La mise à jour de l’antivirus – pourquoi est-ce si important?

Les menaces électroniques se propagent plus rapidement et plus sérieusement qu’avant. Auparavant, les virus se déplaçaient en fonction de la vitesse et de l’activité de l’utilisateur. Les virus d’amorçage reposaient sur l’échange de disquettes pour se propager. Les choses ont radicalement changé lorsque les virus macros sont apparus en 1995 puisqu’ils étaient capables de « s’accrocher » à tous les emails envoyés par l’utilisateur infecté. Il a quand même fallu attendre les vers pour changer le paysage viral. Et les solutions de mise à jour antivirus sont devenus critiques après l’arrivée des vers.

Melissa, apparue en mars 1999, a marqué un bond en avant en termes de vitesse d’infection. Contrairement aux macros virus, qui attendait que l’utilisateur envoie les données infectées, Melissa détournait le système de messagerie pour se propager de façon pro-active. Il suffisait juste que l’utilisateur double clique sur la pièce jointe infectée. Le virus pouvait alors récolter les adresses contenues dans le répertoire de Outlook et s’envoyait à ces contacts fraîchement récoltés. Ce « mailer de masse » était capable de se diffuser plus loin et plus vite qu’aucun autre macro virus auparavant. Par conséquent, les systèmes de messagerie d’entreprise infectés ont vite débordé d’emails, et d’autres ont simplement planté sous la pression.

Il est peu surprenant que Melissa ait lancé une tendance. Depuis Mars 1999, pratiquement tous les virus et vers qui défraient la chronique dans les entreprises et chez les particuliers ont utilisé le mailing de masse. Par ailleurs, d’autres développements ont été ajoutés pour que ces menaces se propagent toujours plus rapidement.

Ces dernières années, un nombre croissant de menaces font usage d’exploits afin d’entrer dans le réseau de l’entreprise et se diffuser rapidement. De telles méthodes étaient auparavant considérés comme du piratage plutôt que de l’écriture virale. Avant, les auteurs de virus comptaient uniquement sur leur propre code pour se propager et laissaient l’utilisateur crédule faire le reste. De plus en plus, les menaces d’aujourd’hui puisent dans les possibilités offertes par les vulnérabilités présentes dans les applications et systèmes d’exploitation. Melissa fut la première menace à utiliser une faille dans une application, plongeant dans la forte capacité de diffusion offerte par Microsoft Outlook.

Cependant, ce ne fut pas avant 2001, avec l’apparition de CodeRed et Nimda, que cette activité est devenue une aubaine pour les virus et vers. CodeRed, apparu en juillet 2001 était un ver ‘sans fichier’. Le ver existait uniquement en mémoire et ne faisait aucune tentative pour infecter les machines victimes. Il utilisait une vulnérabilité de serveur ISS Microsoft (MS01-033 ‘Uncheck Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise’) pour attaquer les serveurs Windows 2000. Il se propageait via les transmissions TCP/IP sur le port 80, démarrant lui-même dans la mémoire via le dépassement de la mémoire tampon.

Nimda est apparu peu de temps après, en septembre 2001, et contrairement aux mailing de masse précédents, ne nécessitait pas l’ouverture du fichier EXE infecté à un email par l’utilisateur. Au lieu de cela, il s’est servi d’une vulnérabilité dans Internet Explorer pour démarrer automatiquement sur des systèmes vulnérables (MS01-020, ‘Incorrect MIME header can cause Outlook to execute email attachment’). Cette vulnérabilité datait de 6 mois mais de grands systèmes n’étaient toujours pas patchés et restaient vulnérables aux attaques. L’utilisation de cette vulnérabilité a permis à Nimda d’infecter des systèmes dans le monde entier en l’espace de quelques heures.

Depuis, l’utilisation d’exploits est devenue un phénomène courant. En fait certaines menaces ont évité l’utilisation de techniques virales disons ‘ traditionnelles ‘. Lovesan, Welchia et, plus récemment, Sasser sont des exemples de vers Internet purs et simples. Ils ne passent pas par l’envoi en masse de mailing, l’utilisateur n’est pas incité à ouvrir un document infecté. Au lieu de cela, ces menaces se répandent directement par Internet de machine en machine, utilisant divers systèmes de vulnérabilités.

D’autres préfèrent combiner l’exploitation de vulnérabilités à d’autres méthodes d’infection. Nimda par exemple présentait plusieurs mécanismes d’attaques. En plus du mailing de masse décrit plus haut, Nimda avait annexé un code exploit (sous forme de code java infecté) à des fichiers HTML. Si la machine infectée était un serveur, alors l’utilisateur était infecté par le Web lorsqu’ils visitaient les pages concernées. Nimda a été encore plus loin dans ces efforts pour se propager dans les réseaux d’entreprise en scannant le réseau à la recherche de ressources accessibles, et laissant ces copies à des endroits susceptibles d’être éxecuter par des utilisateurs ignorants. Sur les machines infectées, le virus transforme les lecteurs locaux en lecteurs ouverts, fournissant un accès à distance à n’importe qui doté d’une intention malicieuse. Nimda a également utilisé la brèche de sécurité ‘Web Folder Traversal’ dans Microsoft IIS (Internet Information Server) pour infecter des serveurs vulnérables en téléchargeant une copie de lui-même depuis une machine déjà infectée sur le réseau. La stratégie d’attaques multi-facettes de Nimda associée à l’exploitation de vulnérabilités, nous amène à considérer cela comme une attaque mixte.

La tendance s’est depuis accentuée. La plupart des menaces ‘ à succès ‘ d’aujourd’hui (du point de vue des auteurs bien évidemment) utilisent une panoplie de mécanismes d’attaques, et exploitent toutes les failles possibles pour contourner l’utilisateur et lancer le code automatiquement, réduisant drastiquement le ‘ délai d’obtention ‘ entre le moment ou apparaît la nouvelle menace et ou elle atteint des ‘ proportions épidémiques ‘. Les menaces sont plus rapides qu’elles ne l’ont jamais été. Si auparavant, cela prenait des semaines, voire des mois pour accomplir une diffusion, aujourd’hui les menaces n’ont besoin que de quelques heures pour se propager à un niveau mondial.

Le nombre de nouvelles menaces continue d’augmenter sévèrement, avec des centaines de nouvelles menaces par jour. Comme nous l’avons souligné plus haut, les menaces actuelles sont une liasse composée de différents types de menaces. Les auteurs de virus ont à leur disposition un ‘ menu ‘ relativement large de logiciels malveillants. A part la traditionnelle menace virale, il y a désormais les emails et les vers, les programmes de Troie et autres types de menaces. Souvent, un virus ou un ver installera une backdoor.Trojan sur le système infecté. Cela permet le contrôle à distance à l’auteur du ver ou du virus ou à n’importe qui ayant ‘loué ‘ le Trojan pour diffuser du spam à grande échelle par exemple. Ou bien le code peut inclure un Trojan downloader spécialement conçu pour faire venir des codes malicieux depuis un site à distance (pour une mise à jour de virus ou de ver éventuellement). Là encore cela peut inclure un attaque par DoS conçue pour faire tomber un site en particulier.

Avec les années, les produits antivirus sont devenus de plus en plus sophistiqués pour traiter les virus les plus compliqués, les vers et autres codes malicieux. Cela comprend des mécanismes de détection pro actifs conçus pour trouver des menaces nouvelles, inconnues, avant même qu’elles n’apparaissent dans la nature. Néanmoins les mises à jour régulières de protection antivirus sont plus importantes que jamais étant donné la rapidité avec laquelle les menaces d’aujourd’hui sont capables de se propager. C’est la raison pour laquelle les vendeurs d’antivirus ont réussi à réduire le temps d’intervalle entre les mises à jour de signatures virus. De trimestrielles, elles sont passées à mensuelles, puis hebdomadaires et finalement journalières. Kaspersky Lab fournit maintenant des définitions de virus mises à jour toutes les heures.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *