| |
 |
Mikko Hyppönen
Directeur technique
F-Secure |
|
Mikko Hyppönen
"Les attaques ciblées ne peuvent plus être détectées par nos pots de miel"
Les rootkits, le phishing, les attaques ciblées et les virus mobiles : des menaces en constante augmentation et qui suivent le changement de comportement des créateurs de virus.
04/10/2006 |
| |
|
 |
JDN
Solutions. Sur la dernière année, quelles ont été les innovations technologiques dont ont fait preuve les créateurs de virus ?
 |
En savoir plus |
|
 Dossier  Virus |
Mikko Hyppönen. L'évolution la plus notable concerne la généralisation des attaques ciblées. Les pirates choisissent d'attaquer désormais certaines organisations par le biais de virus créés uniquement à cette occasion. En tant qu'éditeur d'antivirus, cette situation pose quelques difficultés car nos serveurs "pots de miel" ne peuvent plus les détecter immédiatement. Au lieu de recevoir pour un virus donné, plus de 10 000 messages, nous n'en recevons que 10.
De même, les entreprises attaquées sont souvent espionnées pour connaître l'antivirus qu'elles utilisent. La volonté des créateurs de virus est de faire de l'espionnage industriel. Dernièrement, un de nos clients du monde de la finance a été victime d'une attaque de ce type. Un mail, qui semblait venir d'un utilisateur interne de la société, a été envoyé, avec un fichier joint à l'intérieur. Une fois ce fichier joint ouvert, la machine était infectée et ouvrait une porte dérobée.
Comment avez-vous modifié vos méthodes de travail ou vos outils pour répondre à ces attaques ?
Il faut reconnaître non plus la signature du virus mais son code, de manière à découvrir les virus non identifiés et empêcher que le virus ne se modifie lui-même pour se cacher de l'antivirus. C'est ce que fera notamment la prochaine version de F-Secure Internet Security 2007. Notre antivirus regarde le comportement des applications et des codes malveillants, ce qui nous permet de détecter, depuis 2005, les rootkits.
Quelle menace représente précisément les rootkits pour l'entreprise ?
Le rootkit est une technique de code malveillant, pas une nouvelle catégorie de menace. Il s'agit d'un ver ou d'un virus utilisant certaines propriétés pour se cacher du système. Il n'apparaît donc ni dans les processus visibles, ni dans les clés de registre.
Depuis 2005, cette menace s'est multipliée pour répondre aux nouveaux objectifs des créateurs de virus. Par exemple, il existe désormais des outils comme Hacktool, qui sont en fait des boîtes à outils pour fabriquer soi-même son rootkit. C'est une technique qui colle bien avec des attaques comme les arnaques en ligne, ce que l'on appelle le phishing.
Faut-il utiliser des produits de sécurité autre que l'antivirus pour détecter ces nouvelles menaces ?
|
|
 Les virus mobiles touchent principalement la plate-forme Symbian" |
|
Un pare-feu n'est pas forcément une bonne solution car ces programmes n'utilisent que rarement une connexion directe pour accéder à Internet. Ils préfèrent passer par le navigateur ou par la messagerie, soit Outlook, soit Internet Explorer.
En revanche, les solutions de détection d'intrusion représentent une possibilité. J'entends d'ailleurs par solutions de détection d'intrusion non plus la détection des intrusions réseaux, mais le suivi d'activité sur un PC. Durant le déroulement d'une tâche, c'est ce produit qui doit analyser le comportement du processus et, éventuellement, le détruire s'il semble nuisible.
Vous avez fait du virus mobile votre nouveau cheval de bataille. Qu'est-ce que ce nouveau créneau représente aujourd'hui comme menace ?
C'est un domaine où la menace évolue chaque jour même si elle reste encore aujourd'hui moins importante que sur PC. En 2004, nous avions découvert 22 codes malveillants à destination des terminaux mobiles contre 202 en 2006. Ces codes touchent principalement la plate-forme Symbian, seulement 3 virus affectent par exemple les Pocket PC ou les téléphones Linux. Ce sont donc surtout les utilisateurs européens et l'Asie qui sont touchés, moins le Japon ou la Corée qui fonctionnent avec des systèmes particuliers sous Linux.
De notre coté, pour faire face à cette menace, notre laboratoire a été modifié. Nous y avons ajouté une salle spécifiquement dédiée à l'analyse de ces menaces, complètement isolée des ondes radios de manière à ne pas laisser entrer ni sortir un code malveillant. De plus, depuis 1999, nous travaillons au coté de Nokia de manière à anticiper l'évolution de la menace.
Les virus mobiles sont-ils également écrits dans le but de gagner de l'argent ?
|
|
Il existe désormais des sociétés dont le commerce consiste à espionner les communications mobiles" |
|
Aujourd'hui, les codes écrits sur téléphone mobile le sont dans une optique de reconnaissance du milieu, et non à des fins criminelles comme sur PC. Cependant, c'est en train de changer. Nous avons pu observer en Asie et en Italie, la création de sociétés dont le commerce consiste à espionner les communications mobiles.
On peut notamment découvrir qui a téléphoné à qui, combien de temps la communication a duré, lire les SMS échangés,etc.
Ce genre d'activité n'est-elle pas illégale et donc condamnable ?
Tout dépend de quel point de vue on se place et par quelle législation ces activités sont couvertes. Si vous êtes un parent qui souhaite surveiller les relations de votre enfant en toute discrétion, cette activité est parfois tolérée. Si vous êtes un patron et que vous utilisez ce service pour surveiller vos salariés, c'est déjà plus discutable. Si enfin, vous utilisez ce service dans le but d'espionner une entreprise, c'est clairement illégal.
Avec cet outil d'aide à la création de virus, est-il plus facile de se lancer qu'avant ?
La population des créateurs de virus est très disparate, il n'est pas possible de les regrouper pour en tirer une conclusion générale. Les premiers virus étaient écrits en assembleur et demandaient une connaissance précise du matériel et du système. Aujourd'hui, ils sont écrits en Visual Basic, en Java, en C++. Mais s'il est plus simple de se servir d'un langage objet, certains créateurs de virus s'en servent pour réaliser des codes assez complexes.
|
|
C'est le hacking et non les virus, qui constitue la vraie menace des gros systèmes" |
|
Par exemple, le groupe russe à l'origine de Bagle a, en trois ans, transformé un ver de courrier en un code capable de voler de l'information, d'utiliser SQL Server pour se répandre en se basant sur une architecture client/serveur. Ces gens là ont le niveau de programmeurs professionnels.
Dans le monde des virus, le PC apparaît comme la cible principale. Quel est l'état de la menace sur d'autres systèmes, notamment les mainframes ?
Les virus continuent à exister sur mainframe, il faut garder à l'esprit que le premier virus tournait sur Unix. Mais ces codes ne sont plus vraiment dangereux car les environnements OS/2, Unix ou Linux sont très sécurisés. Nous n'avons pas connu de cas d'infection en 2006 sur ces environnements. Par contre, le hacking représente un danger pour ces systèmes.
Les virus gagnent d'autres plates-formes, notamment les consoles de jeux. La PSP de Sony ou la DS de Nintendo ont connu des virus. Cependant, le cur du problème en matière de sécurité reste le PC.
Avec Windows Vista, Microsoft souhaite mettre l'accent sur la sécurité du système. Est-ce que cela peut juguler l'évolution des virus sur PC ?
|
En savoir plus |
|
| Dossier Virus |
Nous l'espérons. Mais je n'y crois pas trop, les créateurs de virus finiront par trouver des failles de sécurité dans les nouveaux produits et les exploiteront.
De plus, chaque logiciel contient son lot de failles. Lorsque Windows XP est sorti, Microsoft disait déjà : c'est une grande amélioration pour la sécurité d'Internet. Or, on se rend compte que le Web est devenu plus dangereux aujourd'hui.
|
| |
Propos recueillis par Yves DROTHIER, JDN Solutions |
|
|
PARCOURS
|
|
|
| |
Mikko Hypponen travaille en tant que directeur de la recherche anti-virus chez F-Secure qu'il a rejoint F-Secure en 1991
Mr Hypponen a dirigé l'équipe qui a infiltré l'attaque réseaux Slapper en 2002, fait chuter le réseau utilisé par Sobig.F en 2003 et a été le premier a alerter le monde à propos de l'attaque créée par Sasser en 2004.
Né en 1969, Mikko Hypponen est membre du CARO (Computer Anti-Virus Reseachers Organization) depuis 1995.
|
|
|
|
