Evolution du malware – deuxième trimestre 2007

Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroqueries, botnet, spams, phishing, etc.), dresse le bilan de l’activité cyber-criminelle répertoriée entre avril et juin 2007. Les événements survenus au cours du premier semestre 2007 indiquent que les menaces continuent à mélanger différentes technologies, depuis l’ingénierie sociale jusqu’à l’exploitation de diverses vulnérabilités pour pénétrer dans un système.

La crise de la création de virus que nous évoquions déjà à la fin de l’année dernière se poursuit. Néanmoins, nous remarquons l’absence de nouvelles menaces vraiment exclusives. Les auteurs de virus, soucieux uniquement de l’argent qu’ils peuvent gagner de manière illicite, sont incapables de générer de nouvelles idées. Ils tentent d’exploiter d’anciennes technologies qui ne posent absolument aucun problème aux éditeurs de logiciels antivirus. Le pire est que la qualité a cédé la place à la quantité. La vague des programmes malveillants primitifs, s’en prenant à n’importe quelle cible, se développe mais la situation évoque plus une lutte entre robots qu’une résistance face au génie humain.

Ce nouveau rapport trimestriel n’évoque pratiquement pas les programmes malveillants. Nous nous sommes consacrés au domaine plus large de la sécurité des données, aux problèmes liés à Internet, aux nouvelles technologies et aux vulnérabilités. C’est dans ces secteurs que doivent désormais travailler les éditeurs de logiciels antivirus.

Estonie

Sans aucun doute, les événements qui se sont produit à la fin du mois d’avril et au début du mois de mai vont marquer l’année 2007. Pour la première fois de l’histoire, des hommes politiques, des militaires et des experts informatiques du monde entier ont abordé un sujet qui n’était que virtuel jusqu’à ce jour : la cyberguerre.

Nous voulons bien sûr parler de l’Estonie et plus précisément, des attaques subies par des dizaines de serveurs estoniens. Tout a commencé au milieu du mois d’avril lorsque le gouvernement estonien prit la décision d’enlever un monument dressé sur une des places centrales de Tallin à la mémoire des soldats soviétiques morts pendant la libération de l’Estonie, durant la seconde guerre mondiale. Cette décision suscita une vive réaction de la Russie, et entraîna une dégradation des relations politiques entre les deux pays.

A première vue, des situations de ce genre entre la Russie et ex-républiques soviétiques qui entreprennent tout pour se débarrasser de leur « passé soviétique » ne sont pas rares. Cet incident n’aurait peut-être pas dépassé le niveau diplomatique si plusieurs circonstances complémentaires n’étaient pas intervenues.

Dès le 27 avril, les sites Internet de la présidence, du Premier ministre, du Parlement, de la police et d’autres ministères estoniens ont été pris d’assaut par un nombre gigantesque de requêtes émanant de milliers d’ordinateurs répartis dans le monde entier. Cela s’est produit directement après que la police estonienne ait dispersé une manifestation de protestation contre l’enlèvement du monument à Tallin. Il y eut plus de 600 arrestations, et près de 100 personnes furent blessées lors des affrontements avec la police.

La riposte est venue directement via Internet. Selon une étude réalisée par les experts de la société finnoise F-Secure, les sites suivants n’étaient plus du tout accessibles à partir du 28 :

La première attaque dura jusqu’au 4 mai environ. Au cours de celle-ci, plus d’une dizaine de sites Internet estoniens furent victimes d’attaques par déni de service. Toutefois, tout le monde savait que le pire était à venir : les commémorations du 9 mai, jour de la fin de la Seconde guerre mondiale en Russie, approchaient.

La société Arbor, spécialisée dans la protection contre les attaques par déni de service, a publié des statistiques sur les événements survenus en Estonie. Il est intéressant de voir que le rapport présente des données à partir du 3 mai 2007. Il est probable que les autorités estoniennes aient contacté Arbor pour obtenir de l’aide car il n’existe aucune donnée sur la première vague d’attaques (du 27 avril au 3 mai). Arrêtons-nous un instant sur les données en notre possession: http://asert.arbornetworks.com/2007/05/estonian-ddos-attacks-a-summary-to-date

Attaques Date
21 2007-05-03
17 2007-05-04
31 2007-05-08
58 2007-05-09
1 2007-05-11

On voit très clairement que la deuxième vague d’attaques a commencé le 8 mai pour atteindre son pic le 9. Il convient de préciser ce qu’il faut entendre ici par « attaque ». Arbor indique que durant deux semaines, elle a enregistré 128 attaques par déni de service unique, dont 115 ont utilisé la méthode ICMP-flood, 4 – SYN traditionnel tandis que les 9 autres étaient des variations sur le thème de l’augmentation du trafic.

Il s’agit là uniquement d’une partie de toutes les attaques menées, mais cela suffit pour avoir une idée de l’ampleur des événements. On remarque également que la majorité des attaques furent très brèves (pas plus d’une heure). Seules 7 attaques ont duré plus de 10 heures.

L’attaque contre l’Estonie s’est déroulée simultanément sur plusieurs fronts. En plus des attaques par déni de service menées contre les principaux sites gouvernementaux, il y a eu un défacement massif de dizaines d’autres sites estoniens. Les principales victimes furent les sites tournant sous différents scripts dotés de nombreuses vulnérabilités, depuis les vulnérabilités CSS/XSS jusqu’à l’injection SQL.

Les défacements ne représentaient aucune difficulté particulière et ils auraient pu être réalisés à n’importe quel moment. Mais, ces événements ont attiré l’attention des pirates informatiques du monde entier et nombreux d’entre eux ont choisi d’exploiter la situation comme un terrain de manœuvres pour démontrer et appliquer leurs connaissances.

Le site du parti réformateur, présidé par le premier ministre estonien Andrus Ansip, fut un des premiers à être défacé. La page d’accueil fut remplacée par un texte présentant des excuses à la population russophone d’Estonie. « Le Premier ministre demande pardon ! « Le Premier ministre et le Parlement estoniens tiennent à présenter leurs excuses à toute la population russe d’Estonie et s’engagent à remettre le monument au soldat de bronze à son emplacement d’origine », peut-on lire dans le texte publié par les pirates.

Des sites russes furent également l’objet d’attaques. « Ce 3 mai, le site de la présidence de la Fédération de Russie a été soumis à une attaque sans précédent depuis des serveurs situés semble-t-il dans les pays baltes », annonçait l’agence RIA Novosti au Kremlin. Toutefois, grâce au système de redondance mis en place pour le site de la présidence, et grâce à l’application de systèmes de sécurité modernes, le contrôle du site ne fut jamais perdu. Une source du Kremlin reconnu toutefois « qu’il y avait eu certains problèmes ». Cette même source ajouta que « les attaques des cyber-criminels contre des serveurs d’organismes gouvernementaux dans divers pays sont malheureusement une pratique répandue ».

Les sites de médias russes tels que la radio Echo Moskvy ou le journal Kommersant furent également pris pour cible. Dans certains cas, les victimes ne firent pas le rapprochement entre les événements en Estonie et les attaques dont elles étaient la cible.

Il est probable que des cyber-criminels estoniens aient participé au défacement d’opposants directs sur le territoire russe : les sites des défenseurs du monument au soldat libérateur furent défacés le 9 mai. Toutes les informations de la page d’accueil de l’organisation Notchnoy Dozor (web-dozor.ru) furent supprimées et remplacées par des bannières affichant le texte « Proud to be estonian », le drapeau estonien et la signature « Estonia forever ! ». De plus, 1-net.ru fut également victime des attaques des pirates.

Il s’agissait d’un échange direct de coups virtuels comme l’illustrent très clairement les captures d’écran ci-après :



(c)F-Secure

Quelle fut la réaction des autorités estoniennes ? Tout d’abord, la police centrale criminelle d’Estonie arrêta un dénommé Dmitria, un habitant de Tallin âgé de 19 ans ayant suivi une formation technique supérieure, pour les attaques contre des sites gouvernementaux du pays. La suite des événements fut pour le moins inattendue. Les hommes politiques estoniens franchirent une ligne et accusèrent les services secrets russes. Pour la première fois, le terme « cyber-guerre » était utilisé en haut lieu.

Toute le monde sait que tous les services secrets possèdent un département chargé de protéger les ressources électroniques du pays et de réaliser d’autres actions diverses. C’est ce que nous appellerons l’« espionnage électronique ». Ainsi, l’armée américaine dispose d’une telle unité et ses membres ont participé à certaines compétitions opposant des cyber-criminels, sans trop de succès faut-il dire.

Ceci étant dit, jamais auparavant un Etat n’avait accusé un autre d’avoir réalisé une attaque cybernétique. Cela ne s’était même pas produit lors du conflit indo-pakistanais à la fin des années 90, lorsque les pirates informatiques des deux pays se sont livrés un amer combat sur Internet qui déboucha d’ailleurs sur la création du ver Lentin (Yaha), un des vers de messagerie les plus dévastateurs des dix dernières années.

Rien de semblable ne fut également observé lors de l’intervention de l’OTAN dans le conflit yougoslave et le bombardement de la Serbie lorsque des pirates serbes, aidés par des cyber-criminels d’autres pays, s’étaient attaqués à des sites Internet américains et de l’OTAN.

Une telle réaction n’avait même pas été observée lors des différentes périodes de tension entre la Chine et le Japon, lorsque les sites gouvernementaux japonais avaient été victimes d’attaques par déni de service.

Ni lorsque des sites de ministères et d’agences américains furent attaqués (et qui le sont toujours) par des groupes de pirates informatiques chinois qui avaient pu accéder à des informations secrètes.

Dans le cas estonien, il semblerait que quelqu’un ait intérêt à porter le conflit au niveau supérieur, comme en témoigne la direction prise par ceux attaquant les sites estoniens. Tout d’abord, Urmas Paet, le ministre estonien des Affaires étrangères, déclara que les cyber-criminels agissaient depuis la Russie et notamment à l’aide d’ordinateurs d’organisations gouvernementales. Ensuite, Yaak Aaviksoo, le ministre estonien de la Défense, proposa de résoudre prochainement la question liée à la reconnaissance des attaques cybernétiques en tant qu’actes de guerre. « A l’heure actuelle, l’OTAN ne considère pas les attaques cybernétiques comme des actes de guerre. Par conséquent, les pays membres de l’OTAN victimes de telles attaques ne peuvent invoquer l’article 5 du Traité sur la protection militaire. Aucun des ministères de la Défense des pays membres de l’OTAN ne reconnaît aujourd’hui les attaques cybernétiques comme des actes de guerre. « Nous devrons résoudre cette question prochainement », déclara le ministre estonien.

En pratique, l’Estonie souhaite une défense militaire contre les menaces d’Internet. Cependant, elle ne possède pas de preuves incontestables sur la participation des structures étatiques russes dans ces attaques. Les experts de l’OTAN, envoyés à Tallin au mois de mai au secours de l’allié, n’ont pu, eux non plus, confirmer ces hypothèses. En réalité, toutes ces déclarations sur le rôle du gouvernement russe reposent sur une seule requête adressée au site du président estonien et dont l’adresse IP « appartient à un employé de l’administration présidentielle de Russie ». Nous ne pouvons que nous étonner de l’ampleur des connaissances des services secrets estoniens qui disposent d’informations sur les détenteurs d’adresses IP en Russie et qui, vraisemblablement, savent à quel point il est « difficile » de remplacer une telle adresse.

Toujours est-il que le mot « cyber-guerre » fut lâché. Des troupes d’experts venus des Etats-Unis, d’Europe et d’Israël sont venues pour aider les autorités estoniennes à réagir face à la menace et d’autres, pour acquérir une expérience inestimable, étudier la défense et en tirer des leçons pour la protection de leurs propres systèmes.

Que s’est-il passé sur le réseau Internet russophone durant ces quelques jours ? Les accusations portées par les Estoniens contre les autorités russes ne laissaient pas beaucoup de place à l’opinion des internautes russes sur le déplacement du monument. Cette opinion, dans sa majorité, était hostile aux Estoniens. Et dès que les confrontations avec la police commencèrent, de nombreux internautes russes qui n’avaient pas les moyens d’exprimer en personne leur opposition décidèrent d’utiliser la seule méthode qui s’offrait à eux, à savoir une protestation via le réseau. Ils allaient participer à des attaques par déni de service.

Il est désormais impossible de savoir avec précision quand et où est née cette idée de s’en prendre au trafic. Il est probable qu’elle ait vu le jour parmi les groupes de cyber-criminels qui avaient déjà adopté une telle stratégie par le passé contre les sites des combattants tchétchènes. Cette expérience ne fut pas perdue et put à nouveau prendre du service. Divers forums et sites commencèrent à proposer une variété de programmes qui envoyaient un nombre infini de requêtes vers les sites estoniens. N’importe qui pouvait télécharger ce genre de programme et l’installer sur son ordinateur. Du point de vue technologique, il s’agit d’un réseau de zombies. La seule différence étant ici le caractère volontaire du réseau, créé avec l’accord des utilisateurs des ordinateurs qui savaient ce qu’ils faisaient. Regardez une fois de plus les statistiques sur les attaques recueillies par les spécialistes de Arbor : la majorité des attaques a duré moins d’une heure ! D’où vient cette idée que les services secrets russes ont « loué » aux cyber-criminels du temps d’utilisation de leurs réseaux zombies ?

Bien entendu, un pourcentage des attaques a été mené depuis des réseaux zombies « authentiques » composés de machines préalablement infectées, mais il ne faut pas sous-estimer la puissance de l’attaque « manuelle ».

Nous sommes plus proches de la cyber-guérilla que de la cyber-guerre.

D’ailleurs, aucun des éditeurs de logiciels antivirus au monde n’a découvert de programmes malveillants spécifiques qui auraient été conçus pour attaquer les sites estoniens

A l’heure qu’il est, les attaques contre l’Estonie ont cessé. Les experts sont rentrés chez eux. Les fabricants d’équipements réseau ont décroché de nombreux nouveaux contrats. Les journalistes ont écrit des dizaines d’articles sur le sujet. Le monument a été déplacé vers un autre endroit, et les dépouilles des soldats soviétiques ont trouvé un autre lieu de repos. Dmitria, ce jeune homme de 19 ans de Tallin, arrêté car il était soupçonné d’avoir organisé les attaques a été libéré compte tenu du manque de preuves contre lui

« Je ne crois pas que la Russie était derrière tout cela, mais comment le prouver ? », a déclaré Gadi Evron, spécialiste israélien de la sécurité informatique. Gadi Evron a passé quatre jours à Tallin à la demande des Estoniens pour réaliser une enquête sur le système. Internet est idéal pour s’opposer légitimement à tout ce que l’on veut. « Quand des tensions politiques se manifestent, elles débordent automatiquement dans les réseaux virtuels », explique Gadi Evron qui cite à titre d’exemple les attaques contre des sites danois, après la publication dans un journal danois de caricatures du prophète Mohammed

La communauté informatique internationale joue désormais avec les mots « cyber-guerre » et « cyber-terrorisme ». Elle désigne la Russie comme « le premier pays au monde à avoir utilisé la bombe numérique ». Les spécialistes du monde entier élaborent des scénarios de véritables guerres informatiques :

« Tout d’abord, une diffusion depuis un réseau zombies, déjà évoqué par le FBI, compliquera l’accès aux portails d’informations les plus utilisés. Ensuite, les boîtes de messagerie électroniques seront endommagées et les cyber-criminels utiliseront cette couverture pour s’introduire dans les serveurs d’organisations gouvernementales, de communications, de transport et financières, ce qui entraînera une déstabilisation des systèmes dans l’ensemble», évoque Michael Tammet, responsable des communications et des technologies de l’information du ministère estonien de la Défense

Alors que les moteurs de recherche et les gouvernements du monde tentent de limiter de différentes manières l’accès aux informations sur Internet sur la fabrication de bombes, les questions liées au cyber-terrorisme ne sont pas traitées comme il le faudrait au vu de la situation réelle. Kaspersky Lab estime depuis toujours que la publication d’articles et les débats sur les méthodes permettant de mettre des objets vitaux hors service n’est pas une pratique acceptable. Il ne fait aucun doute que les informations de ce genre peuvent pousser divers groupes extrémistes à réaliser des expériences sur la réalisation de tels scénarios. La boîte de Pandore est ouverte.

Mais à qui cette situation profite-t-elle ?

iPhone

L’événement le plus marquant du deuxième trimestre 2007 fut l’arrivée sur le marché de l’iPhone, le téléphone portable d’Apple.




Des millions de consommateurs américains ont attendu avec impatience la mise en vente de ce produit. Certains n’ont même pas hésité à camper devant les magasins plusieurs jours avant le Jour-J. De leur côté, les experts en sécurité informatique ont tenté d’analyser l’effet de l’iPhone sur le niveau de sécurité global des appareils nomades. Ils se sont demandés si la popularité évidente dont jouit ce téléphone n’allait pas mettre un terme à la stagnation observée quant au développement des virus pour appareils nomades.

Kaspersky Lab s’intéresse énormément à la problématique des menaces pour appareils nomades. En effet, nous avons découvert, il y a trois ans, les premiers virus pour appareils nomades.

Afin d’évaluer la probabilité de voir naître des programmes malveillants pour divers appareils et divers systèmes d’exploitation, nous avons adopté depuis longtemps une méthodologie qui repose sur trois facteurs :

  1. La popularité et la diffusion du système d’exploitation ;
  2. La documentation, à savoir l’existence d’une documentation diverse et complète sur le système ;
  3. La vulnérabilité du système ou l’existence de failles connues dans sa sécurité et ses applications.

Chacune des conditions est obligatoire et si elles sont toutes remplies simultanément, on peut s’attendre à voir apparaître des programmes malveillants.

Qu’en est-il pour l’iPhone ?

Popularité

En fait, iPhone est déjà très populaire alors que les chiffres de vente absolus ne sont pas encore élevés (270 000 exemplaires ont été vendus depuis son lancement le 29 juin 2007). Selon les analystes, ce chiffre devrait atteindre 13,5 millions d’iPhone vendus d’ici un an et demi.

Les résultats d’une enquête analytique d’envergure, réalisée par Lightspeed Research au cours de la semaine qui suivit l’annonce officielle du téléphone intelligent iPhone d’Apple, ont montré qu’un Américain sur trois souhaitait acheter ce nouveau produit. 8 % des personnes interrogées avaient l’intention d’acheter ce téléphone au cours des 3 prochains mois, tandis que 22% ont l’intention d’acheter l’iPhone ultérieurement.

Ces indices sont-ils importants pour tirer des conclusions sur la popularité ?

En 2003, 6,7 millions de téléphones portables sous Symbian ont été vendus dans le monde entier et plus d’un million de téléphones furent vendus uniquement en décembre 2003.

En 2004, année où Cabir, le premier ver pour appareils nomades, est apparu, il y avait déjà près de 15 millions de téléphones intelligents sous Symbian OS dans le monde, et près de 70% d’entre eux étaient fabriqués par Nokia. En 2004, la part de Symbian sur le marché des téléphones intelligents était de 38%.

Au cours du deuxième trimestre 2005, 7,8 millions de téléphones sous Symbian furent vendus, contre 2,4 millions au deuxième trimestre 2004. Au cours du premier semestre 2005, ce sont 14,5 millions d’appareils nomades sous Symbian qui furent vendus.

Il est évident que les 13,5 millions d’iPhone prévus d’ici la fin 2008 peuvent être comparés aux 15 millions d’appareils Symbian de 2004. Sur la base de ces informations, nous pouvons en déduire que c’est en 2008 que les virus deviendront une réalité pour l’iPhone. Il est d’ailleurs fort probable que cela se produise même avant la fin de l’année, étant donné l’intérêt des consommateurs pour cet appareil et l’offensive publicitaire dont il bénéficie.

Documentation

Apple a annoncé que l’iPhone utilisera une version spéciale de Mac OS X. Rien d’officiel n’a encore filtré sur les différences entre la version de Mac OS X pour appareils nomades et celle pour ordinateurs de bureau. Mais, il est fort probable que ces différences soient minimes. Il s’agit d’une version habituelle optimisée sans prise en charge de divers périphériques informatiques et d’applications superflues. La version interne du système d’exploitation est identifiée en tant que « OS X 1.0 (1A543a) ».

Le processeur de l’iPhone utilise l’architecture ARM et par conséquent, il est possible d’utiliser des applications développées sur ARM.

Ces deux éléments montrent que rien ne s’oppose vraiment à la réalisation de la condition « documentation ».

Reste alors un facteur, peut-être le plus important : la vulnérabilité et l’existence de failles.

Dans l’ensemble, Apple, et plus exactement son système d’exploitation et ses applications, ne s’en sort pas très bien lorsqu’il s’agit de vulnérabilités. Les vulnérabilités existent, elles sont nombreuses, et la majorité d’entre elles ont été découvertes parce que le système d’exploitation Mac a conquis ces derniers temps de nouveaux utilisateurs. Sa popularité augmente et de plus en plus de cyber-criminels se mettent à « explorer ses entrailles ». Nous avons déjà rencontré des vers de réseau pour Mac OS X qui exploitent des vulnérabilités pour se propager. Rien n’indique que le système d’exploitation de l’iPhone ne sera pas confronté aux mêmes problèmes.

Au début du mois de juin déjà, les experts de la société SPI Dynamics annonçaient avoir découvert la première vulnérabilité dans l’iPhone. Cette vulnérabilité est liée au système de composition des numéros à l’aide d’une solution spéciale automatique intégrée au navigateur Safari. Dans certaines conditions, l’individu mal intentionné peut rediriger la requête de l’utilisateur de l’iPhone vers un autre numéro de téléphone, réaliser un appel à l’insu de l’utilisateur, empêcher l’arrêt des appels ou lancer un cycle sans fin de composition de numéros qui s’arrête uniquement lorsque l’appareil est redémarré.

Le site de SPI Dynamics indique qu’il existe en théorie plusieurs moyens de lancer une attaque. Les cyber-criminels peuvent tenter d’attirer la victime sur un site Internet malveillant. De plus, il est également possible de mener une attaque via une ressource en ligne légitime soumise à des attaques CSS (Cross-Site Scripting).

« Dans la mesure où ce plan peut être mis en place sur n’importe quel site et que n’importe quel utilisateur de l’iPhone peut devenir une victime, cette vulnérabilité est considérée comme sérieuse », explique Bill Hoffman, analyste chez SPI.

Ceci étant dit, l’iPhone possède quelques caractéristiques qui pourraient compliquer la tâche des auteurs de virus. Tout d’abord, la fonction Bluetooth ne peut être utilisée que pour connecter des accessoires ! Elle ne peut être utilisée pour transmettre des données ou synchroniser le téléphone avec un ordinateur. Dans ces conditions, la possibilité de voir apparaître des vers pour l’iPhone semblables à Cabir pour Symbian, semble peu probable.

La deuxième restriction similaire est l’absence de MMS ! Cette particularité, qui a suscité bon nombre de critiques des utilisateurs, vise les virus qui fonctionnent uniquement dans des conditions semblables à celles décrites ci-dessus pour le Bluetooth. Sans MMS, les vers se voient privés de leur deuxième mode favori de propagation. Il est donc improbable que le vers ComWar pour Symbian soit adapté un jour pour l’iPhone.

Ce sont là de sérieuses restrictions qui n’ont pas été imposées délibérément par Apple après une évaluation des problèmes de sécurité de l’appareil.

Sur la base de tout ce qui précède, nous pouvons affirmer que des programmes malveillants pour l’iPhone arriveront l’année prochaine et qu’il ne s’agira pas de vers. Il est plus probable de voir des virus de fichiers traditionnels ainsi que divers types de chevaux de Troie. Mais, la principale menace pour les utilisateurs de l’iPhone portera sur les différentes vulnérabilités qui peuvent être utilisées par les cyber-criminels pour accéder aux données sur le téléphone.

Mpack

Au milieu du mois de juin, les magazines spécialisés ont publié des informations troublantes en provenance d’Italie. Quelques milliers de sites italiens étaient à l’origine de la propagation de programmes malveillants. En l’espace de quelques jours, plus de 6 000 serveurs dont les pages contenaient quelques lignes de code HTML qui n’avaient pas été introduites par les propriétaires de ces sites furent découverts. Ces lignes ressemblaient à peu près à ceci (il existe différentes variantes où la taille de la fenêtre iframe (widhtheight) est égale à zéro, un et ainsi de suite):

Les experts de Kaspersky Lab connaissent ces lignes depuis quelques années déjà : il s’agit d’une construction typique pour l’utilisation de divers codes d’exploitation des vulnérabilités dans les navigateurs. Le site indiqué dans le champ ‘adresse’est soit une adresse qui redirige les visiteurs vers les sites contenant le code d’exploitation, soit la source d’infection elle-même.

La balise

est devenue depuis longtemps un des favoris dans ce cas. Elle ouvre une nouvelle fenêtre du navigateur et lorsque les dimensions sont égales à zéro, la fenêtre devient invisible pour l’utilisateur. Par conséquent, le déclenchement du code d’exploitation passe inaperçu. L’utilisateur ne sait même pas qu’il se trouve en ce moment sur un autre site en plus de celui affiché dans la fenêtre principale .

Voici quelques exemples tirés du passé récent :

En septembre 2006, les experts de Kaspersky Lab ont reçu des messages sur le comportement bizarre des navigateurs Internet à l’ouverture du site top.rbc.ru : Internet Explorer avec tous les modules externes lancés s’arrêtait suite à une erreur ; Firefox continuait à fonctionner, mais en utilisant 400 Mo de mémoire vive.

Lors de l’analyse des pages, les experts de Kaspersky Lab ont découvert dans le code un lien conduisant à un site enregistré dans le domaine pp.se. Ce lien contenait un script avec le code d’exploitation de la vulnérabilité décrite dans Microsoft Security Advisory (926043)

Le code d’exploitation téléchargeait sur l’ordinateur attaqué une nouvelle version du cheval de Troie Trojan-PSW.Win32.LdPinch – ayj.

En décembre 2006, les experts de Kaspersky Lab ont découvert pas moins de 470 serveurs infectés par le cheval de Troie Trojan-Downloader.JS.Psyme. Tous ces serveurs utilisaient les services de l’hébergeur Valuehost. Une des ressources infectées était le célèbre portail www.5757.ru.

Lors de la visite des sites infectés, un script intégré à la page par les cyber-criminels lançait le téléchargement du cheval de Troie Trojan-Downloader.JS.Psyme.ct qui, à son tour, chargeait d’autres programmes malveillants sur le système attaqué.

Nous possédions donc déjà une certaine expérience dans la lutte contre ces codes d’exploitation.

Quelques jours avant l’apparition des problèmes en Italie, nous avions constaté un incident similaire en Russie, toujours sur le site populaire RBC.ru.

Le 7 juin 2007, de nombreux utilisateurs qui s’étaient rendus sur le site rbc.ru ont vu les messages d’alerte du logiciel antivirus signalant une tentative d’infection par un cheval de Troie:

Ce qui pour nous fut une surprise est le fait que Mpack dépassa les frontières de la Russie et fut utilisé en Italie. En voici la raison :

  • Mpack fut créé en Russie et il était vendu par des pirates russes à des pirates russes.
  • Ses auteurs sont les mêmes personnes qui ont participé activement à la création et au soutien d’un autre cheval de Troie répandu : LdPinch.
  • Il existe sur le marché noir quelques autres codes d’exploitation aux fonctions similaires : Q406 Roll-up package, MDAC, WebAttacker, etc. Ils ont tous une « pénétration » supérieure à celle de Mpack.

Il existe une sélection de codes d’exploitation développés en PHP (ou dans n’importe quel autre langage de script tels que VBS ou JS). Cette sélection reprend certains codes d’exploitation qui utilisent des vulnérabilités dans les navigateurs et les systèmes d’exploitation populaires. La sélection la plus élémentaire peut être reprise dans la liste approximative suivante :

  • MS06-014 for Internet Explorer 6
  • MS06-006 for Firefox 1.5
  • MS06-006 for Opera 7
  • WMF Overflow
  • QuickTime Overflow
  • WinZip Overflow
  • VML Overflow

En règle générale, les codes d’exploitation sont également cryptés pour éviter d’être découverts par des antivirus, ce qui complique leur identification et leur analyse.

L’individu mal intentionné place la sélection de codes d’exploitation sur son propre site. Sa principale tâche ensuite consiste à attirer les victimes. Pour résoudre ce problème, il utilise d’autres sites. Le cyber-criminel parvient, d’une manière ou d’une autre à accéder à d’autres sites. Il utilise généralement des comptes d’accès volés antérieurement par un cheval de Troie quelconque tel que LdPinch.

Ensuite, il ajoute à toutes les pages de ce site la balise iframe qui conduira l’internaute vers le site infecté. Pour ajouter la balise iframe en masse, il peut utiliser divers utilitaires comme FTPToolz, créé par un écolier russe.

Des dizaines de milliers de personnes visitent ainsi leurs sites favoris sans savoir qu’ils ont été compromis et que les navigateurs sont attaqués par divers codes d’exploitation.

Mais, l’exécution du code d’exploitation n’est pas le but en soi poursuivi par les individus mal intentionnés. L’objectif est d’installer des programmes malveillants dans le système attaqué. En général, c’est un programme du type Trojan-Downloader qui est installé. Il sera ainsi possible à l’avenir de télécharger n’importe quoi, depuis des virus et des vers jusqu’aux logiciels espions en passant par les portes dérobées, etc.

Toutes ces sélections de codes d’exploitation possèdent des modules de statistiques qui renseignent l’individu mal intentionné sur le nombre d’utilisateurs infectés, le pays où ils se trouvent, les navigateurs utilisés et le site via lequel les victimes sont arrivées.

Mpack était vendu par ses auteurs au prix de 1 000 dollars. Il était possible d’acheter une assistance complémentaire (ajout de nouveaux codes d’exploitation à la sélection). Ce scénario est tout à fait identique à celui qui caractérise la vente d’autres sélections populaires de codes d’exploitations mentionnées ci-dessus.

La performance de ces sélections de code d’exploitation se mesure par le taux d’infection des utilisateurs qui visitent le site infecté. Les auteurs promettent un taux compris entre 30 et 50 %, toutefois dans la pratique, ce taux dépasse rarement 10 à 12%. Cet indice n’en reste pas moins inquiétant si l’on tient compte du fait que le nombre d’utilisateurs concernés se chiffre en milliers.

Le principal problème, selon nous, est que les auteurs de Mpack ne peuvent pas être tenus légalement responsables. Officiellement, ils réalisent un travail non déclaré et ne paient pas d’impôts sur les ventes. Ils ne compromettent pas les sites afin d’y introduire le lien avec iframe. Cette action est réalisée par la personne qui achète Mpack. Ils ne diffusent pas non plus des chevaux de Troie. Cette action est réalisée par les personnes qui leur achètent Mpack. Ils se contentent de prendre des codes d’exploitation, découverts par d’autres personnes, dans des sources ouvertes que sont les centaines de sites consacrés à la sécurité des données. Ils ne font que rassembler ces codes d’exploitation au sein d’une sélection et ne sont pas responsables de l’utilisation qui en est faite.

Il n’existe aucune différence entre ce que font les auteurs de Mpack et HD.Moore (l’auteur de Metasploit, un projet populaire et renommé dans le monde de la sécurité informatique). Un dit clairement à quoi peuvent servir ces sélections tandis que les autres les présentent comme un instrument indispensable à l’administrateur qui veut tester ses propres systèmes.

Nous sommes confrontés ici à un problème ancien qui n’est toujours pas résolu : la publication de vulnérabilités est-elle un acte utile ou nuisible ? Pour l’instant, nous présentons seulement les faits mais nous reviendrons plus tard sur ce problème. Nous présenterons prochainement notre position sur tout ce qui se passe actuellement autour des concepts de « chapeaux blancs » et « chapeaux noirs ».

Viver

Au milieu du mois de mai, nous avons découvert 3 versions d’un nouveau cheval de Troie pour téléphones portables, Trojan-SMS.SymbOS.Viver qui envoie des SMS payants vers un numéro à tarif élevé. Suite à ces opérations, une certaine somme d’argent est débitée du compte du propriétaire du téléphone et transférée à l’individu mal intentionné.

Ce genre de cheval de Troie n’est pas nouveau : l’année dernière, nous avions découvert les premiers exemplaires capables de fonctionner sur presque n’importe quel téléphone portable compatible avec Java (cf. RedBrowser, Webster). Viver se distingue de ceux-ci par le fait qu’il a été spécialement conçu pour les téléphones Symbian. Il s’agit du premier Trojan-SMS pour téléphone intelligent.

Grâce à nos analyses, nous avons pu définir le mode de propagation de ce code malveillant et le système mis en place par les escrocs pour recevoir l’argent.

Les chevaux de Troie sont placés sur dimonvideo.ru, site russe apprécié des utilisateurs de téléphones intelligents, dans la rubrique Echange de fichiers. N’importe quel utilisateur enregistré sur ce site peut ajouter des fichiers à cette rubrique.

Comme d’habitude, les chevaux de Troie sont présentés comme des utilitaires, par exemple des éditeurs de photos, une sélection de codecs vidéo, etc. Une fois installé sur le téléphone intelligent, le cheval de Troie envoie des SMS au numéro 1055. Le coût d’envoi d’un SMS est de 177 roubles (7 dollars américains).

Le numéro 1055 est très intéressant. Comme nous avons pu le constater, ce n’est pas la première fois qu’il est utilisé par les escrocs russes. Il leur permet de garder l’anonymat

De quelle manière ?

Nous savons que les opérateurs de téléphonie mobile louent des numéros courts. Cependant, le coût d’une telle location pour un particulier est trop élevé. Il existe cependant des fournisseurs de contenu qui louent de tels numéros afin de les sous-louer après avoir ajouté un préfixe déterminé.

Le numéro 1055 est loué par un de ces fournisseurs de contenu. Si ce numéro est sous-loué et qu’un message y est envoyé, par exemple commençant par « S1 », alors le système du fournisseur transfère une partie du coût de ce SMS au compte du sous-locataire « S1 ». L’opérateur de téléphonie mobile se réserve une part de 45 à 49% du coût du SMS tandis que 10% environ sont destinés au fournisseur de contenu. Le reste est envoyé au sous-locataire, dans ce cas-ci un escroc.

Nous savons de source sûre que près de 200 personnes ont téléchargé une des versions de Viver en 24 heures. Le cheval de Troie fut par la suite supprimé par l’administration du site. Un simple calcul montre qu’avec 200 victimes et un SMS à 177 roubles, l’escroc a pu obtenir en un jour 14 000 roubles (plus de 500 dollars américains).

Cet incident montre une fois de plus que les technologies modernes appliquées aux appareils nomades attirent de plus en plus l’attention des cyber-criminels. Dans ce cas-ci, l’escroquerie repose sur l’utilisation d’un numéro court proposé par de nombreux opérateurs de téléphonie mobile ou de fournisseurs de contenu. Malheureusement, la possibilité de retirer de l’argent du compte d’un abonné à son insu et sans confirmation complémentaire est une des faiblesses des services actuels de téléphonie mobile. Cela nuit à l’image des opérateurs de téléphonie mobile, à celle des fournisseurs de contenu et au service dans son ensemble.

Nous avons enregistré trois nouveaux incidents au mois de mai. Quel est le nombre exact de chevaux de Troie de ce type ? Nous ne disposons malheureusement pas de statistiques identiques pour la majorité des pays étrangers et les éditeurs de logiciels antivirus étrangers n’ont signalé aucun cas de ce genre. Nous pouvons difficilement croire que ce problème touche exclusivement la Russie.

Conclusion

Les événements les plus marquants du deuxième trimestre présentés dans ce rapport vont alimenter de nombreuses réflexions mais ils n’apporteront pas la réponse à la question portant sur la direction que vont prendre les virus et les menaces informatiques. Malgré l’introduction de nouveaux systèmes d’exploitation (Vista), de nouveaux services (contenu pour appareils nomades) ou de nouveaux appareils (iPhone), les cybercriminels manquent d’initiatives et continuent à utiliser des méthodes éprouvées pour porter atteinte aux utilisateurs. La nouveauté se manifeste uniquement au niveau de concepts qui ne sont jamais vraiment développés.

De plus, nous remarquons également un retour « aux sources » plus marqué : les attaques par déni de service et l’introduction dans les systèmes via les failles de navigateurs connaissent une recrudescence. La seule différence entre la période actuelle et celle que nous avons connue il y a trois ans est peut-être le fait que le courrier électronique, en tant que vecteur de diffusion des virus, cède de plus en plus de terrain face au système de messagerie instantanée. Il convient de citer également la croissance explosive des chevaux de Troie qui attaquent les utilisateurs de jeux en ligne.

Les menaces ne deviennent pas plus intelligentes. Il y a eu un développement et nous ne pouvons pas encore identifier ce qui va jouer le rôle de catalyseur pour une modification globale des virus dans un avenir proche, comme ce fut le cas lors de la sortie de Windows95, l’apparition des vers LoveLetter et Melissa, le premier virus de macros et les épidémies Lovesan et Mydoom.

Les éditeurs de logiciels antivirus ont considérablement améliorés leurs technologies, en ont développé de nouvelles et ils continuent leurs recherches.
Chaque nouvelle version d’un logiciel antivirus qui est publiée actuellement ne se contente plus de présenter une interface modifiée mais bien d’introduire plusieurs nouveaux éléments qui augmentent considérablement la protection offerte aux utilisateurs. Les utilisateurs actuels de logiciels antivirus sont mieux protégés qu’il y a deux ans. La durée de vie moyenne « dans la nature » de la majorité des programmes malveillants se compte en heures, rarement en jour.

Ceci étant dit, nous allons tenter de présenter un pronostic à court terme.
Les individus mal intentionnés vont tenter de quitter les sentiers battus en matière de lutte contre les solutions antivirus. Ils vont délaisser le contournement du logiciel antivirus au profit d’une activité dans les domaines qui ne sont pas encore couverts par les logiciels antivirus de qualité ou pour lesquelles aucune protection n’est possible pour une raison quelconque. Nous estimons que le nouveau front de cette bataille va comprendre les services de jeux en ligne, les blogs, les systèmes de messagerie instantanée et les réseaux d’échange de fichier.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *