Autrefois oeuvre de quelques « nerds » en quête de reconnaissance, les virus, botnets, scarewares, crimewares, bref, les malwares, sont devenus les armes de groupes mafieux, d’activistes politiques ou religieux, voire même les moyens d’attaque envisagés par les armées modernes…

Le virus, ça n’existe pas. Du moins sous sa forme fantasmée, celle d’un programme unique de destruction universel. On devrait plutôt parler de «cocktail viral», savant assemblage d’éléments techniques très spécialisés, et dont le mariage aboutit à ce que l’on appelle un «malware».

Certains prennent le nom de «troyens»ou de «rootkits», d’autres encore de «spywares», ou alors d’e-mails de phishing susceptibles de conduire à une attaque «drive by download» …

Ce sont là un jargon et des distinguos assez subtils qui, aux yeux des non-initiés, ne sont que prétextes inventés par les vendeurs d’antivirus et de coupe-feu. Reste que malgré ces multiples appellations et ces divers dangers , il est possible de dresser à grands traits un portrait-robot de ces outils d’attaque et d’infection.

Les logiciels destructeurs n’existent pratiquement plus de nos jours. Un «bon »virus est un virus qui ne casse pas sa machine cible et qui rapporte de l’argent… ne serait-ce que pour amortir ses coûts de développement et faire vivre toute l’organisation économique qui dépend de cette «industrie ».

Or, ce qui rapporte le plus, dans notre monde dématérialisé, ce sont les informations : mots de passe et logon d’abonnement internet donnant accès aux fonctions de téléphonie IP illimitée, numéros de carte de crédit, crédences ouvrant des possibilités d’achat sur des sites marchands, documents personnels divers…

Début juillet dernier, on a même découvert un botnet récupérateur de «certificats numériques».

Pour s’emparer de ces trésors, le virus moderne doit à la fois pénétrer le périmètre de défense d’un ordinateur (son firewall, son antivirus, ses mécanismes antispyware et antiphishing, etc), puis y déposer une «charge utile » - l’outil de récupération de données proprement dit - et enfin communiquer avec l’extérieur, soit pour y expédier le fruit des recherches, soit pour laisser pénétrer d’autres «charges utiles » plus perfectionnées.

Car les virus sont également capables de se «mettre à jour», tant pour éviter d’être détectés par les antivirus qui eux aussi évoluent en fonction des menaces, que pour se protéger d’autres virus qui ne supportent pas la présence de leurs frères d’infection.

Les tactiques des auteurs de virus les plus dangereux

Ces trois étapes que suivent les malwares sont de natures très différentes.

La première partie, le système de pénétration à proprement parler, fait l’objet chaque jour de nouvelles découvertes et publications.

La moindre faiblesse d’un système d’exploitation (Windows notamment) ou d’un logiciel très répandu (Acrobat Reader, Flash Player…) est immédiatement décortiquée afin de savoir s’il est envisageable de l’exploiter à distance.

On trouve dans cette catégorie une foultitude de moyens: fausses URL appelant un exécutable, injection de données non conformes dans un formulaire (une URL de site web ou un champ de «logon »de plus de 256 caractères par exemple), pseudoapplications Java ou faux codecs audio et vidéo, fichiers d’aide «forgés »(c’est-à-dire dont la structure ou le contenu ont été modifiés)…

Certaines techniques (clic by download, fichiers multimédias infectés, ONS spoofing conduisant vers un faux site) tirent même parti des failles situées «dans le cerveau de l’utilisateur» pour qu’il télécharge lui-même le code d’attaque et lui fasse franchir les défenses périmétriques de sa propre machine. Cela consiste par exemple à lui demander de télécharger une mise à jour de logiciel ou une «applet »de navigateur qui en fait ne sont que des codes malicieux déguisés.

Toujours dans le même registre, découvrir une faille et le moyen de l’exploiter rapporte également beaucoup d’argent à son auteur. À l’heure actuelle, Google, la fondation Mozilla et le Zero Day Initiative vont jusqu’à payer près de 3 000 euros tout découvreur -on parle d’inventeur- de faille importante et inédite.

Et ce ne sont là que les tarifs officiels pratiqués par des entreprises soucieuses de la sécurité de leurs clients… Au marché noir, un bel «exploit »(dans le sens de méthode de pénétration à distance) peut dépasser 5 à 6000 euros. Des tarifs qui vont d’ailleurs croissant au fur et à mesure que les éditeurs (Microsoft, Cisco, Adobe et Apple en tête) colmatent leurs failles et consolident leurs défenses.

Des malwares quasiment invisibles

Les deux autres armes -charge utile et communication des données- sont d’une nature nettement moins technique et rapportent bien moins à leurs auteurs. Elles exigent toutefois une certaine subtilité dans l’écriture et une maîtrise absolue des environnements d’exécution.

La charge utile, par exemple, doit pouvoir s’exécuter sans que le noyau de Windows ne détecte une activité suspecte, tout en faisant croire à l’antivirus que le processus en question fait partie du système d’exploitation. Certaines charges prennent le nom et l’apparence d’une DLL ou d’un EXE «système», d’autres se cachent dans des machines virtuelles, d’autres encore se logent dans des recoins de la mémoire situés en deçà des zones contrôlées par le système-et donc par l’antivirus.

Restent les fonctions de communication. C’est paradoxalement l’un des outils qui a longtemps été l’un des plus simples à concevoir, puisque la majorité des firewalls étaient conçus pour interdire les communications «entrantes »sans s’occuper des canaux« sortants». Les choses évoluent dans le bon sens depuis trois ou quatre ans. Hélas, les auteurs de malwares ont de plus en plus souvent recours à des moyens de communication chiffrés (VPN par exemple), fragmentés ou agiles (le virus peut changer de protocole). Ils détoument même à leur profit les voies utilisées par le propriétaire de l’ordinateur (Messenger, client P2P, etc.).

Boite à outils pour truand binaire

Outre ces trois fonctions de «base », il faut ajouter toute une série d’outils et de méthodes encore plus techniques, qui permettent au virus de survivre dans un environnement hostile. À commencer par un système d’auto-reproduction. Non seulement il donne au virus la possibilité de se dupliquer et d’étendre son emprise sur plusieurs systèmes, mais en outre cette fonction lui permet de se cloner rapidement-tant en mémoire que sur les disques ou clés USB -pour résister aux assauts d’un logiciel de protection.

Une armée capable de produire plus de soldats que ne peut en aligner l’ennemi est une armée invincible… tant que l’ennemi en question n’a pas découvert le moyen de bloquer ce processus de reproduction.

Les malwares reconnaissent leur environnement

Cette fonction ne doit pas être confondue avec celles plus spécifiques liées à la diffusion de l’infection, car une fois dupliqué, le malware doit être capable de détecter un moyen de communication liaison bluetooth, brin réseau Wi-Fi ou cuivre, lien FTP, détection de ressource USB -non plus pour expédier les données qu’il aura récupéré, mais pour étendre son royaume et s’ouvrir de nouveaux horizons…

Certains virus intègrent même de véritables serveurs de messagerie pouvant vampiriser le carnet d’adresses de leur première victime et envahir le monde de proche en proche.

Viennent ensuite les outils en activité permanente, déjà mentionnés au fil du paragraphe précédent. Ce sont principalement des mécanismes de mise à jour qui effectuent des« updates »de virus et assurent son adaptation aux menaces diverses.

Proches cousins des outils de permanence, les armes d’attaque et de défense. Les principaux« botnets »(réseaux de machines «zombifiées »par certains virus spécifiques) en possèdent toute une panoplie: accessoires de désactivation d’antivirus ou de détournement des canaux de mise à jour automatique, antivirus spécifique destiné à combattre d’autres virus du même type, changement de techniques d’attaques en cas de parade de la part d’un programme de protection…

Une branche très spécifique des outils de défense, l’art du camouflage, parachève cette longue liste. Le camouflage consiste généralement à faire en sorte que le virus puisse changer d’aspect et ainsi échapper à toute reconnaissance de «signature».

Une part croissante des virus modernes sont «polymorphes», c’est-à-dire que chaque infection montre un poids binaire différent de sa voisine. En outre, ces programmes sont eux-mêmes chiffrés, rendant impossible toute analyse, et doublés de fonctions de furtivité. Qu’un antivirus tente d’analyser un programme infecté, et le virus immédiatement présentera au scanner l’image du fichier tel qu’il était avant l’infection, ou s’extraira lui-même du fichier le temps de l’analyse.

Un cocktail détonant: agitez et servez chaud

Est-il nécessaire de préciser que, de plus en plus, les auteurs de malwares se spécialisent?

Chaque outil ou arme devenant de plus en plus élaboré, il y a, chez les auteurs de virus, des spécialistes du camouflage, des experts en exploitation de faille, des gourous des techniques de propagation et de duplication, des seigneurs du contournement antiviral…

Mais alors, les propagateurs de virus doivent avoir un carnet d’adresse impressionnant pour arriver un jour à« pondre» une infection efficace? C’est effect.ivement le cas pour certains.

Mais là encore, la parcellisation et la professionnalisation des Black Hats crée de nouvelles structures organisationnelles. Et si certains auteurs travaillent« encore» en équipe, d’autres échangent et vendent leurs développements sur des places de marché virtuelles, sur internet. On écrit désormais un virus un peu comme l’on confectionne un potage, en associant des poireaux d’intrusion, des carottes d’autoréplication, des navets de camouflage.

Pis encore, il existe, pour les non spécialistes, des automates de fabrication de virus qui vont piocher dans une bibliothèque des fonctions de base choisies à l’aide d’un menu à choix multiple, avec une séduisante interface graphique. Peu étonnant dans de telles conditions de découvrir des potages relativement mortels, avec parfois deux ou trois méthodes d’intrusions différentes, tout autant de charges utiles, une foultitude de moyens de propagation et de communication, des options de polymorphisme…

Ces outils de fabrication de malwares sont vendus » à la licence », parfois même bridés en quantité, avec un service après-vente, une garantie de mise à jour. On peut ainsi louer un botnet qui servira de réseau de première diffusion, acheter des fichiers de clients « cible» si l’on vise un secteur très particulier de l’industrie, louer les services de « revendeurs» payés à la commission en fonction du chiffre d’affaire réalisé…

C’est ainsi que fonctionne le business des fauxantivirus, également appelés Scarewares. Paradoxalement, on retrouve des techniques d’intrusion, d’installation silencieuse, voire d’attaque psychologique visant l’utilisateur dans des programmes théoriquement inoffensifs et officiellement diffusés. Cest notamment le cas des BHO (Browser Helper Objects), ces accessoires qui viennent prétendument enrichir la pratique d’un navigateur intemet.

40 euros, c’est le prix moyen d’une licence antivirus officielle. C’est aussi celui d’un « scareware », qui imite jusqu’au tarif des vrais outils. En préambule, un mail avertit lourdement l’utilisateur que sa machine est infectée, pour le contraindre à se procurer ce type de solution inefficace.

Parmi eux, certains « spywares commerciaux« , ou outils de conseil marketing, voire même des logiciels destinés à lutter contre le piratage (ainsi un malheureux programme de DRM diffusé sur certaines productons de Sony Music, ou, plus récemment un logiciel de filtrage Hadopi brièvement commercialisé par Orange). Ces programmes sont non seulement parfois installés à l’insu des usagers, mais en outre comportent eux-mêmes des failles qui pourraient fort bien les transformer en vecteurs d’infection, largement diffusé pour en faire un vecteur d’intrusion planétaire.

Déjà, les messageries instantanées, les softphones VoiP, certains réseaux sociaux, les espaces de commentaires des blogs ont été exploités par des personnes mal intentionnées.

Le monde de la téléphonie, qui se concentre sur trois ou quatre OS, a peu de chances d’être épargné.

Une nouvelle menace: les malwares d’Etat

S’ajoute à ce tableau un nouveau décor, probablement plus orwelien : celui des malwares d’État ou d’organisations politiques, voire d’intérêts industriels. Ceux-là sont, pour certains, ignorés des antivirus, inconnus des firewalls, lorsque ce n’est pas l’antivirus ou le firewall lui-même qui en protège la présence.

Exemples concrets: mi-juin 2010, les éditeurs de l’antivirus Virus BlokAda découvrent l’existence d’un certain Trojan-Spy.0485 exploitant la faille MS 1 0-046 dite «faille lnk ». Le programme cherche à s’introduire au coeur d’un logiciel Siemens spécialisé dans la gestion des processus industriels. Premiers visés: les fournisseurs d’énergie, les gestionnaires d’infrastructures nationales de flux.

Les réglementations des États-Unis imposées par le DHS (Département de la Sécurité intérieure) imposent aux équipementiers d’outils de télécommunication, du routeur à l’autocommutateur téléphonique, de posséder un « point d’entrée» permettant aux autorités d’avoir accès au flux en transit. La France possède elle-même un catalogue des firewalls, VPN, routeurs de fabrication nationale dont l’usage est« conseillé». Ce qui signifie que si cet équipement est probablement protégé contre les écoutes américaines, il est sans le moindre doute ouvert à celles des services de renseignements nationaux. On appelle cela une « clé de séquestre», et c’est on ne peut plus légal. Reste à espérer qu’aucun truand ne percera ce genre de secret !

A lire aussi :

• Email phishing de LinkedIn
• Encore un email de phishing Paypal
• Comment retrouver des fichiers disparus ?