Evolution du malware : Octobre-Décembre 2005

  • Sober – un ver d’exception
  • Krotten – développement de Gpcode et JuNy
  • Vulnérabilité 0- Day (Zero-day)
  • Les tendances dans le secteur des mobiles
  • Les consoles de jeux –nouvelle plateforme pour les virus ?
  • Le rootkit de Sony
  • Sober – un ver d’exception

    Le 15 novembre 2005, la police de Bavière publiait un communiqué de presse indiquant que durant les jours à venir, il était très probable qu’une nouvelle version du ver Sober fasse son apparition. L’avertissement ne s’accompagnait pas de commentaires supplémentaires concernant la provenance de cette information. Par ailleurs, compte-tenu de l’origine allemande de Sober, les sociétés antivirus du monde entier ont pris cette information très au sérieux. Dès le lendemain, le 16 novembre, Kaspersky Lab recevait un nouvel échantillon de la nouvelle version de Sober. Et c’est bien cette variante, du nom de Sober.y, qui a été le déclencheur d’une épidémie virale retentissante.

    Le 18 novembre, des millions d’internautes d’Europe de l’Ouest recevaient par email un message étrange. Le texte variait légèrement de l’un à l’autre mais en règle générale son contenu accusait son destinataire d’infractions aux droits d’auteurs et de téléchargement illégal depuis Internet de différents fichiers vidéo et musicaux. Le message venait soi-disant du FBI. Le message indiquait que le fichier attaché au message contenait toutes les preuves et le destinataire était invité à les consulter.

    Il s’agit d’un des « trucs » (astuces) les plus subtils en termes de social engineering (ingénierie sociale) de ces derniers mois. A noter toutefois que Sober l’avait déjà utilisé au printemps 2005. Et pourtant, des dizaines, (voire des centaines) de milliers d’internautes ont cru à cette lettre et ont exécuté la pièce jointe. Sober.y a alors éclaté au grand jour, et l’épidémie a entrepris une ascension fulgurante. Désormais les ordinateurs infectés par Sober diffusent des copies du ver et des dizaines de millions de copies circulent dans le trafic attribué au courrier électronique.

    Une approche typique d’ingénierie sociale : l’individu pris pour une vulnérabilité

    L’astuce déployée par l’auteur du ver avec de faux messages en provenance du FBI était à double tranchant. De nombreux destinataires du message ont appelé le numéro de téléphone indiqué dans le message. Ce dernier était authentique et durant plusieurs jours, la ligne téléphonique du FBI a subi une attaque DDoS pour le moins originale.

    L’épidémie était à son apogée début décembre. Sober.y est devenu un des virus 2005 les plus prospères en termes de machines infectées et en pourcentage de messages infectés dans le trafic postal.

    Essayons de comprendre les raisons du succès de ce ver et de la famille des Sober en général. Rien ne laissait présager une épidémie d’une telle ampleur. D’autant plus que d’un point de vue technologique, Sober est pour le moins primaire. Il est écrit en Visual Basic (VB). Ce langage est relativement simple et facile à assimiler. Pratiquement tous les virus modernes sont écrits en C/C++ ou en assembleur. Il existe également un grand nombre de virus écrit en Delphi. Les virus écrits en VB sont parmi les plus basiques. Parmi les virus à avoir provoqué une épidémie mondiale, on ne dénombre aucun virus écrit en VB. A l’exception de Sober.

    Nous somme déjà habitués au fait que les épidémies globales de ces dernières années ont été causées par des virus exploitant une vulnérabilité Windows pour se multiplier: Lovesan, Slammer, Sasser, Mytob et des centaines de bots différents le démontrent. Sober n’exploite aucune vulnérabilité, sauf une – l’individu. Sober applique la méthode du social engineering, méthode sur laquelle s’est basé le ver Mydoom, déclenchant la plus grande épidémie de l’histoire virale.

    Das attaques désormais concentrées et de multiples variantes d’un code malicieux

    Nous rappelons souvent que les menaces informatiques possèdent un caractère variable et évolutif. Elles passent du bricolage de délinquants (NetSky, Sasser, Lovesan) aux logiciels criminels, et désormais les auteurs de virus délaissent les épidémies mondiales au profit d’attaques locales restreintes mais visant un groupe d’utilisateurs bien précis. Le fait qu’en 2005 aucune épidémie à grande échelle n’ait été enregistrée s’avère être en partie le fruit des efforts des éditeurs d’antivirus. Ces derniers ont su mettre en place des méthodes efficaces de détection et de prévention d’épidémies à des stades précoces. Il semblait que cette situation allait durer encore quelques temps. Mais voilà qu’arrive Sober – un ver écrit en langage de programmation simple, qui n’utilise pas de vulnérabilité mais une seule méthode de diffusion, le courrier électronique. Qui plus est, ce ver est dénué d’intérêt lucratif, on ne dénote aucune intention de voler des données, pas de création de botnets ni pas d’attaques de DoS etc. Il n’aurait du avoir aucune chance de survie et pourtant il est le « numéro 1 » des virus du quatrième trimestre 2005.

    La famille Sober vient d’avoir deux ans. Et presque chacune de ces variantes a fait une apparition remarquée sur la scène virale. En plus du reste, l’auteur de Sober utilise constamment la diffusion de son ver pour la propagande de ses opinions néo-fascistes. Sober est l’exemple le plus criant de virus « politique ». Il n’est pas exclu que l’auteur soit arrêté dans un futur proche. Le communiqué de presse de la police bavaroise, prévenant d’une épidémie possible est le signe que l’enquête avance et qu’elle est sur une piste sérieuse. On a craint aussi que le 6 janvier 2006 nous ayons eu à subir une nouvelle variante de Sober puisque dans la nuit du 5 au 6 janvier, une activation de la fonction de téléchargement des « mises à jour » de Sober.y était programmée. En d’autres termes des dizaines de milliers d’ordinateurs infectés auraient pu télécharger depuis Internet une nouvelle version du ver.

    Krotten – développement de la technique du chantage viral pour soutirer de l’argent

    Nous avons déjà abordé l’apparition d’une nouvelle classe de programmes malicieux créés dans le but de soutirer de l’argent aux internautes. Leur principe d’actions est relativement simple. S’infiltrant sur l’ordinateur des victimes, ils cryptent par différentes méthodes de chiffrement des fichiers puis proposent à leur victime de payer une « rançon » en échange du déchiffrage des données. Les représentants phares de ces programmes sont Gpcode et JuNy.

    Certains internautes, dans cette situation, contactent le cyber criminel et payent la somme exigée. D’autres réagissent plus subtilement et nous envoient les données chiffrées. Heureusement, les connaissances cryptographiques des auteurs de ce type de virus ne sont pas très étendues, et les algorithmes de chiffrement utilisés sont facilement décodés par les analystes antiviraux de Kaspersky Lab. C’est la raison pour laquelle, il nous a été relativement facile de déchiffrer les documents, mais aussi d’introduire cette fonction directement dans les bases antivirus.

    En septembre 2005, nous avons identifié la première variante du programme de Troie Krotten. Il s’appelait alors Trojan.Win32.Agent.il et nous a été envoyé par plusieurs internautes russes. Au cours de l’analyse du programme, il a été établi qu’il s’agissait d’un Trojan-maître chanteur, cependant son principe de fonctionnement est très différent de Gpcode et JuNy. L’auteur du Trojan n’a pas chiffré les données de l’utilisateur. Il a utilisé une méthode beaucoup plus expéditive en modifiant le registre système de Windows dans le but de limiter les actions de l’internaute. Ainsi, Krotten bloque l’accès à l’édition de registres et le démarrage du Gestionnaire des Tâches (Task Manager) :

    • bloque la fermeture des fenêtres du navigateur ;
    • bloque l’accès aux configurations des fichiers et dossiers ;
    • modifie le contenu du menu « Démarrer » ;
    • bloque le lancement de la ligne de commande DOS et d’autres actions.

    Il est évident que lors de telles modifications dans le système, le travail sur ordinateur devient vite impossible. Pour remettre en état la machine, le cyber criminel exige 25 grivna (devise ukrainienne – égale à environ 4 euros). En l’espace des quelques mois qui ont suivis, Kaspersky Lab a détecté plus de trois dizaines de variantes du Trojan en question et continuons à en recevoir de nouveaux.

    Une escalade dans la recherche d’action « rentable »

    Ce cas témoigne du fait que la technique du chantage a le vent en poupe parmi les auteurs de virus. Il s’agit là d’une tendance relativement inquiétante qui va s’accroître au cours des prochains mois. De facto nous avons à faire à un type à part entière de criminalité Internet qui est de bas étage et grossier. Les années précédentes, nous étions surtout confrontés au vol de données d’utilisateur : fichiers, numéros de cartes de crédit, mots de passe et autres. Cette info était ensuite utilisée par les criminels dans des buts bien précis. Cependant, les efforts fournis par les systèmes de banque par Internet, les systèmes de paiement en ligne et les sociétés antivirus pour lutter contre ce type de programmes de Troie font que cette menace n’est plus aussi rentable qu’avant.

    Qui plus est, une nouvelle génération d’auteurs de virus a fait son apparition sur la scène virale, génération qui ne veut pas et ne sait pas créer de programmes de Troie complexes. Les script-kiddies ont grandi et se sont mis au chantage eux aussi. Pourquoi voler des données et des mots de passe si c’est pour ne pas pouvoir s’en servir par la suite? C’est pourquoi ils choisissent une méthode plus simple et brutale – l’extorsion de fonds.

    Vulnérabilité 0-Day : « the » problème ?

    Les vulnérabilités critiques dans le système d’exploitation Windows s’accompagnent inévitablement d’une hausse de l’activité virale, et parfois d’épidémies virales. C’est ce qui s’est passé en août 2003 lorsque Lovesan a exploité la faille dans le service RPC DCOM et en avril 2004 lorsque l’auteur de Sasser a infecté quelques dizaines de millions d’ordinateurs de par le monde via la vulnérabilité dans le service LSASS. Et c’est ce qui s’est passé cette année avec la faille MS05-039 dans le service Plug’n’Play. Il s’agit de vulnérabilités au niveau du système, elles permettent de s’infiltrer directement depuis l’extérieur par les ports. Il existe encore un composant Windows qui est directement responsable d’un très grand nombre d’infections. Nous voulons parler du navigateur Internet Explorer. La quantité de brèches détectées se compte déjà par dizaines. Les plus dangereuses permettent aux cybers criminels de mettre en place sur votre ordinateur n’importe quel fichier lors d’une simple visite d’un site infecté par l’utilisateur. Exploit.HTML.Mht, Trojan-Downloader.JS/VBS.Psyme, IframeBof et encore quelques vulnérabilités s’avère être la cause principale d’infection d’ordinateurs à l’heure actuelle.

    Heureusement, jusqu’à présent, nous avons réussi à éviter les situations dans lesquelles un exploit de vulnérabilité perçait dans le réseau Internet et contre lequel il n’y avait pas encore de patch. Dans l’environnement des spécialistes de la sécurité, de tels exploits s’appellent « 0-day ». Avec les virus qui exploitent des vulnérabilités déjà connues, le problème peut être réglé facilement par la mise en place de patch Microsoft. Or les virus « 0-day » se caractérisent par le fait que des patchs correctifs ne sont pas encore disponibles. Microsoft a jusqu’à présent réussi à contrôler ce processus grâce à sa collaboration avec des sociétés spécialisées dans l’identification de vulnérabilités. Malgré le fait que depuis le moment de la détection de certaines failles jusqu’au moment de leur correction, il s’est parfois passé plusieurs mois, cette information a réussie à être maintenue secrète et elle n’était connue que d’un groupe restreint de personnes.

    Cependant, la fin 2005 a été une période charnière pour les exploits 0-Day. Deux failles critiques dans Windows, détectées à un mois d’intervalle, étaient ébruités avant même que des correctifs soient édités. Dans les deux cas, les failles étaient utilisées pour la diffusion de programmes malicieux.

    Le 21 novembre 2005, un groupe britannique de chercheurs du nom étrange de « Computer Terrorism » a publié un exploit Proof of Concept contre la version la plus récemment mise à jour d’Internet Explorer. La brèche résidait dans l’exécution de la fonction « window » de javascript. Cette brèche était déjà annoncée en mai 2005 (http://secunia.com/advisories/15546/) et pourtant, aucun des spécialistes de Microsoft ne pouvaient trouver de méthodes pour l’utiliser dans un but malicieux et l’ont considéré comme non critique. En conséquence de quoi, le patch correcteur a été reporté pendant de longs mois.

    Les membres de “Computer Terrorism” ont su se débrouiller mieux que Microsoft avec cette vulnérabilité. Leur PoC, après une légère mise au point, a permis d’installer dans le système un fichier et de l’exécuter à l’issu de l’utilisateur.

    Ca n’a pris que quelques semaines aux auteurs de virus pour commencer à diffuser sur des sites Internet le code malicieux de l’exploit. Nous avons détecté quelques programmes de Troie se diffusant de cette manière. Le seul moyen de lutter contre cette brèche est la déconnexion complète de Java Script dans Internet Explorer, mais un nombre très réduit d’utilisateurs utilise cette méthode. Quelques dizaines (voire des centaines) de millions de personnes dans le monde entier se sont retrouvés désarmés face à ce type de Trojans. C’est la première fois que des chevaux de Troie exploitaient une faille dans Windows et qu’il n’y avait pas encore de patch Microsoft.

    Il semble que c’est le type de situation dans laquelle Microsoft aurait du concentrer tous ses efforts pour résoudre le problème le plus rapidement possible. D’autant que cette société se positionne ces derniers temps comme un des leaders de la lutte antivirale, édite des solutions antivirus et lutte contre les cybers criminels en portant plainte auprès des tribunaux. Or dans le cas présent, le comportement de Microsoft est pour le moins étrange. Ses représentants ont déclaré que malgré le caractère critique du problème, ils n’avaient pas l’intention d’éditer un patch en urgence. (Depuis 2004, Microsoft a pris l’habitude d’éditer chaque mois des mises à jour – ces dernières sont publiées tous les deuxièmes mardi du mois. Cette fois là la sortie du patch était prévue pour le 13 décembre et MS n’a pas eu l’intention de bousculer les délais établis).

    A quoi joue Microsoft ?

    Nous ne savons ce qui a motivé une telle décision. Nous refusons de croire que les spécialistes de Microsoft ne pouvaient faire le patch rapidement afin de gagner du temps. Nous refusons de penser que pour des raisons de formalités du type « patchs une fois par mois », Microsoft ait laissé ses utilisateurs sans protection. Nous constatons seulement un fait : trois semaines se sont écoulées depuis la publication du PoC. Six mois se sont écoulés depuis la première information sur cette brèche. Pendant tout ce temps, chacun des utilisateurs de IE aurait pu être infecté (et il y a eu des cas) par la faute de Microsoft. C’est un fait criant et on aurait pu le considérer comme isolé si la même situation ne s’était pas répétée deux semaines après et cette fois, de manière beaucoup plus sérieuse.

    Le 26 décembre, quelques sociétés antivirus ont reçu de leurs utilisateurs, agents, et systèmes de recherche automatique et de collecte de fichiers suspects, quelques fichiers WMF mystérieux. Leur analyse a montré qu’ils contenaient un code exécutable conçu pour télécharger des fichiers depuis différents sites, connus pour diffuser des programmes d’adware/spyware. Le code malicieux est exécuté lors de l’ouverture de fichiers WMF ainsi que lors d’autres actions comme l’ouverture d’un répertoire à l’aide de la fonction « explorer » dans lequel se trouve le fichier, lors de l’aperçu des propriétés d’un fichier et quelques autres encore. L’exécution du code est possible sur toutes les versions existantes du système d’exploitation Windows (y compris Windows 95/98) avec toutes les mises à jour installées.

    Il est apparu clairement que nous étions à nouveau confrontés à une vulnérabilité 0-Day à laquelle Microsoft ne semble pas très réactif. Le plus affligeant dans cette histoire est que, non seulement cette vulnérabilité a été mise au jour dans les cercles de cyber-criminels bien avant Microsoft mais aussi avant n’importe quelle société antivirale spécialisée dans la recherche de vulnérabilités.

    Pendant les deux jours qui ont suivis, de nombreux experts ont analysé les vulnérabilités, et les informations correspondantes ont été publiées dans des bulletins et pratiquement toutes les sociétés antivirales ont éditées des procédures de détection heuristiques des fichiers WMF dangereux. Par ailleurs un flot de nouveaux programmes de Troie prêts à exploiter la faille ont envahi la toile. En une semaine, plus de 1000 (!!!) programmes malicieux ont été identifiés. La situation menaçait de devenir ingérable – rappelons que la vulnérabilité touche tous les ordinateurs sous systèmes d’exploitation Windows toutes versions confondues, ce qui revient à des centaines de millions de machines dans le monde. On a détecté quelques vers et une série de diffusions massives de spams dans lesquels se trouvait le code malicieux de l’exploit.

    Cet évènement a heureusement coïncidé avec les vacances de fêtes d’année de nombreux pays occidentaux et des Etats-Unis. Durant cette période, le nombre d’internautes actifs sur Internet diminue fortement et plus important encore, les grosses organisations ne travaillent pas ces jours là. Ces circonstances ont sauvé de peu Internet d’un des problèmes les plus sérieux de ces dernières années.

    Et Microsoft dans tout ça me direz-vous ?

    Microsoft, pour la deuxième fois consécutive, s’est conduit de manière inattendue. Le géant de Redmond a pris une pause royale de quelques jours se limitant à l’édition d’un bulletin d’information KB 912840, qui constatait la détection de la vulnérabilité et énumérait la liste des versions Windows concernées. Puis silence radio jusqu’au 3 janvier, où Microsoft a déclaré que le patch sortirait conformément à la date prévue c’est à dire le 10 janvier lors de la mise à jour de sécurité mensuelle. Microsoft a justifié sa réaction en évoquant la nécessité de tester scrupuleusement le correctif sur toutes les versions de Windows et sur toutes les localisations. Microsoft a également tenté de positionner le problème comme « critique, mais n’ayant pas l’envergure d’une épidémie à grande échelle ».

    Le monde des acteurs luttant contre les cyber-risques et le e-crime en particulier était en fureur. C’était la deuxième fois en un mois que Microsoft se montrait incapable de régler rapidement un problème et de réagir de manière appropriée à une situation critique. Le nombre de critiques voire injures qu’a essuyé le produit de Bill Gates est pratiquement similaire au nombre de fichiers wmf malicieux détectés. Simultanément, il y a eu une fuite des versions beta du patch de Microsoft pour Windows XP. Ce dernier a été publié sur plusieurs sites accompagné d’un correctif officieux créé par Ilfak Guilfanov, (auteur du programme IDA), ce qui était le seul moyen de résoudre le problème sans attendre le patch officiel.

    Finalement, sous une pluie de critiques, Microsoft a publié sans plus attendre le bulletin de sécurité MS06-001 corrigeant la faille des fichiers wmf le 06 janvier.

    Une vulnérabilité détectée par les représentants de l’informatique « underground » qui l’exploitait pour….4000 dollars !

    L’enquête que nous avons menée nous donne le schéma suivant. Il semble que la faille ait été détectée par un auteur inconnu aux alentours du 1er décembre 2005. Puis il lui a fallu quelques jours pour créer un exploit, permettant d’exécuter le code arbitraire dans le système. Vers mi-décembre, des propositions de vente de l’exploit en question commencent à apparaître sur quelques sites spécialisés. Apparemment, la vente de cet exploit était assurée par 2-3 groupes de pirates concurrents en Russie. Le plus intéressant est que les vendeurs eux-mêmes ne connaissaient apparemment pas la nature de cette brèche. L’exploit était proposé à 4000 dollars US. Un des premiers acheteurs s’avère être les représentants d’une affaire criminelle de adwarespyware. Ils sont de facto les responsables de la fuite de l’exploit dans le réseau.

    Nous ne savons pas exactement qui est le premier à avoir découvert cette vulnérabilité, nous connaissons uniquement les personnes impliquées dans la diffusion de l’exploit et de ses modifications. Ces données nous expliquent pourquoi la vulnérabilité n’a pas été pas vendue aux sociétés dédiées aux recherches de vulnérabilités telles qu’eEye ou iDefence. Premièrement, ces personnes ne connaissent pas très bien les principes de base des vulnérabilités, deuxièmement, ils étaient depuis le début orientés vers la vente d’exploit à des cyber-criminels, et troisièmement, les messages concernant la vente de l’exploit ne sont pas tombés dans le champ de vision des sociétés d’enquête étant donné que, comme nous l’avons déjà fait remarquer, l’exploit était proposé sur le marché noir russe.

    Les nouvelles tendances dans le secteur des mobiles

    En règle générale, au quatrième trimestre 2005, la situation avec les virus pour téléphones mobiles est restée stable. Le flux de nouveaux programmes de Troie a augmenté de manière équilibrée et correspond à nos prévisions. Nombreuses sont les tendances de développement des programmes malicieux pour smartphones, répertoriées dans une analyse de septembre à s’être confirmées. En premier lieu, cela s’est vu avec l’apparition du premier programme destiné à dérober les données des utilisateurs. Le trojan Pbstealer obtient l’accès au carnet d’adresses du téléphone infecté et l’envoie via Bluetooth vers le premier appareil accessible. La population de Trojans à action double a fortement augmenté – infection simultanée du téléphone mais aussi du PC connecté à ce téléphone.

    Sans parler des chevaux de Troie vandales qui représentent la plus grande majorité des programmes malicieux pour smartphones. Désormais, à leur actif, en plus des dégâts sur les systèmes de fichiers via leur substitution avec des copies inactives ou la suppression d’information, est apparu le blocage de données. La famille de Trojans Cardblock met en place un code d’accès vers la carte amovible de mémoire du téléphone et en cas de suppression du virus du téléphone, l’accès à ces données devient impossible. Il est clair que l’étape suivante peut être le chiffrement des données et la demande de rançon en échange des données déchiffrées (situation analogue avec les trojans Gpcode ou Krotten sur les ordinateurs).

    L’autre surprise désagréable de ce dernier trimestre est l’épidémie par virus mobile passée du statut de théorie futuriste (voire fantaisiste) à la dure réalité. Nous avons commencé les ventes d’antivirus pour téléphones mobiles en Russie et dans les républiques de l’ancienne URSS et nous avons reçu immédiatement une masse de cas confirmé d’infection que nous ne pouvions que soupçonner via nos propres expérimentations en pêchant des virus dans la « nature ». Dans la majorité des cas, il s’agit de ce bon vieux Cabir se diffusant via Bluetooth et qui est détecté dans plus d’une trentaine de pays. Il est évident qu’en cas d’apparition de nouveau ver mobile à comportement analogue, nous serons les témoins d’une autre épidémie mondiale.

    Un des facteurs inquiétants est que la majorité des nouveaux programmes malicieux vient des régions asiatiques, Chine et Corée du Sud en priorité. La population compacte de ces pays ainsi que le haut niveau d’informatisation et de téléphonie s’avère être un facteur aggravant la possibilité d’un début d’épidémie de masse de virus mobiles dans cette région du monde. Il ne faut pas oublier que la Thailande, la Malaisie et l’Indonésie sont des centres mondiaux du tourisme, ce qui signifie que la moindre épidémie sortira immédiatement des limites de la région via la diffusion du virus sur les téléphones des touristes.

    Les consoles de jeux – nouvelle plateforme pour virus ?

    Début octobre 2005, nous avons été témoin d’un phénomène rare dans l’évolution virale. Les programmes malicieux se sont essayés à une nouvelle plateforme et nous obligent à se pencher sur les perspectives du développement des appareils numériques.

    Les virus s’en sont pris aux consoles de jeu ! Il était impensable d’imaginer un tel retournement il y a encore quelques années, et les quelques pronostiques concernant l’apparition des virus infectant des micro-ondes ou des frigidaires, ont toujours fait rire le public de masse. Une fois de plus, la réalité a confirmé les prévisions les plus pessimistes.

    La première victime est la console de jeux PlayStation Portable de la société Sony. Publié sur un bon nombre de sites sous forme de jeux, le Trojan supprime les systèmes de fichiers sur l’appareil le mettant hors service ce qui revient au même comportement que les Trojans sur les téléphones mobiles. Quelques jours plus tard, deux Trojans attaquant une autre plateforme de jeu – Nintendo DS – étaient détectés. Dans tous les cas, étaient soumis au risque d’infection non pas les appareils standards mais les « corrompus », c’est-à-dire ceux qui permettent de télécharger des copies pirates. De telles consoles corrompues sont très populaires à cause du prix élevé des jeux licenciés. Il existe également une grande quantité de groupes de pirates spécialisés dans la corruption et la copie de jeux pour consoles.

    On peut décrire la situation donnée avec trois principes de base qui, s’ils sont réunis, favorisent l’apparition de virus pour un système donné:

    1. La popularité du système. Le marché des consoles de jeux et des jeux est en plein boom, et est devenu depuis longtemps un standard de l’industrie du jeu.
      Des dizaines de millions de personnes utilisent des consoles de par le monde.

    2. La large documentation des plateformes. Malgré le fait que les éditeurs principaux de consoles de jeux soient au nombre de trois (Sony, Nintendo, Microsoft) – la structure interne de chaque plateforme existante est étudiée de manière approfondie par les nombreux groupes de hackers ce qui assure de jolis bénéfices apportés par la vente de copies pirates de jeux pour consoles. L’information sur comment corrompre une console pullulent sur les sites et forums spécialisés.
    3. La présence de vulnérabilités. La vulnérabilité principale est la possibilité pour l’utilisateur d’obtenir l’accès aux systèmes de fichiers de l’appareil. Comme c’est bien connu, le virus peut faire tout ce que peut faire l’utilisateur.

    Ces trois facteurs réunis ont conduit à l’apparition de programmes de Troie. Et malgré le fait que dernièrement nous n’ayons pas détecté de nouveaux programmes malicieux pour cette plateforme, leur possible apparition est en elle-même un facteur très important. La porte est entrouverte et les auteurs malicieux ne vont pas manquer de s’y engouffrer.

    Des vulnérabilités étendues à tous types d’appareils

    Plus important encore s’avère être la tendance commune à créer de nouvelles classes d’appareils capables de se regrouper en réseau, d’avoir une sortie Internet, et d’être gérer depuis un point unique. Si auparavant, seuls les ordinateurs (y compris de poche) et les téléphones appartenaient à cette catégorie, désormais on observe un sursaut dans le développement de cette technologie. « Connecter au réseau tout ce qu’on peut et donner à l’utilisateur la possibilité de tout gérer à distance » – voila la devise principal de ce courant. Les consoles de jeux, les appareils ménagers, « les maisons intelligentes » – tout s’interconnecte et en général cela se fait via les technologies sans fil (WiFi, Bluetooth, IrDA). De cette façon, le nombre de risques lors de l’utilisation de ces technologies augmente de façon très dangereuse. Tous les appareils possèderont des vulnérabilités, tous ces appareils seront la cible d’attaques de hackers. Rajoutez à cela les sempiternels problèmes de sécurité des réseaux sans fil et vous obtenez un tableau très pessimiste qui plus est pour un futur très proche. Un tableau pour lequel les solutions antivirus traditionnelles ne seront d’aucun secours.

    Le Rootkit de Sony

    C’est l’histoire d’un chercheur indépendant, Mark Russinovich, qui a détecté le rootkit dans le module DRM des disques musicaux de la société Sony. C’est une histoire relativement célèbre puisqu’elle a fait l’objet d’un très grand nombre d’articles, et Sony fait maintenant face à des actions en justice. Il ne fait aucun doute que ce cas, avec les failles de Windows, n’est pas seulement un des évènements les plus importants dans l’industrie sécurité informatique du 4ème trimestre 2005 mais un des thèmes principaux de cette année en général.

    Nous n’allons pas répéter les faits ici en intégralité et donner une chronologie détaillée des évènements. Nous sommes persuadés que nos lecteurs connaissent suffisamment le sujet en question. Essayons plutôt d’analyser l’incident et d’en tirer des conclusions.

    Ainsi, « grâce » à la société Sony, quelques centaines de milliers d’ordinateurs dans le monde se sont retrouvés équipés d’outils de masquages de fichiers et d’opérations dans le système. De fait, cela voulait dire que n’importe quel fichier dont le nom commençait par «$sys$» devenait invisible pour les moyens standards. Il est clair qu’un tel fonctionnel présente de nombreux risques et peut être facilement détourné par des programmes malicieux pour se camoufler dans le système.

    Et c’est justement ce qui s’est passé dès que l’information concernant une telle possibilité est apparue au grand jour. Quelques jours après la publication dans le blog de Russinovitch de l’info sur les rootkits, nous avons détecté une backdoor (porte dérobée) s’installant dans le système sous le nom de $sys$. Il s’agit de Backdoor.Win32.Breplibot.b.

    (Les premiers à détecter cette backdoor sont nos collègues du laboratoire de Trend Micro, nous avons été les premiers à la classifier, et à juste titre, de nouvelle variante de Breplibot.)

    Une telle tactique d’approche a été utilisée par d’autres virus ce qui n’est pas étonnant compte tenu du nombre potentiel gigantesque de machines vulnérables ainsi que des problèmes de certains programmes antivirus à détecter les rootkits.

    De fait, il s’agit là d’un des plus gros incidents de l’histoire lorsque nous, chercheurs de Kaspersky Lab, nous nous sommes heurtés au fait que le « coupable » d’activité viral était une société extérieure et non Microsoft. Jusqu’àlors les auteurs de virus s’orientent vers Windows. Sony est devenue une nouvelle cible d’attaques. C’est justement ce fait qui nous semble très important. Il existe une claire différenciation de vecteur d’attaques. L’attention accrue vers la recherche de vulnérabilités dans les produits pas seulement de Microsoft comme le démontre ces deux dernières années devait amener au fait que les fruits de ces recherches soient utilisées à un moment ou à un autre par les cyber-criminels. Nous nous attendions à un tel changement de tendance, toutefois nous supposions que l’objet des attaques seraient plus les vulnérabilités dans les produits antivirus et/ou les appareils de réseau de la société Cisco (plus exactement le système d’exploitation IOS). D’ailleurs il n’est pas exclu que dans le cas de Sony, le fait que la vulnérabilité était très simple d’utilisation et qu’elle était hautement médiatisée, ait joué un rôle très important.

    Les conclusions de Kaspersky Lab :

    • L’utilisation de technologies pirates (rootkit) n’est pas considérée comme inacceptable d’un point de vue moral et technique de la part de sociétés éditrices de logiciels. Après que les rootkit aient été employés dans certains AdWare, ils ont fini par être considérés dans l’environnement informatique comme une façon acceptable de protéger ses programmes. Concernant le fait que cette technologie ait un aspect moral très discutable et qu’elle peut être utilisée dans des buts malicieux – les auteurs de ces programmes l’oublient.
    • Le faible niveau de connaissance en programmation des spécialistes de grosses sociétés éditrices de logiciels. Nous ne parlons pas seulement du fait que la quantité de failles dans les programmes actuels a dépassé tous les limites. Nous parlons du fait que bien souvent la plupart d’entre eux ne savent pas écrire ce qu’ils entreprennent. Comme exemple la façon dont les programmeurs de First4Internet (société qui a créé le rootkit à la demande de Sony), il y a un an, ils cherchaient des informations concernant la possibilité de masquer des fichiers dans le système – c’est plus qu’un indice. Et d’un point de vue technique on n’a aucune envie d’évaluer le rootkit de leur fabrication.
    • Microsoft et son Windows ne sont plus les seuls responsables d’épidémies virales. Cette faute pend désormais au-dessus de la tête de chaque société dont les programmes à succès contiennent des vulnérabilités ou des fonctions cachées. Dorénavant, chacune de ces vulnérabilités peut devenir l’objet d’une attaque virale.
    • Les auteurs de virus passent de la tactique de la chasse aux vulnérabilités de Windows et de l’utilisation post-factum à une tactique proactive de recherche de vulnérabilités dans Windows et de vulnérabilités de sociétés tierces. Cette conclusion généralise l’histoire de Sony et de rootkit et la vulnérabilité dans le traitement des fichiers WMF dans Windows.
    • Les sociétés antivirus vont se heurter de plus en plus à la situation suivante : lorsque les intérêts des utilisateurs concernant leur protection peuvent aller à l’encontre des intérêts des sociétés importantes de software, employant des technologies à risque. Il est clair que la protection des utilisateurs est prioritaire et dicte la nécessité de détecter et supprimer les rootkit des systèmes. D’un autre coté, les sociétés éditrices n’ont pas de buts criminels et tentent seulement de protéger leur programme. Aussi, il est nécessaire de développer une solution mixte pour régler le problème dans son ensemble, aussi bien pour la communauté antivirus que pour les sociétés éditrices de logiciels.

    Posts similaires

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *