Adopter un bon vocabulaire est indispensable pour bien se faire comprendre et éviter de nombreux malentendus. C’est pareil dans le monde de l’informatique où certains termes sont utilisés à mauvais escient. Il suffit de lire dans la presse comment sont traités hackers, Anonymous, DDoS et autres cyber-attaques pour s’en convaincre. Ou d’assister à certaines réunions où chaque professionnel de la sécurité possède sa propre définition de termes aussi « classiques » que vulnérabilité ou menace pour bien admettre que la question du vocabulaire en sécurité informatique est loin d’être réglée.
J’ai souhaité aborder dans une série d’articles un retour sur plusieurs notions indispensables en matière de sécurité informatique et de cybercriminalité. Ce premier billet sera consacré aux malwares, ces logiciels malveillants qui défraient la chronique si souvent.
Rapide historique
Le premier malware créé a été un virus. En 1986, les frères Alvi, deux pakistanais, développent le virus Brain, considéré comme le premier virus informatique à avoir infecté de façon massive des ordinateurs en s’attaquant aux disquettes 5 pouces 1/4 (nostalgie). Mais Brain n’était pas très dangereux, il renommait simplement le nom de volume des disquettes touchées. Le terme « virus » a ensuite été employé de façon abusive pour désigner toutes formes de malwares. Les virus ne sont en effet qu’un type de malwares ou logiciels malveillants en français.
D’autres types de malwares ont ensuite fait leur apparition. En 1988, le premier ver informatique est né : Morris. Développé par un étudiant de l’université de Cornell, Morris (du nom de son créateur) se propage sur le réseau Internet et paralyse involontairement des milliers de machines d’universitaires et de militaires (en ces temps reculés, Internet servait à ça) en se répliquant à l’infini. C’est suite à ce premier ver que le premier CERT (Computer Emergency Response Team) est né.
A partir de 1995, Internet commence à se démocratiser au niveau mondial. Ce vecteur rapide de propagation permet aux virus de toucher des millions d’ordinateurs qui sont maintenant tous interconnectés. Puis les macro-virus apparaissent, exploitant les nouvelles capacités offertes par Windows et ses logiciels bureautiques (macro en particulier).
Dans les années 1999-2000, Melissa et I Love You, les deux vers informatiques les plus célèbres, se propagent très rapidement à travers la messagerie Outlook dont ils exploitent le carnet d’adresses pour se répliquer en masse et infecter des millions de machines en quelques jours seulement. Les Etats-Unis ont estimé les dégâts du ver I Love You à 7 milliards de dollars (source : Computer Economics).
En 2003, c’est Blaster qui défraie la chronique en s’attaquant à une faille du service DCOM RPC (Remote Procedure Call) de Windows. Il infecte rapidement des millions d’ordinateurs à travers le monde. Le ver obligeait le système contaminé à redémarrer après un délai variable. Ensuite en 2004, c’est le ver Sasser qui s’attaque aux utilisateurs Windows n’ayant pas appliqué le dernier correctif de Microsoft…
Fin 2008, Conficker fait son apparition. En janvier 2009, il aurait contaminé près de 9 millions d’ordinateurs selon l’éditeur d’antivirus F-Secure. Ce qui en fait l’un des vers les plus efficaces des années 2000. Il aurait causé des dégâts dans de grandes entreprises mais aussi dans des ministères. Le DoD (Département de la Défense américain), le ministère de la Défense britannique et le ministère de la Défense français ont été touchés par Conficker.
Tendances actuelles
Les vers ont progressivement éclipsé les virus classiques, profitant du fort développement de l’Internet à haut débit pour se propager encore plus rapidement partout dans le monde. Aujourd’hui, la tendance est au développement de malwares plus sophistiqués de type chevaux de Troie. Ces malwares génériques ou faits sur mesure (et vendus sur des forums de marché noirs) infectent les ordinateurs de leurs victimes et en prennent le contrôle total. Contrôlés à distance par des attaquants, ces machines compromises ou dites « zombies » vont exfiltrer des informations (identifiants bancaires, documents de travail confidentiels…) en utilisant des canaux de communication classiques via Internet (par le protocole HTTP) contournant ainsi, en entreprise, les règles de sécurité pour rester furtif. Ces milliers de machines « zombies » forment des Botnet (réseaux de bots) contrôlés par des serveurs de commandes situés aux quatre coins du monde (et pas seulement en Russie et en Chine comme on pourrait le croire).
Les vers et les chevaux de Troie sont actuellement les principales menaces visant les entreprises mais aussi les simples particuliers. Les données bancaires et les identifiants de toute sorte sont les informations les plus recherchées par les cybercriminels qui se spécialisent dans certaines pratiques (phishing, malwares bancaires, vol de session…). Le vol et l’usurpation d’identité est la menace n°1 du moment. Ces malwares se propagent de plus en plus rapidement par l’intermédiaire des réseaux sociaux (attention aux vidéos sexy sur Facebook), des périphériques de stockage amovibles comme les clés USB et des pièces-jointes attachées aux courriers électroniques (voir affaire Bercy, RSA…).
Sources :
- http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-Spyware.pdf
- http://www.clusif.asso.fr/fr/production/ouvrages/pdf/VirusInformatiques.pdf
- http://www.confickerworkinggroup.org/wiki/
- http://fr.wikipedia.org/wiki/Logiciel_malveillant
- http://www.viruslist.com/fr/viruses/encyclopedia?chapter=161594717
