Africa teaching

     15 virus qui ont marqué la lutte antivirus Suivante 
 
  
Christmas Tree, Morris, Brain, I Love You, ... Ils ont chacun à leur manière agité le monde de la sécurité, et parfois aussi amorcé de nouvelles tendances parmi les codes malveillants.

 
Christmas tree : une odeur de sapin

Né en décembre 1997, ce programme d'un étudiant américain serait à l'origine de la paralysie du réseau informatique de plusieurs grandes entreprises. Christmas Tree EXEC peut pourtant sembler a priori plutôt inoffensif en dessinant un sapin de noël en mode texte, c'est-à-dire à grand renfort de caractère "I",  "/", "X" et de "O".

Développé en langage de script REXX, il se propageait par la messagerie en piochant dans le carnet d'adresse. L'informatique n'étant pas ce qu'elle est désormais, Christmas Tree ne s'est répandu que sur des réseaux spécifiques : deux réseaux académiques et le VNET d'IBM.

Brain : deux cerveaux pakistanais

Apparu en 1986, Brain est présenté comme le premier virus connu. Même si plusieurs versions de ce virus virent le jour ensuite, ils restèrent pour la plupart inoffensifs. Il tient en effet presque avant tout du spam. Du fait de deux frères d'origine pakistanaise, Brain attaquait les disquettes en affichant un message d'erreur et en invitant l'utilisateur victime à contacter ces deux entrepreneurs.

Ce virus boot sector a néanmoins fait parler de lui en 1986 sur l'ARPANET (l'ancêtre d'Internet) en renommant les disquettes de démarrage de système. L'éditeur F-Secure retient également les capacités de discrétion de Brain, capable de se dissimuler lors de la lecture de secteurs infectés. On est cependant encore loin du rootkit.

Morris : un ver accidentel

Morris Worm a valu à son auteur, Robert Tappan Morris, d'être le premier, en 1988, à expérimenter le Computer Fraud and Abuse Act. Cet étudiant de l'université américaine de Cornell, devenu depuis enseignant au MIT, n'avait pas pour dessein de causer des dommages. Néanmoins les capacités de diffusion du ver, qui exploitait à la fois la faiblesse des mots de passe et deux vulnérabilités logicielles, causèrent des dénis de service.

Selon une estimation, 10% des ordinateurs alors connectés à Internet auraient été contaminés par le ver, soit près de 6000. Dans un procès en appel, Robert Tappan Morris écope de 10 000 dollars d'amende et 400 heures de travaux d'intérêt général. Internet connaissait sa première frayeur.

Melissa : la diffusion Outlook

Ce virus a probablement concouru à donner à l'application de messagerie de Microsoft si mauvaise réputation en matière de sécurité informatique. Apparu en 1999, Melissa s'est en effet massivement propagé grâce à Outlook dont il exploitait le carnet d'adresses pour s'acheminer vers la boîte emails d'autres victimes.

En l'espace de seulement quelques jours, des centaines de milliers d'utilisateurs auront maille à partir avec ce virus de macro, causant 385 millions de dollars de dégâts (source : ICSA). Comme nombre d'autres virus, Melissa n'oublie pas d'affecter les logiciels de sécurité en diminuant leur niveau d'alerte.

I Love you : une lettre d'amour

Cette fausse lettre d'amour aura coûté bien cher aux Etats-Unis : approximativement 7 milliards de dollars. Au total, ce sont 3,1 millions d'ordinateur dans le monde qui seront infectés en mai 2007 par ce ver exploitant le social engineering pour se propager sur la messagerie, à la manière de Melissa. D'autres vers lui succéderont.

Une nouvelle fois, c'est la plateforme Windows qui est exploitée, et plus particulièrement les versions Windows 98 et 2000 disposant du composant Windows Script Host. I love You s'en prend à de multiples extensions de fichiers, qui sont alors perdus, et se propage en puisant dans le carnet d'adresses d'Outlook et sur IRC.                                              

Nimda : adepte du verlan

Lisez admin en commençant par la fin et vous obtenez Nimda. Ce ver de messagerie de 2001 n'appréciait pas les serveurs Microsoft IIS qu'il tentait automatiquement d'infecter une fois détectés. Quant aux éventuels dossiers partagés, ils hébergeaient, après infection du système, une copie de Nimda.

La force de ce ver était de pouvoir infecter un ordinateur de façon automatisée grâce à l'exploitation d'une faille de l'implémentation de MIME dans Internet Explorer. Ainsi la prévisualisation dans outlook de l'email malveillant provoquait la contamination. La simple navigation sur un site infecté pouvait également provoquer l'installation du ver.

Blaster : le redémarrage intempestif

2003 est une année phare pour les programmes malveillants. Outre Blaster, Bugbear, Sobig, Sapphire et Mimail feront parler d'eux la même année en contaminant de nombreux ordinateurs dans le monde. Et si Blaster a marqué les mémoires, c'est notamment en raison des redémarrages intempestifs de Windows qu'il provoquait.

Blaster doit sa rapide propagation à une faille critique de Windows au niveau du service DCOM et au retard des éditeurs d'antivirus dans la publication des signatures. Le but de Blaster était de provoquer un déni de service des serveurs de mise à jour de Microsoft WindowsUpdate. Le ver comportait en effet un message à destination de Bill Gates, lui reprochant la qualité de ses logiciels.

Sasser : les systèmes non patchés ciblés

Les utilisateurs de Windows ayant tardé, ou n'ayant pas eu le temps d'appliquer le correctif de sécurité de Microsoft corrigeant une faille du service LSASS de Windows, ont fait les frais du ver Sasser dès le 30 avril 2004. Le patch était lui disponible dès le 13 avril. Comme souvent, ce bulletin sera suivi d'une attaque.

Son créateur, un allemand de 18 ans, est rapidement appréhendé par la police. Il avouera d'ailleurs être également à l'origine du ver Netsky. Sven Jaschan écope en 2005 d'une peine de prison avec sursis avant d'être recruté par une société spécialisée dans la sécurité informatique.

Cabir : le virus mobile

Cabir se distingue des autres programmes malveillants en 2004 en ciblant uniquement les téléphones mobiles sous système d'exploitation Symbian, soit près de 50% des mobiles dans le monde. Pour se propager, Cabir mettait à profit les capacités bluetooth des terminaux.

Ce virus n'est toutefois alors qu'un proof of concept. Il ne provoque ainsi pas d'action nocive, sinon celle d'incommoder l'utilisateur et ceux présents dans le périmètre bluetooth d'un mobile infecté. Le virus Skull lui remplaçait tous les icônes par des crânes et bloquait l'essentiel des fonctions du téléphone.

GPCode : le preneur d'otages

Ce programme malveillant a fait parler de lui à plusieurs occasions. Sa particularité est de chiffrer des fichiers sur l'ordinateur infecté, les rendant inaccessibles, puis de demander une rançon en l'échange de leur restitution. Dans ses premières versions, l'algorithme de chiffrement de GPcode est suffisamment faible pour être cassé par les experts.

En revanche, la dernière version du cheval de Troie apparue en 2008 fait appel à une clef de chiffrement 1024 bits, donc incassable. Fort heureusement, sa propagation reste réduite et les signatures antivirales étaient rapidement disponibles pour se prémunir contre une infection.

Storm : l'avènement du zombie

Le ver Storm qui est apparu pour la première fois en janvier 2007, à l'occasion des tempêtes qui ont frappé l'Europe, est représentatif de l'émergence d'une nouvelle génération de botnets, c'est-à-dire de réseaux de PC zombies. Grâce à son fonctionnement en P2P, il devient en effet difficile de démanteler un botnet.

Le code malveillant utilisé pour constituer une armée de zombies a été diffusé à la fois par email et via des pages Web grâce à une attaque iFrame. Cette technique permet de dissimuler du code malveillant sur des sites Web de confiance. Trend Micro en a lui-même fait les frais.

NetSky : prendre de vitesse les éditeurs

Ce ver, dont la première version est le fait du créateur de Sasser, est symptomatique de la guerre de vitesse que se livrent cybercriminels et éditeurs d'antivirus. Après seulement deux mois d'existence, NetSky, un ver de messagerie classique, comptait déjà plus de 26 versions différentes. L'objectif des pirates est simple : échapper à la détection en modifiant le code du ver, tout en minimisant les développements.

Ces évolutions permettent en outre d'en enrichir les capacités en ajoutant par exemple l'exploitation de nouvelles failles ou la faculté de désactiver l'antivirus comme Netsky.P. En mai 2008, selon Viruslist, trois versions de Netsky figuraient encore parmi les 5 menaces les plus répandues.

Nyxem : destructeur à date fixe

Ce ver avait tout pour faire parler de lui. Alors que la tendance est à des codes malveillants conçus pour dérober des données et non plus détruire, Nyxem signe la résurgence des virus destructeurs. Il est en effet programmé pour effacer, entre autres extensions, l'ensemble des fichiers Word, Excel, Access et PowerPoint.

Mais comme par jeu, ce procédé ne s'active qu'à date fixe, à savoir chaque 3e jour d'un nouveau mois. Un compte-à-rebours qui contribuera à sa médiatisation. Techniquement, dans ses premières versions, Nyxem est un ver de messagerie traditionnel, qui n'exploite pas même de vulnérabilités applicatives.

Cardtrp : compatible mobile et PC

Développé avant tout pour infecter les OS mobiles sous Symbian 60, ce ver détecté en 2005 dispose d'une particularité : celle de pouvoir également infecter un ordinateur sous Windows, dans des conditions précises toutefois. Cardtrp se propage ainsi par bluetooth et MMS. Mais si le téléphone comporte une carte mémoire, le ver envoie une copie du virus Wukill sur celle-ci.

Ainsi lorsque la carte mémoire est lue depuis un PC sous Windows, le code malveillant se dissimule sous un icône légitime pour être installé et infecté le système. Il peut dès lors générer une backdoor et exfiltrer des données. Un proof of concept de 2006 baptisé CrossOver pouvait lui infecter Windows et Windows Mobile lors de la synchronisation ActiveSync.

Rootkit Sony : une maladresse controversée

Le rootkit installé par Sony-BMG sur des CD audio n'est pas un code malveillant. Il s'agit en fait d'un composant logiciel caché sur des CD musicaux et destiné à la gestion des droits numérique (DRM). Son existence est découverte en 2005 par un expert en sécurité : Mark Russinovich. Cette révélation provoque une levée de bouclier.

Outre la question de l'éthique, ce rootkit pose des questions de sécurité puisqu'exploité celui-ci permet à un créateur de virus de dissimuler cette fois un véritable code malveillant. Et c'est ce que ne manqueront pas de faire des pirates. L'image et le portefeuille de Sony n'en ressortiront pas indemnes.