|
|
|
|
Directeur
du laboratoire de recherche anti-virus F-Secure |
|
Mikko
Hyppönen
Le
blackout américain du mois d'août
n'aurait pas eu lieu sans la présence d'un virus
Spécialiste des codes malicieux et attaques informatiques,
Mikko Hyppönen revient ici sur le deuxième anniversaire
du 11 septembre, sur la coupure massive d'électricité
qui a eu lieu sur le sol américain en août
dernier ainsi que sur les moyens dont il dispose pour
anticiper les attaques virales.
10
septembre 2003 |
|
|
|
JDNet
Solutions. Nous sommes à la date anniversaire du
11 septembre, que pensez-vous qu'il puisse se passer ?
Mikko Hyppönen.
Je ne crois pas à un anniversaire terroriste pour le 11
septembre. Cela n'intéresse pas les terroristes, même
si les effets d'une attaque généralisée sur des sites
ou des entreprises névralgiques peuvent être spectaculaires
et paralysants. Les terroristes fondent leur action sur
la peur et la panique, il leur faut donc des victimes.
Or, les distributeurs d'une banque qui s'arrêtent ou des
trains paralysés en rase campagne ne font pas de victime.
Non, je pense plutôt que des virus véhiculant des messages
sur la date anniversaire du 11 septembre vont se multiplier,
comme cela a été le cas l'an dernier à la même date (nous
avions identifié trois virus de ce type), ou lors de la
guerre en Irak en début d'année ou encore lors des essais
nucléaires de la France dans le Pacifique (où Jacques
Chirac était visé). C'est le fait de jeunes qui s'amusent
mais aussi de ce que l'on appelle les hacktivistes, qui
cherchent à faire passer un message particulier et qui
sont prêts à tout pour cela
En
quoi consiste la menace aujourd'hui, du côté
des virus ?
Nous sommes confrontés à une nouvelle forme
d'attaques actuellement : les vers de réseau. Vous
n'avez pas besoin de télécharger quoi que
ce soit, vous n'avez pas besoin d'ouvrir un mail contaminé,
le seul fait d'être connecté suffit à
ce que vous soyez touché.
C'est ce qui s'est passé avec Slammer/ Sapphire
en janvier dernier ou bien au mois d'août, avec
Blaster. Le véritable danger avec ces vers, c'est
leur capacité à se coordonner pour, à
un moment précis, déclencher une attaque
contre un site donné. Avec Blaster, il y a trois
semaines, c'est ce qui était prévu puisque
le site Windows Update de Microsoft était la cible
d'une attaque globale concertée.
Cette attaque n'a pas eu lieu car Microsoft a retiré
le site à temps, mais au final, le résultat
a été atteint puisque le site a été
indisponible ! On peut imaginer que des sites de fournisseurs
d'accès ou que des serveurs racines soient visés.
C'est le type de menace qui nous attend sur les dix prochaines
années.
Pensez-vous que le blackout
intervenu le 14 août dernier aux Etats-Unis puisse
être la résultante d'un virus ?
Je ne pense pas que cette
coupure d'électricité générale
ait été causée par un virus mais
je crois qu'elle n'aurait pas eu lieu sans sa présence.
La propagation de Blaster était
à ce moment là à son paroxysme. Selon
moi, les contrôleurs ont pu faire des erreurs en
dirigeant des flux énergétiques vers un
réseau électrique déjà surchargé.
Blaster a pu causer des retards ou des erreurs dans la
transmission des informations par les capteurs.
Je pense que Blaster, le jour du blackout, a dégradé
les performances de plusieurs lignes de communication
reliant des centres de données clés utilisés
par les compagnies d'électricité pour gérer
leur réseau. L'incapacité de certains contrôles
de données à être échangés
rapidement à travers la grille a pu gêner
les opérateurs pour prévenir les effets
en chaîne du blackout. Le ver Blaster a par
ailleurs entravé la capacité des opérateurs
à rétablir l'électricité à
temps dans la région de New York.
La grille défaillante s'appelle "Niagara Mohawk",
propriété de "National Grid".
National Grid est cliente de Northern Dynamic. Northern
Dynamic se dit expert en systèmes OPC, ce qui signifie
"OLE for Process Control". OPC est utilisé pour
les communications entre systèmes de contrôle.
OPC est basé sur le protocole DCOM, qui est
l'implémentation de RPC [Remote Procedure Call]
par Microsoft. Or, c'est précisément une
faille dans le composant RPC qui a été exploitée
par Blaster pour se diffuser.
Tentez-vous
de connaître à l'avance les plans de certains
pirates, de les "infiltrer" ?
Oui, d'une certaine manière,
nous essayons d'anticiper ce qu'ils préparent,
en écoutant ce qui se dit et en observant ce qui
se fait. Mais les créateurs de virus savent également
ce dont nous disposons comme parade. Ils ont libre accès
à nos armes de défense.
Ils testent une version
de leur code et observent comment nos solutions réagissent,
jusqu'à ce qu'ils trouvent la bonne version qui
n'est détectée par aucun anti-virus... Qui
plus est, les virus sont souvent programmés pour
agir à partir de différents pays dans le
monde, il est donc très difficile pour les autorités
de chaque pays de coordonner une action efficace.
|
|
Propos recueillis
par Fabrice Deblock |
|
PARCOURS
|
|
|
|
Mikko
Hypponen est diplômé de l'Institute of Information
Technology d'Helsinki, en Finlande. Il est par ailleurs
membre du CARO (Computer Anti-Virus Researchers Organization)
depuis 1995. Il travaille dans le secteur de la sécurité
informatique depuis 1991.
|
|
|
|
|
|
|