McAfee célèbre actuellement le dixième anniversaire du groupe AVERT, sa structure de recherche et de protection contre les menaces Internet. Mise en place, le 5 novembre 1995, le groupe était initialement une petite équipe répartie entre Santa Clara (USA), Amsterdam, Paris et Sydney. Aujourd’hui, il regroupe des chercheurs et ingénieurs présents sur cinq continents, 14 pays et 20 villes. Ce laboratoire décentralisé est actif 24 heures sur 24 et 365 jours par an.

Grâce à son expérience et à son expertise, McAfee AVERT a découvert deux des attaques les plus virulentes de ces dernières années : Melissa en 1999 et MyDoom en 2004.

Jimmy Kuo, chercheur chez McAfee, a donné le nom de Melissa et a tenu un rôle essentiel dans l’identification de son auteur. Il a collaboré avec le gouvernement américain pour l’informer et limiter les dégâts causés par ce virus. Pour cette participation, Jimmy Kuo a reçu le prestigieux Federal 100 Award. Selon Computer Economics, l’impact financier de Melissa en 1999 s’est élevé à environ 1,5 milliard de dollars.
De son côté, Craig Schmugar, un autre chercheur du groupe, a découvert MyDoom. Ce ver fut à l’origine de l’attaque la plus soudaine jamais observée sur Internet. Toujours selon Computer Economics, il a contaminé jusqu’à 12 000 systèmes à l’heure et le montant de ses dégâts a été estimé à 5,25 milliards de dollars pour 2004.

À l’occasion de cet anniversaire, François Paget, l’un des membres fondateurs du groupe, revient sur l’année 2005 et expose quelques prévisions pour 2006.

42% des français capable de se connecter à Internet

Durant les dix années écoulées, nous avons vu la nature et la vitesse de propagation des menaces évoluer de façon spectaculaire. A l’aube de 2006, plus d’un milliard d’internautes peuple la planète. Avec un taux de pénétration¹ de 68,7% les Etats-Unis comptaient 203,5 millions d’utilisateurs de l’Internet en septembre 2005. A cette même date, la Chine et ses 103 millions de connectés découvraient simplement le monde virtuel (taux de pénétration de 7,9%).

En Europe, la France compte 25,6 millions d’utilisateurs de l’Internet (taux de pénétration de 42,3%). Elle se situe en 9ème position sur la liste des pays ayant le plus grand nombre d’internautes.

Face à ces millions d’utilisateurs, McAfee AVERT a recensé plus de 160 000 programmes différents qui menacent leur tranquillité et leur vie privée. Des milliers d’autres codes et vulnérabilités sont, sans doute, non encore identifiés. Ils représentent tous un danger, que l’on soit un particulier ou un professionnel.

Retour sur 2005

L’informatique familiale : le maillon faible

De récentes enquêtes tendent à démontrer que les entreprises sont de plus en plus conscientes des risques et de mieux en mieux protégées. En 2003, 95% d’entre elles annonçaient utiliser un antivirus et 83% un pare-feu². Malgré ces chiffres rassurants, elles ne sont pas à l’abri d’une attaque distribuée et réfléchie.

Au-delà du périmètre de l’entreprise, la multiplicité des ordinateurs personnels connectés à Internet par l’ADSL fait peser une menace impersonnelle et grandissante. Les ordinateurs familiaux sont de plus en plus nombreux t leurs propriétaires toujours inconscients des risques qu’ils encourent.

Une étude, réalisée en 2004 par America Online Inc. et la National Cyber Security Alliance (NCSA)³, révèle que la plupart de ces personnes pensent qu’ils ne sont pas menacés. Plus de 3 utilisateurs d’ordinateur sur 4 considèrent qu’ils ne sont pas concernés par les menaces virtuelles. Cette impression de sécurité conduit la majorité d’entre eux à stocker des données personnelles sensibles sur leur ordinateur, comme des informations médicales et financières, sans protection suffisante. Cette impression de sécurité est erronée dans la plupart des cas. En effet, deux tiers des participants à l’étude ne mettent pas à jour leur programme antivirus et un utilisateur sur sept n’utilise aucun programme antivirus.

Si l’on admet qu’un PC non à jour et connecté sur Internet a une durée de vie sans infection de moins de 20 minutes⁴, il est à craindre qu’un nombre impressionnant d’ordinateurs ne soient infectés par des programmes malveillants, logiciels espions ou robots, à même de rassembler secrètement des informations via leur connexion Internet ou de servir de passerelle à des activités légalement répréhensibles.

S’ils souhaitent s’attaquer à une entreprise, les pirates ne s’y trompent pas : ils visent les particuliers pour mieux rebondir sur leur cible. Transformées en machines « zombies », les PC des internautes en bout de chaîne sont utilisés pour mener des attaques de grande envergure.

La persistance des robots

L’invasion des robots fut un fait marquant en 2004 et leur nombre n’a cessé d’augmenter en 2005. Ils sont connus sous divers noms de baptême : Sdbot, Agobot, Gaobot, Spybot, Polybot, Kwbot, Phatbot, etc. Ce sont des programmes malveillants permettant une prise de contrôle à distance de machines vulnérables afin de former un réseau d’attaque caché (ou botnet).

En octobre, la Wildlist⁵ en annonçait 144 dans sa liste principale et 3 028 dans sa liste secondaire soit une augmentation de plus de 400 % sur 12 mois.

Pour s’implanter, ils utilisent des méthodes classiques s’aidant d’un virus ou d’un message de type spam. Un robot déjà installé sur une machine peut aussi effectuer sa propre mise à jour afin de rester plus longtemps indétecté. Nombre d’entre eux se propagent aussi par exploitation d’une vulnérabilité non comblée, d’un partage ouvert (open shares) ou d’un mot de passe faible ou manquant.

En novembre 2005, la presse annonçait qu’un groupe de pirates basé au Moyen-Orient était parvenu à prendre le contrôle de 17 000 ordinateurs⁶.

Des robots et des PUPs

Distribués au profit de régies publicitaires, les programmes potentiellement indésirables (PUPs) augmentent en nombre. Le groupe AVERT annonce pour 2005 une progression de 40 %.

Alors que la législation avance à des allures variables, les professionnels de la sécurité ont mis en place des groupes de travail comme l’Anti-Spyware Coalition⁷, dont McAfee est l’un des membres fondateurs. Ils s’efforcent de définir et de catégoriser les comportements potentiellement indésirables. Parallèlement, les éditeurs de logiciels de publicité semblent faire un effort d’auto contrôle.

En effet, en 2005, une nouvelle tendance se précise. Certains utilisateurs de réseaux de robots (botnet) découvrent qu’il est très rentable – et peut être moins dangereux - de les utiliser comme aide à la diffusion d’adware. Ces personnes peu scrupuleuses s’associent à des régies publicitaires qui vont ensuite les rémunérer au nombre d’installation.

En août 2005, la société 180solutions porta plainte contre sept de ses affiliés pour avoir diffusé ses adwares sans consentement initial⁸. La société dénonçait ainsi les agissements de personnes malintentionnées en Grande-Bretagne, en Australie, au Canada, au Liban, en Slovénie et en Hollande. Afin d’augmenter leurs gains (entre 7 et 50 cents par installation), elles auraient utilisées des machines zombies comme aide à la diffusion. Selon les experts, un réseau de 5 000 machines permettait un revenu de $744 par jour, ou $22 346 par mois. La plainte aboutie en octobre 2005 à l’arrestation de 3 suspects par la police hollandaise.

Aux Etats-Unis une affaire similaire fut rendue publique en novembre 2005⁹.

Les chevaux de Troie d’hier sont toujours à la mode

L’augmentation du nombre de chevaux de Troie est encore plus importante que celle des PUP. Ce terme générique (en anglais : Trojan) recouvre de nombreux types de programme malveillants. En apparence inoffensif, ils contiennent une fonction illicite cachée et connue de l'attaquant seul.

Dans cette grande famille, les portes dérobées et les renifleurs de mot de passe ont été fortement utilisés en 2005. La porte dérobée (en anglais : backdoor) est un programme implémenté secrètement sur une machine. Il permet ensuite à son concepteur de s’y introduire depuis un lieu distant. Le renifleur de clavier ou de mot de passe (en anglais keylogger ou password stealer) est lui aussi dissimulé sur l'ordinateur de sa victime. Il saisie certaines frappes au clavier et collecte des noms d'utilisateur, des mots de passe et des informations personnelles et parfois confidentielles. Les données sont ensuite renvoyées et employées à des fins frauduleuses.

En mai 2005, 21 dirigeants d’entreprises et détectives sont arrêtés en Israël¹⁰. On les accuse d’avoir utilisé un logiciel leur permettant de pénétrer dans les ordinateurs de leurs concurrents. Moyennant 3 000 €, chaque version était adaptée à la cible. Pour mieux tromper les logiciels de sécurité, chaque version était également unique. Son concepteur l’envoyait par e-mail ou l’intégrait à un CD contenant une proposition commerciale imaginaire. Une fois le travail d’installation du produit espion terminé, le « client » recevait une adresse IP, un nom d’utilisateur et un mot de passe afin qu’il puisse accéder directement au système qu’il souhaitait espionner.

Toujours en 2005, il est possible de citer le rapport du NISCC (Centre britannique de coordination de la sécurité de l’infrastructure nationale), émis en juin¹¹. Il rapporte, qu’à cette époque, une attaque d’une envergure sans précédent frappa les réseaux informatiques du Royaume-Uni. Selon ses estimations, près de 300 sites clés vitaux furent la cible d’attaques virales via l’Internet et les courriers électroniques.

Le retour des rootkits

Ces derniers mois, un autre phénomène a pris de l’ampleur et s’est complexifié. Il s’agit des rootkits. Ce type de programme permet de rendre totalement furtif un autre programme en les rendant (lui et son rootkit) invisibles à un outil de sécurité tel qu'un antivirus. Dans tous les cas, le but est d'empêcher que l'utilisateur ne perçoive des informations indiquant la présence d'activités clandestines sur son ordinateur. Le rootkit rend invisible les processus, les fichiers et les connexions réseaux du pirate. Une fois résident en mémoire, il est très difficile à détecter.

Bien connu dans le monde UNIX, ces programmes permettent maintenant, dans le monde Windows, une meilleure furtivité pour des codes malicieux déjà connus (robots, renifleurs de mot de passe, portes dérobées, etc.). Des sociétés commerciales utilisent le concept comme outil de dissimulation et des organisations douteuses les mettent en vente sur Internet.

De récentes statistiques issues des remontées faites par MSRT (outil de suppression de logiciels malveillants Microsoft Windows) confirment la prévalence de ces programmes peu connus du public (FURootkit, IsPro et Hacker Defender sont les premiers de la liste).

Après l’annonce publique de sa découverte le 31 octobre 2005, le produit SONY BMG (DRM-rootkits - Digital Rights Management) est maintenant lui aussi détecté et éliminé par nombre d’antivirus.

Malgré quelques programmes spécifiques très performants, les antivirus deviennent l’une des meilleures solutions pour leur détection et leur élimination. Nous avons pu montrer qu’il était possible de mettre en œuvre des détections génériques et VirusScan possède depuis juillet 2005 une détection « new rootkit ».

La meilleure technique de détection passe par la recherche de processus cachés en mémoire. Mais, sachant qu’il sera sans doute toujours nécessaire pour un rootkit de se lancer au démarrage de la machine, c’est à cet instant qu’il est le plus facile de les repérer.

Davantage d’attaques sur les équipements mobiles

C’est en juin 2004 qu’a été détecté le premier programme malveillant ciblant les mobiles. Cette première attaque, conçue comme une preuve de faisabilité par un groupe bien connu d’auteurs de virus, visait le système d’exploitation Symbian. Peu après, on vit apparaître le premier virus pour Pocket PC infectant les fichiers Windows CE. Depuis cette date, plusieurs chevaux de Troie pour mobiles ont vu le jour ; ils marquent le début d’un intérêt réel pour les codes malicieux visant ces équipements.

Si l’on se réfère au temps des premiers virus dans le monde DOS, leur nombre augmente aujourd’hui 10 fois plus vite que par le passé. Au 2ème trimestre 2005, 121 variantes de menaces mobiles ont été enregistrées. Ce nombre devrait augmenter de manière significative en 2006.

Une forte augmentation du nombre des vulnérabilités

Alors que le nombre total de vulnérabilités était stable en 2003 et 2004, il semble que l’année 2005 voit apparaître un nouveau record. Les derniers chiffres du CERT¹² sont éloquents :

Plus de 5 500 vulnérabilités pourraient ainsi avoir été rapportées en 2005.

La majorité de celles-ci visent les applications des postes clients. Le navigateur Web et le client mail sont les plus prisées.

Phishing : l’évolution d’une tactique

C’est en 2004 que le phishing est devenu un problème majeur. A l’origine, le terme phishing était utilisé par les pirates pour désigner le vol de comptes AOL, en se procurant les noms des utilisateurs et leurs mots de passe. Aujourd’hui, les criminels ont considérablement développé leurs capacités à tirer parti de cette méthode.

De nouvelles techniques ont vu le jour en 2005. Le pharming qui cible les serveurs DNS et les modifications – par un cheval de Troie – du fichier de configuration HOSTS sur les PC clients complexifient le phénomène. Avec le « spear-phishing », (phishing ciblé) les attaques deviennent de plus en plus sophistiquées et ne se limitent plus à des arnaques financières.

Que doit-on attendre de l’avenir ?

Du côté des équipements mobiles

Depuis deux ans, une imminente recrudescence des attaques sur les smartphones et les PDA est annoncée. La menace approche graduellement mais ne semble pas encore immédiate. Il est cependant prévisible de voir une augmentation importante du nombre des menaces pour mobiles. La technologie smartphone joue ici un rôle essentiel du fait de l’inter-connectivité croissante des équipements.

En 2007, lorsque tous ces nouveaux systèmes convergeront réellement, il est à craindre que les dommages causés par ces nouvelles attaques ne soient supérieurs à ceux enregistrés dans le passé. Le très grand nombre de smartphones et le très faible taux de déploiement de solution de sécurité peuvent faire craindre une infection de grande ampleur.

Bien que la moitié d’entre eux disposait d’un logiciel de sécurité, rappelons qu’en 2004, et en quelques heures, VBS/LoveLetter@MM a contaminé des dizaines de millions de PC. En comparaison, une menace ciblant plusieurs systèmes d’exploitation mobiles pourrait infecter simultanément jusqu’à 200 millions de smartphones.

Du côté des équipements plus conventionnels

Les faiblesses des protocoles de messagerie électronique, les failles de sécurité des logiciels de navigation et le manque d’éducation des utilisateurs contribueront à la poursuite du phishing. L’utilisation conjointe de chevaux de Troie, de courriels fictifs et de sites miroirs performants risque même de tromper des utilisateurs avertis.

2006 verra également une recrudescence des programmes furtifs. Il est à craindre que certains rootkits ne posent problèmes à un instant donné et qu’une détection efficace soit difficile à obtenir par l’ensemble des produits phares de la profession.

Certains programmes indésirables d’origine commerciale nous apparaissent parfois réellement nuisibles ou utilisés de manière discutable. La frontière entre cybercriminels et quelques industriels indélicats risque d’être de plus en plus poreuse.

Si l’on ne veut pas voir se poursuivre une éternelle montée en puissance de nouveaux programmes malveillants, les entreprises doivent persister dans leur effort d’organisation et, par la formation, leurs employés doivent améliorer leur sens critique afin de répondre correctement à une attaque ayant traversé leurs premières défenses.

Mais c’est surtout à destination du grand public qu’un effort de sensibilisation doit être mené. Ce sont eux les cibles de demain. Ils seront les principales victimes directes ou indirectes des prochaines attaques. Sensibiliser ce public non averti devient une grande cause nationale.

1. Internet usage and population

2. Etudes et statistiques 2003 sur les politiques de sécurité et la sinistralité en France.

3. Les particuliers ont une vision trop rose des logiciels espions et des virus

4. Survival Time History

5. The WildList Organization International

6. Rootkit worm linked to hacker group in Middle East

7. Anti-Spyware Coalition

8. Adware Firm Accuses 7 Distributors of Using 'Botnets'

9. Computer virus broker arrested for selling armies of infected computers to hackers and spammers -  Indictment also Alleges Scheme to Use Botnets to Install Adware for Profit

10. Industrial Espionage using Trojan horses

11. Targeted Trojan Email Attacks

12. Vulnerabilities reported