires à ce que
l'on peut rencontrer sur PC en raison du rapprochement des
technologies. Si les mobiles commencent à s'appuyer
sur des technologies similaires, comme le PalmPhone distribué
par Sprint aux Etats-Unis, le risque peut se propager d'une
plate-forme à une autre. Par exemple, les virus Palm
peuvent aussi infecter les PalmPhones puisqu'ils ont le même
système d'exploitation. Actuellement, les téléphones
mobiles sont beaucoup plus affectés par les développements
des standards de messages comme JS au Japon et SMS en Europe.
Chez Network Associates, nous avons un autre laboratoire,
McAfeeLabs, qui effectue spécifiquement des recherches
sur les technologies mobiles et nous informe en terme de nouveautés
et de technologies futures. A partir de là, nous développons
proactivement chez Avert les éléments nécessaires
que nous intégrons dans nos produits.
Ne
croyez-vous pas qu'en installant des antivirus au niveau des
backbones,
ceux-ci pourraient bloquer tout trafic malicieux ?
V.G: Les opérateurs utilisent beaucoup les produits
que nous développons aujourd'hui. Mais pour CodeRed
par exemple, je pense que le réseau est trop complexe
et quand un virus bouge aussi vite, ce n'est pas un antivirus
au niveau des backbones qui pourrait stopper l'infection.
Un étudiant de l'université de Berkeley (USA)
a d'ailleurs écrit un article sur une menace potentielle
de ver intitulée Warhol qui pourrait mettre à
mal tous les ordinateurs reliés à Internet en
seulement 15 minutes. Non seulement cela ne pourrait
pas fonctionner, mais en plus je ne suis pas forcément
d'accord avec ce type de papier qui pourrait inciter les personnes
à réfléchir sur la façon d'y arriver.
Mais pour en revenir aux antivirus au niveau des backbones,
certains sont probablement en train d'étudier le sujet.
Pour
les utilisateurs, quel est selon vous la meilleure protection
possible ?
V.G: Evidemment, les éditeurs comme nous doivent
commencer par là avant de s'intéresser aux backbones.
Pour Avert, cela consiste à être
capable de développer des technologies qui comprennent
les comportements des virus sur les systèmes en veillant
sur des événements spécifiques. Par exemple,
si un code malicieux attaque une page web et lui envoit 6 500
ou 8 000 requêtes par jour, l'ISP le saura
mais rien ne change dans ses opérations. C'est pourquoi
la technologie doit être développée pour
traquer les éléments et les comportements qui
peuvent être différents de la normalité.
D'un point de vue utilisateurs, enfin, ceux-ci doivent enfin
commencer à comprendre qu'il faut s'appuyer sur des
personnes qui ont prouvé leur sérieux et leurs
compétences. Mais en général, les utilisateurs
n'ont pas assez d'informations et ne sont pas suffisamment
éduqués.
|