| |
|
|
Comprendre sans passer à l'acte : connaître les virus pour mieux s'en défendre
|
François Paget
La protection des systèmes d'information implique une veille constante, notamment en matière de lutte antivirale. Lutter contre ces programmes malveillants passe par une connaissance pointue de leur fonctionnement : c'est la démarche du chercheur, c'est-à-dire, ici, celle de l'informaticien qui cherche à comprendre comment fonctionne un programme, sans intention malicieuse. C'est la conduite adoptée par François Paget dans Vers et virus : classification, lutte anti-virale et perspectives (Dunod, 2005) qui fournit une méthode d'analyse et de lutte contre ces programmes, enrichie de nombreux conseils pratiques.
|
| |
Peut-on évaluer les dommages que font subir les virus aux organisations ?
|
Il n’est pas évident de répondre à cette question. A chaque infection virale, des experts de tout bord nous annoncent des chiffres souvent catastrophiques et rarement vérifiables. Je donne quelques exemples dans mon livre (page 253 et suivantes).
Le site de « Netcost Security » diffuse ainsi les informations suivantes :
- le nombre de catastrophes virales (incidents au cours desquels au moins 25 PC ou serveurs sont contaminés simultanément par un même virus avec dommages significatifs ou perte financière pour l'entreprise) a augmenté de 12 % en 2004 par rapport à 2003. Sur les 300 sondés, 112 ont admis avoir eu à faire face à de tels incidents, contre 92 en 2003 ;
- les délais de rétablissement après une attaque virale sont évalués à 7 jours-homme et les estimations budgétaires des sociétés concernées s'élèvent à 130 000 dollars (environ 100 000 euros). Ces deux chiffres sont en hausse de plus de 25 % par rapport à 2003.
Je préfère cependant annoncer des chiffres plus faibles (5 000 euros en moyenne) ou me contenter de reprendre le texte d’une étude que nous avons menée au CLUSIF à l’occasion de l’attaque Mydoom.A et qui ne concerne que la France.
A cette occasion, 14 entreprises ont estimé leurs pertes financières. Dans la majorité des cas, ces entreprises estimèrent l'impact financier comme nul (dans 7 cas) ou faible (dans 5 cas). L'une d'entre elles expliqua ce fait en indiquant que « le coût interne fait partie intégrante de nos politiques de sécurité ». D'autres comparèrent ce type de dépense à une campagne de traitement de messages non sollicités.
Seules deux entreprises indiquèrent un chiffre relativement important : pour l'une, 20 jours-homme, pour l'autre 20 000 euros.
En fait, le phénomène virus se mesure plus en « gain pour ceux qui en profitent » et non plus en « dommage pour les victimes ».
Je crois qu’il ne faut pas toujours chercher des dommages importants capables de faire la une des journaux à sensation. Les attaques sont nombreuses et discrètes. Lorsque, grâce à une armée de robots, un spammer ou un phisher est capable de diffuser des dizaines de millions d’e-mails par jour, si seulement 0,01% des internautes se laissent prendre, certes les pertes unitaires sont faibles, mais ramenées à la masse des victimes, elles deviennent « intéressantes ».
A titre d’exemple, citons le cas du Brésil, où un réseau d’une trentaine de phishers a été démantelé en octobre 2004. Ils avaient volé plus de 2 millions de numéro de CB et causé 4,3 millions de dollars de pertes aux banques. |
|
Les programmes malveillants prennent de nombreuses formes : les vers et virus ne seraient-ils que la partie émergée de l’iceberg ?
|
Lorsque j'ai commencé à m'intéresser aux programmes malveillants, on ne parlait que de virus. Les vers rencontrés dans les années 80 n'étaient plus qu'un souvenir et les suivants n'étaient pas encore imaginés.
Aujourd'hui, pour le grand public, et même pour certains techniciens, tout programme malveillant est un virus. Or cela est erroné : à côté des vers et des virus, il y a les chevaux de Troie, les outils de capture d'information et d'appropriation de ressources, les robots, les adwares et les spywares...
Aujourd’hui, un anti-virus détecte 40% de virus et 60% « d'autres choses ». Le titre « Vers et Virus » est en fait un raccourci évocateur pour le lecteur, mais le livre aborde l'ensemble des programmes malveillants et indésirables. |
|
Quel est le niveau d’expertise des organisations en matière de lutte anti-virale ?
|
J'ai voulu présenter le sujet avec « l'œil du chasseur ». L'ensemble des spécialistes s'accorde à dire que l'on peut comprendre et lutter efficacement contre ces programmes sans jamais en avoir créé (ce qui ne veut pas dire sans en avoir manipulé…).
Je veux montrer que l'on peut tout dire et tout expliquer sans diffuser de code : on n’est pas obligé d’avoir été hacker ni d’agir en hacker pour savoir se protéger.
Je dois bien avouer que bon nombre des informations présentes dans ce livre n'avaient jamais été regroupées.
Pour une partie, elles existaient sur Internet ou dans des actes de conférences non accessibles ou dans les numéros du Virus Bulletin . Pour l'autre partie, elles sont issues de mon expérience. Peu de chercheurs ont écrit sur le sujet ces dernières années, alors que le phénomène évolue sans cesse. Enfin, tout cela est accessible en français, ce qui est loin d’être négligeable !
Bien des progrès ont été fait ces dernières années et les grandes entreprises savent maintenant généralement ce qu'elles doivent faire. Les petites et moyennes entreprises ont cependant encore beaucoup de chemin à faire. J'interviens aussi devant des étudiants et je pense que ce livre constitue pour eux une bonne synthèse de ce qu'il faut connaître. |
|
Les premiers virus datent des années 60 : la malveillance informatique est-elle apparue en même temps que l'informatique ? Et avec quelles motivations ?
|
Des qu'une nouvelle technique apparaît, il y a des individus qui cherchent à « jouer avec », ce n'est pas forcément et immédiatement de la malveillance. Le chapitre historique est sous-titré « de l'innocence à la tentation criminelle », cela résume bien la situation.
Aujourd'hui il y a les créateurs et ceux qui les utilisent (les commanditaires). Il y a toujours des « joueurs », mais l’appât du gain et l’argent facile sont le moteur des attaques actuelles. C’est sans doute pourquoi l’innovation technique n'est pas toujours au rendez-vous. C’est la quantité qui prime, et non la qualité. On diffuse des centaines de ces programmes, on les utilise et ensuite on les jette.
L’une des études les plus intéressantes du moment a été réalisée par Peter Haag (SWITCH Security Workshop, 03/11/2004). Elle traite des robots. Ces nouveaux venus sont encore peu connus, il s’agit de vers à propagation lente. Chaque variante est créée dans un but précis. Une fois sur votre machine, elle attend des ordres venant d’un serveur distant. Elle peut participer, depuis chez vous, à une attaque groupée, à l’envoi de spam ou de phishing. Sans le savoir, vous devenez complice...
Peter Haag nous explique que ces millions de robots sont à louer !
J’ai repris certains chiffres de cette étude à l’occasion du bilan de la cyber-criminalité présenté par le CLUSIF :
- le plus grand botnet (nom donné à un réseau de robots d’attaque) : plus de 14 000 machines
- un accès non exclusif à ce réseau : 0,15 euro / 0,33 euro en mode exclusif
- un réseau de 500 robots : 380 euros
- la location de 20 000 proxies par jour pour spammer vaut 75 euros par semaine
- les attaques DDOS se négocient entre 38 et 750 euros, etc. |
|
La diffusion de virus constitue-elle désormais une nouvelle arme pour les organisations criminelles ?
|
Oui, c'est une réalité. Depuis 2003, c'est une tendance qui s'affirme. J'en parle longuement dans le chapitre « Perspectives », où je détaille les nouveaux buts recherchés par les auteurs ou leurs commanditaires.
Même s’il reste 10 % de joueurs pour qui écrire un programme malveillant est un challenge intellectuel ou la recherche d’une reconnaissance, j’estime que 30 % de « l’activité virale » est liée au grand banditisme. |
|
La responsabilité des intrusions informatiques n’est-elle pas à rechercher dans les failles des systèmes d’exploitation plutôt que dans les usages utilisateurs ?
|
Disons que tout le monde est fautif !
Les systèmes d’exploitation actuels deviennent d'une extrême complexité et les failles font l'objet d'une traque du coté des utilisateurs curieux (honnêtes et malhonnêtes) comme du coté de leurs concepteurs. Alors que les failles rendues publiques sont vite corrigées, des centaines d'autres, qui ne seront jamais dévoilées, le sont aussi vite.
Toutefois, les utilisateurs qui ont aujourd'hui l'ADSL n'ont plus l'excuse de la lenteur de leur liaison pour ne pas effectuer très régulièrement les mises à jour de type « patches ». Le système XP actuel propose ainsi l'automatisation de ces installations. S’ils ne sont pas responsables des failles des OS, il est cependant de leur devoir de se tenir informé et de garder leur système le plus protégé possible, en suivant les recommandations des éditeurs d’OS.
Là où j'accuse les concepteurs de systèmes d’exploitation, c'est dans la configuration de base qu'ils définissent pour une installation standard. Il ne s'agit pas alors de failles mais de portes qu'ils laissent volontairement ouvertes et qu'un utilisateur non-technicien ne saura pas refermer. |
|
Vous définissez quatre types de virus : les virus système, les virus interprétés, les virus-programme et les vers. Quels sont les plus dangereux ?
|
| Les virus systèmes ont disparu de nos machines du fait de l'apparition des systèmes d’exploitation modernes (le 32 bits et le mode protégé).
Les virus interprétés disparaissent car, du fait de leur simplicité, ils sont détectés de manière générique et heuristique. Il reste les plus dangereux : les virus-programmes et les vers. |
|
Vous détaillez la conception des virus et les bases théoriques qui sous-tendent leur fonctionnement. N’y a-t-il pas un risque d’obsolescence rapide de ce livre dans un domaine en constante évolution ?
|
En première lecture ou en survol des chapitres techniques, il est possible de croire que je décris uniquement des méthodes d'infections, mais à y regarder de plus près, le lecteur verra que je décris plutôt une méthodologie de recherche. Certaines méthodes d'infection sur lesquelles je m'appuie disparaîtront peut être dans quelques années, voire quelques mois, mais certainement pas la méthodologie employée.
Si je détaille les virus système, c'est pour introduire mes méthodes. Ce furent mes premières chasses et c'est avec ces virus que j'ai fait mes premières armes.
Les virus-programmes (les vrais) sont en perte de vitesse, mais je crains un retour tonitruant. Très complexes, ils laissent pour l'instant la place aux simples vers de messagerie (les mass-mailers) et parfois aux « véritables » vers. Dans ces deux cas, les informations resteront un bon moment pérennes. Elles le seront jusqu'à la disparition des systèmes d’exploitation actuels et par exemple la véritable venue du 64 bits ou la disparition de Windows au profit d'UNIX ou de LINUX ! |
|
Vous présentez les différents outils de protection (en particulier l'utilisation combinée d'un anti-virus et d'un firewall) : certaines méthodes sont-elles plus efficaces que d'autres ?
|
Je décris dans le détail le fonctionnement du cœur de l'anti-virus (AV) sans m'attacher à son enveloppe. Ce livre ne traite ni des firewalls ni des IDS/IPS. Il me fallait cependant dire que l'AV comme outil de protection n'est plus suffisant à lui tout seul. L'efficacité va de pair avec la diversité. Ne croyez pas être correctement protégé si vous avez un AV à jour mais aucun firewall. Ne croyez pas être correctement protégé si vous avez un AV à jour mais un OS Windows 2000 ou XP de base sans aucun patch appliqué.
Quant aux pièges, pas besoin de grande sophistication : si vous voulez attraper un virus ou un programme indésirable, allez naviguer « en zone trouble » (sites de hacking, de crack, sites pornographiques et certains casinos en ligne...). Internet est à vivre comme une grande métropole : il y a des quartiers où il fait bon se promener, mais il y a des « quartiers chauds » et dangereux. Ne faites pas dans le monde virtuel ce que vous ne feriez pas dans le monde réel : faire preuve de bon sens, c'est déjà 50 % de la protection ! |
|
Les créateurs de virus imaginent sans cesse de nouveaux virus et de nouveaux vers : n'est-ce pas une lutte sans fin que de chercher à les combattre ?
|
Oui, c'est une lutte sans fin : les créateurs ont beaucoup d'imagination, mais les concepteurs d'anti-virus n'en manquent pas non plus. Aujourd'hui, plus de 80 % des programmes malveillants sont détectés de manière générique ou heuristique. C'est dire que la parade existe avant même que n'apparaisse l'attaque.
Et ce sont finalement ces 20 % restants qui donnent un peu de piquant à notre métier... |
|
|
© DUNOD EDITEUR, 9 Juin 2005
|
| |
|