Introduction

Ces deux dernières années, l’étude des tendances en matière de nuisances constatées sur l’activité Internet en général, ainsi que dans le domaine plus particulier des logiciels nocifs, a révélé une évolution significative. Auparavant, la communauté Internet avait subi des irruptions massives et pandémiques de logiciels nocifs (fortement relayées par les médias). Cette situation a presque totalement pris fin. Vous pouvez constater dans l’état des « MENACES VIRALES ACTUELLES » publié Norman (ci contre) que la plupart des éléments répertoriés sont relativement anciens. La raison principale de cet état de fait est que, depuis ces anciens codes (toujours actifs, cependant), quasiment aucun nouveau programme nocif porteur d’un plus grand risque d’infection pour les utilisateurs n’est apparu.

Notre Bulletin sécuritaire de la semaine 11 de cette année traitait des changements constatés dans cette activité et mettait l’accent sur le rôle des médias dans l’analyse de l’évolution des menaces. L’approche de ce Bulletin sécuritaire sera différente.

Un programme nocif moins évolué implique-t-il un risque d’infection moindre ?

Il est possible de se laisser abuser par le fait que, comme les médias ne portent plus leur attention sur de fortes épidémies virales - telles que Melissa, LoveLetter, Sobig.F et autres programmes nocifs à forte propagation -, l’utilisateur occasionnel d’Internet est moins exposé aux infections des logiciels nuisibles.
Malheureusement, cela ne reflète pas du tout la situation !

Le fait que chaque pièce de code nocif soit moins fortement distribuée ne permet (évidemment ?) pas de mesurer votre exposition au code nocif d’une manière générale. C’est le volume total de code nocif « ambiant » qui détermine l’exposition. Pour savoir si vous êtes moins exposé qu’il y a quelques années, il est bien plus significatif de prêter attention au volume de code nocif en circulation qu’à quelques logiciels nuisibles particuliers.

Les fichiers de détection des virus de Norman peuvent donner quelques indications quant au volume des différentes nuisances effectivement créées. Les utilisateurs de longue date auront constaté une augmentation frappante de la taille des fichiers de définition de virus au cours des dernières années et des derniers mois. Ces derniers temps, plus d’un millier de nouvelles signatures ont été ajoutées quotidiennement, et l’ajout de plusieurs milliers de signatures n’est pas un fait exceptionnel. Les autres éditeurs de produits antivirus constatent la même croissance de leurs fichiers de signatures.

Le simple nombre de logiciels nuisibles créés ne facilite pas, pour l’industrie des antivirus et de la sécurité, la détermination du nom précis des coupables. La récente famille de vers appelés Stration par Norman a reçu des noms tels que Email-Worm.Win32.Warezov; W32/Spamta.worm de la part d’autres éditeurs de logiciels antivirus. Ceci renforce l’incapacité des médias et du grand public à déterminer avec précision la situation de la menace.

Que s’est-il passé ?

Avant d’aborder les répercussions de ce changement pour les distributeurs de logiciels de protection, et sur votre propre présence sur Internet, résumons les raisons de cette évolution de la situation des logiciels nocifs : 

• Les auteurs de logiciels nuisibles ne sont plus si souvent des « adolescents scripteurs », mais plutôt des personnes ou des organisations impliquées dans des activités criminelles et disposant de ressources plus importantes. La communauté Internet connaît actuellement une mutation : le fait de provoquer des dégâts n’est plus une fin en soi et a cédé la place à une activité nuisible motivée par l’appât du gain. 
• Une convergence se produit entre différents types de nuisances : virus, vers, rapporteurs de frappe, chevaux de Troie, espions et logiciels publicitaires. Ils sont souvent regroupés dans des « cocktails de nuisances » qu’il est difficile d’éradiquer après une infection. 
• Les auteurs de nuisances se servent souvent des vulnérabilités immédiatement exploitables des systèmes d’exploitation et des applications. Ainsi, la nuisance peut exister un certain temps sans que l’éditeur du programme vulnérable propose un remède ou une protection. 
• La vie de chaque nuisance est censée être brève. Cependant, de nouvelles variantes apparaissent à une cadence effrayante (et chacune nécessite une signature antivirus). Les auteurs emploient souvent des techniques sophistiquées pour « obscurcir » le fait qu’une nouvelle variante soit très proche d’une plus ancienne, ce qui complique la capacité des éditeurs d’antivirus à détecter une famille de nuisances d’une manière générique. 
• Les auteurs de nuisances les créent souvent en ciblant une société particulière ou un groupe de sociétés. Cela signifie qu’il est moins aisé, pour l’industrie antivirus, d’être avertie de ces types de codes nocifs et de les ajouter aux fichiers de signatures.

Le plan de protection

La situation pour la plupart des utilisateurs

Cette nouvelle situation constitue, jusqu’à un certain point, un nouveau défi pour l’industrie antivirus. La capture de la nouvelle nuisance et l’ajout des nouveaux fichiers de signatures la concernant est plus prenant que jamais.

Le besoin de logiciels de protection moins dépendants de techniques basées sur les signatures est considéré comme capital, et plusieurs éditeurs d’antivirus ont créé leurs propres outils pour accomplir cette tâche. La technologie SandBox de Norman, intégrée dans tous les produits antivirus de Norman, est l’un des outils proactifs de protection les plus évolués. Pour en savoir plus sur la technologie SandBox, cliquez ici (ouvre une fenêtre de navigation séparée).

Les utilisateurs emploient souvent plusieurs types de logiciels de protection pour être aussi largement protégés que possible. (Ils considèrent que si un logiciel de protection n’intercepte pas la nuisance, un autre le peut.)

Utilisateurs susceptibles d’être visés par des attaques spécifiques

Comme nous l’avons déjà mentionné, certaines organisations ont vu croître le nombre d’attaques à leur encontre. Si ces attaques sont effectuées à l’aide d’un logiciel nuisible, il est difficile de s’en protéger, la nuisance pouvant être si peu répandue qu’elle n’est pas comprise dans les fichiers de signature des programmes antivirus commercialisés.

Parmi les sociétés exposées à ce danger, on notera : 

• les industries de la banque et des assurances ; 
• les industries high-tech ayant développé une technologie considérée comme stratégiquement importante pour leurs concurrents et les autres organisations (ou pays) ; 
• les organismes de sécurité de toutes sortes.

De telles cibles potentielles disposeront souvent de leur propre arsenal de logiciels de protection - développés sur site ou sous forme de projets spéciaux par des éditeurs externes. Norman a récemment développé un ensemble d’outils particulièrement utiles pour ces sociétés - les produits SandBox Malware Analyzer. Des informations supplémentaires sur ces produits sont disponibles ici (ouverture dans une fenêtre de navigation séparée).