Programmes malveillants pour UNIX et systèmes d’exploitation apparentés

Les possibilités d’écriture de programmes malveillants pour Linux ne sont pas moindres que pour Windows. A l’avenir, la situation pour les plateformes Linux pourra s’avérer tout aussi dangereuse que sur les environnements Windows.

  1. Evolution des programmes malveillants en 2006
  2. Programmes malveillants pour UNIX et systèmes d’exploitation apparentés
  3. Les virus mobiles en 2006
  4. Bilan des Attaques Internet 2006
  5. Courrier indésirable en 2006

Introduction

Dans le monde informatique actuel, la multitude des systèmes d’exploitation existants peut être regroupée en deux catégories principales en dépit de leurs diversités : le système d’exploitation de Microsoft et les systèmes d’exploitation apparentés à Unix. Ce document est un panorama des virus et autres codes malicieux créés pour les systèmes d’exploitation Unix et apparentés.

Le système d’exploitation le plus populaire dans cette famille est sans conteste Linux. Linux demeure la principale alternative à Windows mais il est surtout utilisé sur des serveurs. S’agissant des postes de travail, Linux (et le reste des systèmes d’exploitation apparentés à Unix) ne connaît les faveurs que des passionnés et des professionnels. Les auteurs de virus et les cyber-criminels ne portent que peu d’intérêt à Linux car ce système d’exploitation, d’une part, n’est pas très répandu et d’autre part, il n’est pas « rentable » de développer une activité criminelle dans ces conditions. C’est la raison pour laquelle la majeure partie des programmes malveillants en 2006 était soit des développements conceptuels et des codes d’exploitation mettant en évidence de nouvelles vulnérabilités, soit des versions recompilées de programmes connus.

L’apparition de nouveaux programmes malveillants est un phénomène rare. Parallèlement à cela, il faut savoir que le nombre de vulnérabilités identifiées dans les programmes tournant sous Unix et Linux, de même que dans le cœur du système d’exploitation en lui-même, n’est pas inférieur à celui des failles mises à jour dans les programmes tournant sous Windows. Autrement dit, les utilisateurs d’UNIX seront relativement à l’abri tant que la popularité du système d’exploitation restera trop modeste pour susciter l’intérêt des individus mal intentionnés. Bien évidemment, les éditeurs de logiciel déploient tous les efforts nécessaires pour éliminer ces vulnérabilités le plus vite possible. D’autres diffusent des mises à jour mais celles-ci doivent être installées, tâche qui incombe aux utilisateurs qui sont loin de toujours prendre les mesures requises.

Bilan de l’année 2006

Le flux de programmes malveillants ne cessent d’augmenter année après année mais cette situation ne s’applique pas vraiment aux programmes malveillants pour Unix. Leur nombre a toujours représenté une infime partie du nombre total de programmes malveillants et 2006 s’est soldée par un recul sensible du nombre de programmes malveillants pour Unix par rapport aux années précédentes.

En 2005, Kaspersky Lab avait adopté la méthode suivante pour établir les statistiques relatives aux programmes malveillants pour Unix et les systèmes d’exploitation apparentés : les statistiques reposaient sur les bases antivirales et le nombre de nouveaux programmes malveillants correspondait au nombre d’enregistrements dans la base. Autrement dit lorsqu’il y avait deux (ou plusieurs) modifications légèrement différentes d’un programme malveillant, elles tombaient toutes dans la catégorie des nouveaux programmes malveillants.

La méthode appliquée en 2006 pour réaliser le décompte des programmes malveillants est différente : seuls les programmes qui ne sont pas des modifications de programmes existants déjà dans la base sont considérés comme des nouveaux programmes malveillants.

L’introduction de cette nouvelle méthode a entraîné un recul de 43% du nombre de programmes malveillants pour UNIX et les systèmes apparentés en 2006.

Répartition des programmes malveillants en fonction des divers systèmes d’exploitation UNIX

La réduction du nombre de fichiers malveillants pour les systèmes Unix est encore plus visible si on la place dans le contexte du flux global de programmes malveillants qui a augmenté de 41% l’année dernière. Il s’agit pour la plupart de programmes malveillants pour Windows et la part relative pour Unix semble encore plus réduite. Cette situation peut s’expliquer uniquement par la popularité réduite d’Unix auprès des utilisateurs communs.

La popularité de Linux par rapport aux autres versions d’Unix est confirmée par le fait que la majorité des programmes malveillants visent précisément cette plateforme. Ceci étant dit, un grand nombre de programmes malveillants peut être transféré sans grandes difficultés sur d’autres Unix, y compris OS X.


Nombre de programmes malveillants pour les plateformes Unix
Source : Kaspersky Lab 2007

Répartition des programmes malveillants selon les diverses plateformes UNIX en 2006
Source : Kaspersky Lab 2007

La principale nouveauté de 2006 par rapport aux autres années est l’émergence de la catégorie « OS X » pour les programmes malveillants touchant les systèmes apparentés à UNIX. OS X est un système d’exploitation relativement récent (la première version remonte à 2001.) avec un grand héritage (Mach et FreeBSD) mais la transition opérée par Apple vers les processeurs x86 a fortement renforcé sa popularité. Kaspersky Lab a également ajouté OS X en tant que plateforme pour sa qualification des programmes malveillants en 2006.

Et même si à l’heure actuelle la part des programmes malveillants pour OS X ne représente que 4%, la popularité de ce système d’exploitation ne cesse de s’affirmer et il est probable qu’OS X va grappiller des pourcentages de popularité au détriment des autres systèmes UNIX, y compris Linux.

La tendance à la réduction du nombre de nouveaux programmes malveillants pour UNIX devrait se maintenir jusqu’à ce que les systèmes Unix soient plus fréquemment utilisés sur les ordinateurs des particuliers. Pour l’instant, les auteurs de virus et les autres cyber-criminels ne voient aucun intérêt dans la création de tels programmes malveillants : le nombre restreint d’utilisateurs Unix ne permet pas de gagner beaucoup d’argent. C’est pour cette raison également que la recherche de vulnérabilité dans les systèmes Unix est une activité pratiquée principalement par les professionnels de la sécurité informatique.

Le projet « the Month of Kernel Bug » (MoKB) a été lancé en novembre 2006. Il s’agit d’une initiative qui vise à identifier et à publier les vulnérabilités dans les noyaux des divers systèmes d’exploitation. Sur la base des résultats du mois de novembre, Linux occupe toujours la première position en termes de vulnérabilités identifiées avec 11 vulnérabilités, contre 10 pour OS X. On retrouve également FeeBSD, Sun OS, Microsoft et des éditeurs de pilotes dans cette liste.

Vu le nombre de problèmes découverts dans le noyau même de Linux et dans les applications développées pour ce système, il est évident que les possibilités d’écriture de programmes malveillants pour Linux ne sont pas moindres que pour Windows et à l’avenir, la situation pour les plateformes Linux pourra être tout aussi dangereuse que pour Windows.

Répartitions des comportements des programmes malveillants pour Unix

Les statistiques permettent de voir qu’au cours des trois dernières années, la quantité globale de programmes n’a pas vraiment évolué.


Répartition des comportements des programmes malveillants pour Unix
Source : Kaspersky Lab 2007

A l’instar des années précédentes, les codes d’exploitation et les portes dérobées représentent la majorité des programmes malveillants. La catégorie « hacktool » occupe la troisième position dans la liste des programmes malveillants les plus populaires sous UNIX. Les vers, les chevaux de Troie et les outils de dissimulation d’activité forment un groupe plus important que « hacktool » Dans l’ensemble, cette situation se répète année après année et il n’y a rien de particulier dans cette répartition.

L’existence d’une catégorie particulière pour les portes dérobées s’explique par les particularités de l’utilisation des ordinateurs Unix : Unix est utilisé principalement dans divers serveurs. Ces serveurs, en règle générale, offrent un accès à distance et d’autres services de réseau. Une porte dérobée installée, avec les privilèges root, sur une machine permet de prendre les commandes de la machine et d’accéder aux ressources du réseau. De plus, la machine infectée peut servir à lancer des attaques contre d’autres ordinateurs, à diffuser du courrier indésirable ou à réaliser d’autres tâches.

Les codes d’exploitation et les utilitaires d’attaque peuvent être utilisés à fins malveillantes pour réaliser des attaques ou à des fins louables pour identifier des vulnérabilités. Ainsi, les Metasploit peuvent être utilisés par les spécialistes de la sécurité informatique pour la recherche de vulnérabilités ou par des pirates informatiques. L’utilitaire de réseau netcat peut remplir les fonctions de porte dérobée et s’exécuter sur la machine infectée afin d’offrir un accès à distance.

Bien que la majorité des programmes malveillants pour Unix existent sous leur forme d’origine, certains d’entre eux ont connu une évolution : les nouvelles versions se distinguent légèrement des versions précédentes et parfois la seule différence du code binaire est due à la modification des options de configuration du compilateur.

A l’instar de ce qui se passe dans le monde Windows, les virus sous Unix deviennent de plus en plus rares. Les virus ne figurent pas parmi les comportements de programmes malveillants pour Unix du graphique 3 car le seul virus pour Unix découvert en 2006 fut Virus.Multi.Bi.

Comme l’indique le nom, le virus a la plateforme Multi, ce qui signifie qu’il a été conçu pour quelques plateformes : Virus.Multi.Bi infecte les fichiers exécutables au format PE et Elf. Il s’agit d’un virus non-résident assez simple (il infecte uniquement les fichiers du répertoire courant) écrit sur un assembleur. Ce virus n’est pas le premier virus inter-plateforme pour Windows-Linux mais le nombre de programmes malveillants de cette catégorie ne dépasse pas la dizaine.


Fenêtre affichée au lancement du Dropper Bi sous Windows

A l’heure actuelle, les réseaux modernes présentent une grande variété de systèmes qui exploitent diverses plateformes et systèmes d’exploitation. C’est la raison pour laquelle les auteurs de virus tentent de plus en plus souvent de développer des codes malveillants capables de fonctionner sur diverses plateformes. Il se peut que le programme malveillant inter-plateforme ne devienne pas un phénomène courant, mais toutes les tentatives de création d’un tel programme indiquent que le développement de programmes malveillants suit cette direction. Cela est rendu possible par l’utilisation de divers langages de script qui permettent de créer un code unique fonctionne dans divers systèmes d’exploitation (cela étant dit, le système doit posséder l’interprète adéquat).

Comme nous l’avons signalé ci-dessus, les caractéristiques des programmes malveillants dépendent avant tout de l’utilisation de la plateforme : ordinateur familial, poste de travail ou serveur. Les divers intérêts des utilisateurs ont immanquablement un impact sur la composition des familles de programmes malveillants. Si Linux devenait tout à coup populaire sur les ordinateurs des utilisateurs, les cyber-criminels concentreraient leurs efforts sans aucun doute sur cette plateforme.

OS X, une plateforme prometteuse

Depuis la transition vers l’architecture x86, OS X est certainement devenue une plateforme plus populaire. De plus en plus de personnes considèrent Mac OS X comme une alternative acceptable à Windows, et à Linux également. L’élégance de l’interface et la stabilité du système ont déjà conquis un nouveau public. Les personnes qui étudient la sécurité de cette plateforme sont attirées par sa relative jeunesse : le fanatique de code marquera toujours un intérêt plus grand pour les nouvelles plateformes et technologies.

Toutefois, le début prometteur de l’année ne s’est pas concrétisé : la transition vers l’architecture x86 ne s’est pas traduite par une augmentation significative du nombre d’utilisateurs d’OS X. Par conséquent, OS X ne représente pas encore un intérêt commercial pour les cyber-criminels. Il n’empêche que quelques programmes malveillants conceptuels pour ce système d’exploitation ont fait parler d’eux.

Le premier d’entre eux, IM-Worm.OSX.Leap, est apparu en février. Ce ver se diffuse via iChat, le client de messagerie instantanée d’OS X, en envoyant sa copie à l’ensemble des contacts.


Fenêtre qui s’affiche au lancement d’IM-Worm.OSX.Leap

Worm.OSX.Inqtana, un autre ver est apparu presqu’en même temps que Leap. Inqtana est en ver écrit en Java. Il se diffuse via Bluetooth en utilisant l’ancienne vulnérabilité CVE-2005-1333 publiée en mai 2005.

L’histoire d’Inqtana a reçu une suite vers la fin de l’année. Le ver Worm.OSX.Niqtana est une variation sur le même thème : il se propage également via Bluetooth mais il utilise une autre vulnérabilité : CVE-2005-0716 pour OS X 10.3.x et CVE-2006-1471 pour 10.4.x.

L’apparition au début du mois de novembre du nouveau concept Virus.OSX.Macarena pour OS X illustre les nouvelles possibilités dans ce domaine. Macarena est la première tentative de création d’un virus pour Mac OS X qui infecte les fichiers exécutables au format mach-o. Le virus infecte uniquement les fichiers du répertoire actuel et uniquement sur la plateforme Intel. Autrement dit, il ne représente aucun danger pour l’architecture ppc.

Ces programmes malveillants sont uniquement des concepts. Ils démontrent la possibilité de créer des programmes de ce genre et il faut s’attendre à ce qu’ils soient mis en liberté à l’avenir. Et à ce moment, les utilisateurs d’OS X, et les développeurs, devront prêter plus attention à la problématique de la sécurité.Bien que ces programmes malveillants ne soient pas en circulation, leur simple apparition a entraîné une réduction du nombre d’utilisateurs qui pensaient que Macintosh était plus sûr que Windows.

Conclusions et pronostics

Du point de vue de la communauté Unix, l’année 2006 aura été dans l’ensemble relativement calme en matière d’activité malveillante. Aucune épidémie ou incident grave n’a été enregistré.

Cela ne signifie pas que les utilisateurs d’Unix peuvent ignorer les problèmes de sécurité. Unix et les systèmes apparentés ne sont pas logés à meilleure enseigne que Windows en matière de possibilité de création de programmes malveillants. Les éditeurs de logiciels diffusent régulièrement des mises à jour qui suppriment des vulnérabilités dans leurs logiciels mais c’est aux utilisateurs qu’il incombe de les installer et de les configurer correctement.

D’une certaine manière, 2006 a été placée sous le signe de l’attente de l’introduction généralisée de certaines nouvelles technologies telles que Mac OS X pour x86 et les processeurs 64 bits. Ces technologies n’ont pas encore révolutionné le monde mais ces changements vont se produire. Les individus mal intentionnés et les spécialistes de la sécurité informatique se préparent à de tels bouleversements.

Au niveau des pronostics, nous pouvons avancer les points suivants :

  • Mac OS X demeure le système d’exploitation le plus prometteur et il est possible qu’une partie des utilisateurs de Windows et de Linux adoptent Mac OS X en 2007.
  • Nous pouvons supposer que l’apparition de Linux dans divers équipements, qu’il s’agisse de téléphones mobiles, d’ordinateurs de bord ou de consoles de jeu comme la PS3 s’accompagnera de l’émergence de programmes malveillants visant les utilisateurs de ces appareils.
  • La possibilité d’infecter diverses plateformes va peut-être également se développer car le premier objectif des individus mal intentionnés est de toucher un maximum d’utilisateurs.
  • Les nouveaux moyens de diffusion de programmes malveillants utilisés par les technologies modernes telles que bluetooth, wi-fi ou skype vont se généraliser.

Les nouvelles technologies ne sont pas figées et leur introduction offre de nouvelles possibilités au niveau de leur application, notamment à des fins illicites. L’idéal serait bien évidemment que la réduction enregistrée en 2006 pour les programmes malveillants sous UNIX et les systèmes d’exploitation apparentés se maintiennent à l’avenir mais non pas à cause d’un recul de la popularité d’UNIX.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *