Assises de la Sécurité : de 5.000 malwares en 2004 à 400.000 en 2007

-D’ou viennent les malwares, un mot sur leur évolution?

« En 2001, les malwares avaient pour principales caractéristiques de se propager très rapidement et depuis 2003 l’on a remarqué un déplacement vers ce que l’on nomme désormais la cybercriminalité. Cela a commencé avec l’utilisation de mass mailers, qui sont des virus qui envoient une multitude de courriels à chaque activation. A l’époque le taux de succès de ces attaques était très faible de l’ordre de 1 à 2%, pourtant de nombreuses personnes ont acheté ces virus sur des réseaux souterrains de l’Internet » explique Genes.

« Avec l’année 2004, nous sommes entrés dans une ère radicalement différente. Celle des spywares (logiciels espions) et des adwares. Cela posait un gros problème au niveau de la navigation, car ils s’accompagnaient généralement de pop up, ces fenêtres intempestives qui s’ouvraient lors du surf sur la toile. Les industriels de la sécurité informatique ont toutes les difficultés du monde, pour lutter contre ces malwares. Les adwares étaient réellement invisibles. À tel point que certains hackers, n’ont jamais réussi à les désactiver. Au final, le phénomène a quasiment disparu, car les éditeurs de sécurité pour mettre un terme à ce problème ont procédé au rachat de ces sociétés parfois nébuleuses. »

-Depuis combien de temps les botnets existent-ils ?

« En 2005, un nouveau problème s’est posé pour nos équipes. Celui des botnets intelligents. Ils n’étaient pas réellement nouveaux et certains hackers les utilisaient depuis longtemps. Cependant, ceux que nous avons détectés en 2005 n’étaient pas aussi sophistiqués. Aujourd’hui, les Botnets que nous connaissons sont multi-usages. Ils sont également très souvent utilisés pour envoyer du spam ou courriels indésirables . Et il ne faut pas oublier que le problème du spam et lié au problème des spywares » indique Genes.

Sur l’autel du piratage, le port 80 est roi…

« De nos jours, les hackers savent que la grande majorité des ordinateurs disposent d’une connexion au Web. En conséquence, ils se focalisent désormais sur le port 80, qui est celui utilisé pour permettre l’accès à la Toile. Dorénavant, les tentatives d’intrusion utilisent donc des méthodes en relation avec l’Internet, par exemple certaines malwares arrivent en pièce jointe dans un courriel, ou l’email contient plus simplement un lien URL. Parfois, les hackers se font passer pour une source de confiance infiltrée ou une publicité. « L’objectif étant que l’internaute ciblé tombe dans le panneau. Une fois infecté par un code malveillant, l’ordinateur de la victime va procéder de façon invisible -pour un utilisateur lambda- au téléchargement d’autres composants qui vont modifier les valeurs de certaines clés du registre. Cela pose de nombreux problèmes aux éditeurs de sécurité puisque dans bien des cas les logiciels d’AV, les firewalls sont désactivés. Du coup, même s’ils publient un antidote, cela est trop tard, car les malwares ont déjà changé de forme. »

-Des exemples ?

« Les sites infiltrés par des hackers sont également dangereux. Leurs nombres a littéralement explosé. Cette année une affaire a fait grand bruit en Italie, et près de 4.500 sites a priori légitimes ont été infectés. Dans la majorité des cas, les hackers avaient réussi à infiltrer le code HTML de la page pour en modifier une partie, par exemple en ajoutant un lien vers une adresse IP malveillante. »

« La récente infiltration d’Hackers dans le site de Monster.com est aussi un bon exemple de l’habilité croissante des malfaiteurs de la Toile. Dans les faits, nous savons que cette affaire a été provoquée à l’insu d’un administrateur du site Web qui avait un keylogger installé sur sa machine. Autre affaire tout aussi révélatrice, le piratage du site de l’équipe de football américain des Dolphins. Dans ce cas, les hackers ont utilisé le virus Zlob. En moins de deux heures, près de 30.000 internautes ont été contaminés. Suite à une détection de nos ingénieurs, nous avons contacté le FBI qui a immédiatement procédé à la fermeture de ce site très visité, car nous étions en pleine période d’affluence dans les stades à cause de la finale du SuperBowl. Cela met en exergue le fait que les serveurs Web sont particulièrement vulnérables pour un pirate qui connaît par cœur les ficelles du piratage. « 

-L’utilisation de la pornographie est également une tendance forte ? « Un autre vecteur d’attaques est actuellement très utilisé. Les hackers savent que la pornographie est un des thèmes préférés des internautes. Du coup, ils utilisent ces sites pour proposer l’installation d’un driver ou codec vidéo afin de pouvoir visionner une vidéo de Britney Spears, particulièrement dénudée. En réalité, il ne s’agit pas d’un driver pour Media Player, mais là aussi du virus Zlob. Dernier conseil, réfléchissez à deux fois avant d’utiliser les sites de réseau social de type MySpace, car ils utilisent souvent du Javascript, qui selon est particulièrement dangereux. Certaines pages de MySpace proposent le téléchargement d’une mise à jour Windows. La fenêtre qui s’ouvre semble authentique, mais en réalité elle est fausse. Le logiciel de VoIP Skype, pose également problème. Certains comptes ont été infiltrés et une fenêtre de chat apparemment légitime s’ouvre et propose à l’utilisateur de se rendre sur un lien évidemment plombé par un code malveillant. »

-Combien d’attaques sont bloquées chaque jour ? « Le gros risque pour les éditeurs est de ne plus pourvoir offrir de Patch maker suffisant, cela pourrait s’attirer la mémoire des machines de nos clients. Car les malwares sont véritablement très nombreuses. Un chiffre me semble évocateur. Au mois d’août 2004 il y avait 5000 nouvelles variantes, pour août 2007 nous en avons relevé 400.000. Pour donner un ordre d’idées, chez Trend Micro nous avons 3 milliards de visites par jour sur notre serveur et entre 8 à 10 millions d’attaques sont bloquées tous les jours. «