Rétrospective de 2009 – prévisions pour l’année prochaine

Introduction

Décembre est le mois où l’on se retourne sur l’année qui touche à sa fin ; nous allons donc tenter de dresser un bilan de la situation du point de vue d’une entreprise spécialisée dans la sécurité. L’activité observée cette année dans le domaine du malware nous apprend que les différents réseaux sociaux sont devenus la cible principale des auteurs de programmes nuisibles.

Nuisances particulièrement dangereuses

Certains des incidents dus aux nuisances méritent une attention particulière.

Conficker

Bien que ce ver soit apparu à la fin de 2008, c’est en 2009 qu’il a causé le plus de problèmes aux utilisateurs finaux, et plus particulièrement aux entreprises. Le plus fort de l’activité du ver se situe dans la première moitié de 2009, mais il demeure actif au moment de la rédaction de cet article (fin de l’année).

Il existe plusieurs variantes de W32/Conficker ; ce ver se propage sur le réseau et dispose de la capacité de se mettre à jour par téléchargement. Pour cela, il dispose d’un très large éventail de serveurs de téléchargement potentiels générés, parmi lesquels il choisit un sous-ensemble de serveurs.

La caractéristique la plus dangereuse du ver réside dans le fait que l’un de ses mécanismes de diffusion exploite directement une vulnérabilité du service Windows Server. Cette faille permet au ver de déclencher un téléchargement sur l’ordinateur distant à l’insu de l’utilisateur.

Des détails supplémentaires sur Conficker sont disponibles dans la description virale de Norman.

Virut

W32/Virut est une famille de virus fortement polymorphes. Ils font appel à plusieurs mécanismes de diffusion, parmi lesquels la fonction d’exécution automatique du contenu des clés USB, qui active le virus dès le raccordement de ce type de périphérique à l’ordinateur (sauf si cette fonctionnalité est désactivée).

Outre sa nature hautement polymorphe, la caractéristique la plus intéressante de Virut est que certaines variantes ont la capacité de désactiver le système de protection des fichiers de Windows, ce qui leur permet d’infecter les fichiers système essentiels de Windows.

Les virus Virut utilisent des techniques de protection qui empêchent leur désactivation par les programmes antivirus et autres applications de sécurité en bloquant l’accès des ordinateurs infectés à un certain nombre de sites web de sécurité.

Les virus de la famille Virut ont été actifs tout au long de l’année, ils resteront probablement visibles sous formes de nouvelles variantes au cours de l’année prochaine.

Des détails supplémentaires sur Virut sont disponibles dans la description virale de Norman.

Koobface

Le principal intérêt de W32/Koobface est qu’il utilise des mécanismes lui permettant de se diffuser par le biais des réseaux sociaux tels que Facebook. Il est apparu en 2008, mais le plus fort de son activité se situe (pour l’instant) en 2009.

Un ordinateur infecté par Koobface envoie automatiquement des messages contenant des liens nuisibles aux divers contacts de l’utilisateur sur les réseaux sociaux. Le ver examine les cookies de l’ordinateur, parmi lesquels il recherche des certificats de connexion aux divers sites des réseaux sociaux. Il utilise ensuite les informations collectées dans les cookies pour se connecter à ces sites et envoyer des messages aux amis et contacts.

Des détails supplémentaires sur Koobface sont disponibles dans la description virale de Norman.

Cocktails de nuisances

Au « bon vieux temps » des programmes nuisibles, le rapport des organisations de sécurité et des utilisateurs vis à vis des nuisances était différent de ce qu’il est aujourd’hui. La technique la plus répandue chez les auteurs de nuisances se limitait à créer un programme nuisible faisant appel à des techniques de propagation spécifiques.

Ceci a changé au fil des années et, aujourd’hui, la situation est fondamentalement différente. Désormais, la tendance est aux cocktails de nuisances. Ils se composent d’une gamme complète de programmes nuisibles de types différents, mais aussi de programmes de même type dotés de fonctionnalités différentes.

Ces cocktails de nuisances sont souvent fournis avec un rootkit, ce qui augmente radicalement la difficulté de la détection. Certains rootkits standard emploient une technologie très avancée pour se masquer ainsi que les autres éléments du cocktail de nuisances.

Comme le dit l’un des analystes antivirus de Norman : « C’est un peu le couteau suisse des nuisances ».

De ce fait, le défi est tout autre pour les « anges gardiens », et il ne suffit plus de détecter et de supprimer une nuisance spécifique. D’autres éléments du cocktail de nuisances peuvent rester actifs sur l’ordinateur/réseau infecté et procéder à une nouvelle infection et/ou télécharger des composants. Bien entendu, cela complique sévèrement la tâche de nettoyage des systèmes infectés.

Tendances générales

La croissance du nombre de logiciels nuisibles

Le nombre de signatures de programmes nocifs contenues dans les fichiers de détection des virus de Norman est l’un des indicateurs reflétant la croissance du nombre de nuisances logicielles au cours d’une période. 2007 avait vu l’ajout d’un nombre de signatures supérieur au volume cumulé des années précédentes. Le nombre de signatures ajoutées en 2008 a été supérieur au nombre total constaté au début de cette même année. Le nombre de signatures ajoutées en 2009 a été légèrement inférieur au nombre total constaté au début de cette même année.

Cela semble indiquer que la croissance se stabilise et devient plus linéaire par rapport aux résultats exponentiels des années antérieures à 2008. Néanmoins, le nombre total des nouvelles signatures, à ce moment précis, reste hallucinant si on le compare aux chiffres du début de la décennie.

L’image ci-dessous montre la croissance du nombre d’éléments contenus dans le fichier de signatures de Norman en 2008 et jusqu’à la mi-décembre 2009.

Des programmes légaux déclarés nuisibles

Le fait que le nombre de programmes nuisibles soit devenu si grand représente un risque supplémentaire, car un logiciel légal peut être détecté comme nuisible s’il correspond à un élément partiel des fichiers de signature des éditeurs de produits antinuisances et autres technologies de détection. Ceci s’est produit cette année avec les logiciels de sécurité de divers éditeurs, dont Norman.

Malheureusement, cela se reproduira inévitablement. Pour les éditeurs de produits de sécurité, le défi le plus important est d’éviter les incidents de ce type pour les fichiers système critiques ainsi que pour les applications vitales les plus répandues. Pour cela, ils investissent lourdement dans un équipement qui leur permet de tester soigneusement les fichiers de détection de nuisances avec des logiciels légitimes de toutes sortes avant la diffusion des fichiers de signatures à leur clientèle.

Dans un article consacré à la sécurité, publié au début de l’année, nous avons abordé ce problème de manière générale en utilisant comme base de discussion un problème similaire rencontré par Google pour l’identification des sites web nuisibles.

Augmentation du nombre de programmes douteux (rogue)

Les programmes qui prétendent être ce qu’ils ne sont pas existent depuis les débuts de l’ère informatique. La tendance observée en 2008 – un flux croissant de programmes informatiques scélérats travestis en applications antivirus et anti-espions – s’est poursuivie en 2009.

Une multiplication a même été constatée en 2009. Vers la fin de l’année, les programmes informatiques scélérats sont même devenus une industrie substantielle. Pour les entités impliquées, le profit économique potentiel est substantiel, les risques encourus étant, par ailleurs, mineurs.

Emploi des réseaux sociaux pour la propagation des nuisances

La popularité des réseaux sociaux, tels que Facebook et Twitter, a explosé au cours de l’année. Il n’est donc pas surprenant de constater que leur emploi en tant que mécanisme de diffusion des nuisances a progressé de la même façon.

Citons Koobface, abordé ci-dessus, comme exemple d’utilisation nuisible des réseaux sociaux. Il ne s’agit pas d’un cas isolé. Il est important d’être conscient du fait que des techniques intelligentes de manipulation sociale entrent souvent en ligne de compte dans la réussite d’une exploitation.

Comme le mentionne l’introduction : s’il fallait élire un problème de sécurité particulier comme étant le plus important de l’année 2009, le vainqueur serait probablement l’emploi des réseaux sociaux comme vecteur de propagation et d’exploitation des nuisances. Généralement, des techniques de manipulation sociale sont employées.

Cette année, divers aspects des réseaux sociaux ont constitué les rubriques des plusieurs de nos articles sur la sécurité. Voir, par exemple :

• Réseaux sociaux – le meilleur ami ou l’ennemi des criminels ?
• Production d’identité malveillante
• Une autre manière d’utiliser Twitter
• Les oiseaux disent-ils la vérité ?
• Bonjour ! Vous pouvez cambrioler ma maison

L’exploitation des vulnérabilités des systèmes d’exploitation et des applications continue

La tendance des auteurs de nuisances à utiliser les vulnérabilités des systèmes d’exploitation et des applications pour assurer la propagation de leurs « produits » se confirme. Les applications les plus populaires, telles que les navigateurs Web, les applications Adobe, les systèmes de bureautique les plus courants, etc., ont été affectées. Les applications les plus répandues de Microsoft ne sont pas les seules visées ; les logiciels populaires d’autres éditeurs ont également été touchés.

Au cours des années précédentes, les auteurs de nuisances se concentraient principalement sur les vulnérabilités des systèmes d’exploitation. Récemment, un changement a été constaté : les applications les plus usitées, telles que celles mentionnées ci-dessus, sont de plus en plus visées. Le fait qu’il n’y ait aucune norme de distribution des mises à jour et des correctifs destinés aux applications – ce qui signifie qu’une multitude de mécanismes de mise à jour doit être employée – constitue un défi particulier pour les utilisateurs.

Les auteurs de nuisances créent très rapidement des applications capables d’exploiter les nouvelles vulnérabilités. Par conséquent, les éditeurs de logiciels ont dû tenter de réagir en proposant plus rapidement des correctifs de sécurité et autres palliatifs.

Les auteurs de nuisances se montrent de plus en plus habiles dans la création de programmes exploitant non pas une mais plusieurs vulnérabilités – qu’elles soient corrigées ou non – dans le même code. Les choses sont même de plus en plus simples car une personne mal intentionnée peut acheter sa propre gamme d’exploitations sur Internet, puis les utiliser dans son programme nocif.

Il n’est plus nécessaire d’avoir des compétences en matière de programmation pour créer un programme nuisible. L’une des implications de cette situation est que, désormais, pour assurer la réussite d’une nuisance par rapport aux nombreuses autres, l’habileté dans le domaine de la manipulation sociale est devenue plus importante que la capacité de « création » logicielle.

Nous avons longuement abordé ces problèmes dans nos articles de 2009 consacrés à la sécurité – voir, par exemple :

• Les attaques réussissent mieux sur les logiciels
• La publicité sur le web – un vecteur majeur de diffusion des nuisances
• Les modules pour applications – une cible mûre pour les nuisances

Les grands événements médiatiques servent de déclencheurs à la distribution de nuisances

Cette observation n’est ni nouvelle ni révolutionnaire. Toutefois, en 2009, nous avons observé un accroissement de cette tendance. Les auteurs de nuisances lancent, avec de plus en plus d’avidité, des nuisances faisant appel à des techniques de manipulation sociale et s’appuyant sur des événements médiatiques majeurs.

Plusieurs exemples ont été constatés. Les plus frappants sont probablement ceux inspirés par le décès et les funérailles de Michael Jackson.

De nombreux outils sont disponibles pour une personne souhaitant combiner ses compétences dans le domaine de la manipulation sociale et les instruments proposés par Internet. Cette année, nous avons abordé les sujets suivants dans des articles spéciaux consacrés à la sécurité :

• Utilisation des URL courts pour masquer la destination réelle d’un lien
• Enregistrement de noms de domaine intégrant partiellement des noms d'événements médiatiques majeurs

Les programmes nuisibles exploitent de nouveaux périphériques

Voici un phénomène intéressant ! Deux exemples ont déjà été observés cette année ; tous deux sont assez intéressants pour faire l’objet d’articles consacrés à la sécurité :

• Nuisances destinées aux billetteries / DAB
• Nuisances exploitant les routeurs / modems ADSL

Ce n’est probablement que la partie visible de l’iceberg. Bientôt, ce même scénario pourrait s’appliquer à l’attaque de périphériques que les utilisateurs ordinaires n’ont jamais considéré comme vulnérables ou dangereux. Ceci est particulièrement alarmant car nous devons être continuellement sur nos gardes : Les gens ont appris à se méfier des nuisances distribuées par les canaux habituels. Dès que de nouveaux mécanismes de diffusion apparaissent, les défenses tombent.

Prise de conscience des menaces d’Internet au plus haut niveau politique

Pour terminer, il convient de mentionner que l’accent a été mis, vers le milieu de l’année, sur l’aspect critique de la part prise par Internet dans l’infrastructure des sociétés modernes. Le président Barack Obama a insisté sur ce point particulier dans son discours très commenté du 29 mai.

La communauté impliquée dans la sécurité a particulièrement bien accueilli le fait que ses préoccupations majeures aient été ressenties au plus haut niveau. Les communautés modernes admettent désormais le fait qu’il faut mettre l’accent sur les problèmes de sécurité impliquant l’Internet et son infrastructure connexe et qu’il convient de les considérer comme une menace potentielle envers la capacité d’une nation moderne à fonctionner convenablement.

Des détails supplémentaires sont disponibles dans notre article :
 

• Les défis d’Internet reconnus au niveau le plus haut

Prévisions pour 2010

Nos prévisions pour 2010 n’annocent pas de nouveaux problèmes de sécurité fondamentaux (qui, naturellement, peuvent néanmoins apparaître). La prévision est plutôt « une accentuation des récentes menaces les plus populaires ».

Nous nous attendons, en 2010, à voir les créateurs de nuisances porter leur attention sur :

• Une exploitation croissante et sans cesse plus sophistiquée des réseaux sociaux.
• Un maintien de la popularité des logiciels de sécurité douteux.
• Les cocktails de logiciels vont persister, devenir plus souples et la technologie des rootkits va encore évoluer.
• Les mises à jour des logiciels vont être plus innovantes.

Deux problèmes particuliers doivent être « observés de près » :

• Allons-nous finalement voir apparaître des nuisances pour les téléphones mobiles, ce qui représente une réelle menace pour un nombre significatif d’utilisateurs ?
• La technologie « en nuage » va-t-elle être victime d’une nuisance ?

Les sujets abordés l’an dernier sont accessibles à partir des liens ci-dessous

Type	Titre	Commentaire	Utilisation
	Récapitulatif de 2008 et prévisions pour 2009
	Retour sur les menaces sécuritaires de 2006
	Looking back on the security trends for 2005
	Retour sur les tendances 2004 en matière de sécurité
	2003 - the worst year ever regarding malicious programs?
	2002 - a quiet year with respect to malicious programs, or not?