Publié le 03-01-2006 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

2006 devrait voir la poursuite du vol de données personnelles, confidentielles ou d'identité, une sophistication des menaces pour les entreprises, une diversification des attaques pour les particuliers et une inexorable progression des risques sur les mobiles. Voici les évolutions de la sécurité et des dangers informatique à venir. - Par McAfee

McAfee célèbre actuellement le dixième anniversaire du groupe AVERT, sa structure de recherche et de protection contre les menaces Internet. Mise en place, le 5 novembre 1995, le groupe était initialement une petite équipe répartie entre Santa Clara (USA), Amsterdam, Paris et Sydney. Aujourd'hui, il regroupe des chercheurs et ingénieurs présents sur cinq continents, 14 pays et 20 villes. Ce laboratoire décentralisé est actif 24 heures sur 24 et 365 jours par an.Grâce à son expérience et à son expertise, McAfee AVERT a découvert deux des attaques les plus virulentes de ces dernières années : Melissa en 1999 et MyDoom en 2004. Jimmy Kuo, chercheur chez McAfee, a donné le nom de Melissa et a tenu un rôle essentiel dans l'identification de son auteur. Il a collaboré avec le gouvernement américain pour l'informer et limiter les dégâts causés par ce virus. Pour cette participation, Jimmy Kuo a reçu le prestigieux Federal 100 Award. Selon Computer Economics, l'impact financier de Melissa en 1999 s'est élevé à environ 1,5 milliard de dollars.

De son côté, Craig Schmugar, un autre chercheur du groupe, a découvert MyDoom. Ce ver fut à l'origine de l'attaque la plus soudaine jamais observée sur Internet. Toujours selon Computer Economics, il a contaminé jusqu'à 12 000 systèmes à l’heure et le montant de ses dégâts a été estimé à 5,25 milliards de dollars pour 2004. À l'occasion de cet anniversaire, François Paget, l'un des membres fondateurs du groupe, revient sur l’année 2005 et expose quelques prévisions pour 2006.

42% des français capable de se connecter à Internet
Durant les dix années écoulées, nous avons vu la nature et la vitesse de propagation des menaces évoluer de façon spectaculaire. A l'aube de 2006, plus d'un milliard d'internautes peuple la planète. Avec un taux de pénétration¹ de 68,7% les Etats-Unis comptaient 203,5 millions d’utilisateurs de l'Internet en septembre 2005. A cette même date, la Chine et ses 103 millions de connectés découvraient simplement le monde virtuel (taux de pénétration de 7,9%). En Europe, la France compte 25,6 millions d'utilisateurs de l'Internet (taux de pénétration de 42,3%). Elle se situe en 9^ème position sur la liste des pays ayant le plus grand nombre d'internautes. Face à ces millions d'utilisateurs, McAfee AVERT a recensé plus de 160 000 programmes différents qui menacent leur tranquillité et leur vie privée. Des milliers d'autres codes et vulnérabilités sont, sans doute, non encore identifiés. Ils représentent tous un danger, que l'on soit un particulier ou un professionnel.

Retour sur 2005
L'informatique familiale : le maillon faible.
De récentes enquêtes tendent à démontrer que les entreprises sont de plus en plus conscientes des risques et de mieux en mieux protégées. En 2003, 95% d'entre elles annonçaient utiliser un antivirus et 83% un pare-feu². Malgré ces chiffres rassurants, elles ne sont pas à l'abri d'une attaque distribuée et réfléchie. Au-delà du périmètre de l'entreprise, la multiplicité des ordinateurs personnels connectés à Internet par l'ADSL fait peser une menace impersonnelle et grandissante. Les ordinateurs familiaux sont de plus en plus nombreux et leurs propriétaires toujours inconscients des risques qu'ils encourent.

Une étude, réalisée en 2004 par America Online Inc. et la National Cyber Security Alliance (NCSA)³, révèle que la plupart de ces personnes pensent qu'ils ne sont pas menacés. Plus de 3 utilisateurs d'ordinateur sur 4 considèrent qu'ils ne sont pas concernés par les menaces virtuelles. Cette impression de sécurité conduit la majorité d'entre eux à stocker des données personnelles sensibles sur leur ordinateur, comme des informations médicales et financières, sans protection suffisante. Cette impression de sécurité est erronée dans la plupart des cas. En effet, deux tiers des participants à l'étude ne mettent pas à jour leur programme antivirus et un utilisateur sur sept n'utilise aucun programme antivirus. Si l'on admet qu'un PC non à jour et connecté sur Internet a une durée de vie sans infection de moins de 20 minutes⁴, il est à craindre qu'un nombre impressionnant d'ordinateurs ne soient infectés par des programmes malveillants, logiciels espions ou robots, à même de rassembler secrètement des informations via leur connexion Internet ou de servir de passerelle à des activités légalement répréhensibles. S'ils souhaitent s'attaquer à une entreprise, les pirates ne s'y trompent pas : ils visent les particuliers pour mieux rebondir sur leur cible. Transformées en machines « zombies », les PC des internautes en bout de chaîne sont utilisés pour mener des attaques de grande envergure.

La persistance des robots
L'invasion des robots fut un fait marquant en 2004 et leur nombre n'a cessé d'augmenter en 2005. Ils sont connus sous divers noms de baptême : Sdbot, Agobot, Gaobot, Spybot, Polybot, Kwbot, Phatbot, etc. Ce sont des programmes malveillants permettant une prise de contrôle à distance de machines vulnérables afin de former un réseau d'attaque caché (ou botnet). En octobre, la Wildlist⁵ en annonçait 144 dans sa liste principale et 3 028 dans sa liste secondaire soit une augmentation de plus de 400 % sur 12 mois. Pour s'implanter, ils utilisent des méthodes classiques s'aidant d'un virus ou d'un message de type spam. Un robot déjà installé sur une machine peut aussi effectuer sa propre mise à jour afin de rester plus longtemps indétecté. Nombre d'entre eux se propagent aussi par exploitation d'une vulnérabilité non comblée, d'un partage ouvert (open shares) ou d'un mot de passe faible ou manquant.

Des robots et des PUPs
Distribués au profit de régies publicitaires, les programmes potentiellement indésirables (PUPs) augmentent en nombre. Le groupe AVERT annonce pour 2005 une progression de 40 %. Alors que la législation avance à des allures variables, les professionnels de la sécurité ont mis en place des groupes de travail comme l'Anti-Spyware Coalition⁷, dont McAfee est l'un des membres fondateurs. Ils s'efforcent de définir et de catégoriser les comportements potentiellement indésirables. Parallèlement, les éditeurs de logiciels de publicité semblent faire un effort d'auto contrôle. En effet, en 2005, une nouvelle tendance se précise. Certains utilisateurs de réseaux de robots (botnet) découvrent qu'il est très rentable ; et peut être moins dangereux - de les utiliser comme aide à la diffusion d’adware. Ces personnes peu scrupuleuses s'associent à des régies publicitaires qui vont ensuite les rémunérer au nombre d'installation.En août 2005, la société 180solutions porta plainte contre sept de ses affiliés pour avoir diffusé ses adwares sans consentement initial⁸. La société dénonçait ainsi les agissements de personnes malintentionnées en Grande-Bretagne, en Australie, au Canada, au Liban, en Slovénie et en Hollande. Afin d'augmenter leurs gains (entre 7 et 50 cents par installation), elles auraient utilisées des machines zombies comme aide à la diffusion. Selon les experts, un réseau de 5 000 machines permettait un revenu de $744 par jour, ou $22 346 par mois. La plainte aboutie en octobre 2005 à l'arrestation de 3 suspects par la police hollandaise. (Sur ZATAZ Journal nous avions révélé, entre autre, le spyware diffusé via des publicités diffusées sur Lycos. 8b)

Les chevaux de Troie d'hier sont toujours à la mode
L'augmentation du nombre de chevaux de Troie est encore plus importante que celle des PUP. Ce terme générique (en anglais : Trojan) recouvre de nombreux types de programme malveillants. En apparence inoffensif, ils contiennent une fonction illicite cachée et connue de l'attaquant seul. Dans cette grande famille, les portes dérobées et les renifleurs de mot de passe ont été fortement utilisés en 2005. La porte dérobée (en anglais : backdoor) est un programme implémenté secrètement sur une machine. Il permet ensuite à son concepteur de s'introduire depuis un lieu distant. Le renifleur de clavier ou de mot de passe (en anglais keylogger ou password stealer) est lui aussi dissimulé sur l'ordinateur de sa victime. Il saisie certaines frappes au clavier et collecte des noms d'utilisateur, des mots de passe et des informations personnelles et parfois confidentielles. Les données sont ensuite renvoyées et employées à des fins frauduleuses.

En mai 2005, 21 dirigeants d'entreprises et détectives sont arrêtés en Israël¹⁰. On les accuse d'avoir utilisé un logiciel leur permettant de pénétrer dans les ordinateurs de leurs concurrents. Moyennant 3 000 euro;, chaque version était adaptée à la cible. Pour mieux tromper les logiciels de sécurité, chaque version était également unique. Son concepteur l'envoyait par e-mail ou l'intégrait à un CD contenant une proposition commerciale imaginaire. Une fois le travail d'installation du produit espion terminé, le « client » recevait une adresse IP, un nom d'utilisateur et un mot de passe afin qu'il puisse accéder directement au système qu'il souhaitait espionner.

Toujours en 2005, il est possible de citer le rapport du NISCC (Centre britannique de coordination de la sécurité de l'infrastructure nationale), émis en juin¹¹. Il rapporte, qu’à cette époque, une attaque d'une envergure sans précédent frappa les réseaux informatiques du Royaume-Uni. Selon ses estimations, près de 300 sites clés vitaux furent la cible d'attaques virales via l'Internet et les courriers électroniques.


Le retour des rootkits
Ces derniers mois, un autre phénomène a pris de l'ampleur et s'est complexifié. Il s'agit des rootkits. Ce type de programme permet de rendre totalement furtif un autre programme en les rendant (lui et son rootkit) invisibles à un outil de sécurité tel qu'un antivirus. Dans tous les cas, le but est d'empêcher que l'utilisateur ne perçoive des informations indiquant la présence d'activités clandestines sur son ordinateur. Le rootkit rend invisible les processus, les fichiers et les connexions réseaux du pirate. Une fois résident en mémoire, il est très difficile à détecter. Bien connu dans le monde UNIX, ces programmes permettent maintenant, dans le monde Windows, une meilleure furtivité pour des codes malicieux déjà connus (robots, renifleurs de mot de passe, portes dérobées, etc.). Des sociétés commerciales utilisent le concept comme outil de dissimulation et des organisations douteuses les mettent en vente sur Internet. De récentes statistiques issues des remontées faites par MSRT (outil de suppression de logiciels malveillants Microsoft Windows) confirment la prévalence de ces programmes peu connus du public (FURootkit, IsPro et Hacker Defender sont les premiers de la liste). Après l'annonce publique de sa découverte le 31 octobre 2005, le produit SONY BMG (DRM-rootkits - Digital Rights Management) est maintenant lui aussi détecté et éliminé par nombre d'antivirus. Malgré quelques programmes spécifiques très performants, les antivirus deviennent l'une des meilleures solutions pour leur détection et leur élimination. Nous avons pu montrer qu'il était possible de mettre en oeuvre des détections génériques et VirusScan possède depuis juillet 2005 une détection « new rootkit ».

Davantage d'attaques sur les équipements mobiles
C'est en juin 2004 qu'a été détecté le premier programme malveillant ciblant les mobiles. Cette première attaque, conçue comme une preuve de faisabilité par un groupe bien connu d’auteurs de virus, visait le système d’exploitation Symbian. Peu après, on vit apparaître le premier virus pour Pocket PC infectant les fichiers Windows CE. Depuis cette date, plusieurs chevaux de Troie pour mobiles ont vu le jour ; ils marquent le début d’un intérêt réel pour les codes malicieux visant ces équipements. Si l'on se réfère au temps des premiers virus dans le monde DOS, leur nombre augmente aujourd'hui 10 fois plus vite que par le passé. Au 2ème trimestre 2005, 121 variantes de menaces mobiles ont été enregistrées. Ce nombre devrait augmenter de manière significative en 2006.

Une forte augmentation du nombre des vulnérabilités
Alors que le nombre total de vulnérabilités était stable en 2003 et 2004, il semble que l’année 2005 voit apparaître un nouveau record. Les derniers chiffres du CERT¹² sont éloquents :