Journal du Net > Solutions > Sécurité >  Sécurité > Analyse > Menace un jour, menace toujours ?
Analyse
 
01/09/2007

Menace un jour, menace toujours ?

Apparu en 2003, le ver Slammer fait toujours parler de lui. D'autres codes malveillants survivraient aussi. Une résistance qui illustre avant tout la durée de vie élevée des failles, malgré l'existence de correctifs.
  Envoyer Imprimer  

 
En savoir plus
 
 
 

Un ver qui a la vie dure ?

Les vieilles menaces ne meurent jamais. L'agent secret le plus décoré de Grande-Bretagne aurait-il repris du service ? A moins qu'il n'ait soudain décidé de se frotter aux codes malveillants, c'est bien improbable. Il s'agit en réalité du constat dressé par un expert en sécurité d'IBM ISS, Gunter Ollmann. Le ver Slammer, dont le casier numérique a été ouvert en 2003, serait ainsi un multirécidiviste.

Un flashback s'impose. En janvier 2003, le ver Slammer (aussi connu sous le nom de Sapphire) se fait remarquer en infectant plus de 75 000 ordinateurs en l'espace de seulement 10 minutes. Mais Slammer a un secret, une faculté spéciale qui explique cette propagation rapide. "A la différence des autres programmes, c'est un ver automatique, c'est-à-dire qui est à même de se propager de lui-même sans intervention au travers d'Internet pour s'installer sur des PC vulnérables - une faille dans Microsoft SQL Server", décrit François Paget, chercheur antivirus pour McAfee.

Pour Ghaleb Zekri, ingénieur chez IBM ISS France, cette survivance est possible notamment grâce aux progrès des réseaux. "Ce qui était possible alors en une minute pourrait désormais l'être en quelques secondes, ne serait-ce qu'avec le développement du haut débit et la popularisation de l'ADSL et du Wi-Fi."

"Hormis 2-3 programmes comme Slammer qui selon moi vivotent, aujourd'hui la durée de vie d'un virus, ou d'un cheval de Troie est ridiculement faible. Elle est limitée par l'auteur lui-même qui au bout de quelques jours fait en sorte qu'il disparaisse pour en propager une nouvelle version. Certaines grandes familles de virus comme Storm ou Zhelatin peuvent être présentes plusieurs mois, mais en réalité tous les 3 jours ou 3 heures, c'est une nouvelle version qui est diffusée" relativise François Paget.

Des failles de sécurité toujours pas corrigées

MPack permet de multiplier les failles exploitables par un malware

Mais si Slammer fait de la résistance, c'est surtout grâce à l'existence de systèmes toujours vulnérables sur lesquels n'a été installé aucun correctif de sécurité. Et tant que des patchs ne sont pas appliqués sur ces ordinateurs, ce type de ver pourtant ancien ne devrait pas déserter le devant de la scène définitivement.

Slammer joue toutefois le rôle d'une sonnette d'alarme. "Ce qu'il faut souligner dans la survivance de programmes anciens, c'est que s'ils continuent d'exister et donc de se propager, c'est qu'il reste encore de nombreux ordinateurs mal protégés. Et par conséquent ces derniers sont exposés à d'autres programmes, beaucoup plus malveillants, comme des chevaux de Troie ou des keyloggers, utilisant ces vieilles vulnérabilités et pouvant se propager par leur biais", avertit le chercheur de McAfee.

Il est en effet plus que probable que ces PC soient également infectés par des codes bien plus nocifs apparus entre 2003 et 2007. Plus que la persistance de certains codes malveillants de renom, c'est celle des failles de sécurité qui apparait la plus problématique. Avec des kits comme MPack, un créateur de virus peut en effet enrichir aisément la liste des vulnérabilités exploitées par son programme malveillant.

Des malwares qui combinent anciennes et nouvelles failles

La version 0.94 de MPack propose ainsi la possibilité d'appliquer un exploit précis en exploitant diverses failles de Windows, dont ANI, mais aussi dans d'autres logiciels comme QuickTime ou WinZip. Spybot.ACYR de son côté avait refait parler de lui 6 mois après la sortie par Symantec d'un patch pour corriger une faille de son logiciel. Spybot.ACYR utilisait néanmoins non plus une mais cinq failles sur Windows pour infecter un système.

 
En savoir plus
 
 
 

La lutte contre la propagation des programmes malveillants - rookies ou baroudeurs - passe donc avant tout par l'application des correctifs. "Au niveau des outils de sécurité, les mesures heuristiques sont une méthode de plus en plus évidente pour identifier une menace par rapport à son comportement ou à l'identification du vecteur de propagation. La meilleure solution est sans doute de combiner l'analyse heuristique et les bases de signature afin de confirmer et affirmer la détection", estime Ghaleb Zekri.

 


JDN Solutions Envoyer Imprimer Haut de page

Sondage

Votre entreprise évolue-t-elle vers une informatique bimodale ?

Tous les sondages