©Thomas SAMSON / AFP
Visez la tête
Zombies informatiques : ces virus qui se propagent et qui refusent de mourir
Les virus informatiques ne provoquent pas uniquement des crises sur le court-terme, certains continuent de se répandre des années après avoir été repérés.
Jean-Paul Pinte
Jean-Paul Pinte est docteur en information scientifique et technique. Maître de conférences à l'Université Catholique de Lille et expert en cybercriminalité, il intervient en tant qu'expert au Collège Européen de la Police (CEPOL) et dans de nombreux colloques en France et à l'International.
Titulaire d'un DEA en Veille et Intelligence Compétitive, il enseigne la veille stratégique dans plusieurs Masters depuis 2003 et est spécialiste de l'Intelligence économique.
Certifié par l'Edhec et l'Inhesj en management des risques criminels et terroristes des entreprises en 2010, il a écrit de nombreux articles et ouvrages dans ces domaines.
Il est enfin l'auteur du blog Cybercriminalite.blog créé en 2005, Lieutenant colonel de la réserve citoyenne de la Gendarmerie Nationale et réserviste citoyen de l'Education Nationale.
Atlantico : Selon les informations données par le géant de l'anti-virus Symantec, des virus vieux de plusieurs années, comme Conficker, continuent de se progager et de faire des victimes alors que la naissance de ce "virus" devenu zombie date de plus près de 10 ans (novembre 2008). Comment expliquer la persistance de tels virus ? Comment se propagent-ils encore après autant d'années ?
Jean-Paul Pinte : “Elk Cloner”, le premier virus informatique, fête cette année son trente-cinquième anniversaire. C’est Rich Skrenta, un jeune programmeur de 15 ans qui a créé le premier virus informatique de l’histoire de l’humanité. Imaginé comme une simple plaisanterie à l’époque, le virus en question visait uniquement les ordinateurs Apple-II. L’adolescent avait glissé un message humoristique, qui informait le propriétaire de l’ordinateur que sa machine avait été infectée. Il venait de créer le premier malware ! Ce programmeur n’aurait également jamais imaginé que les malwares serviraient un jour à voler des données confidentielles ou crypter des données.
Depuis, nous le savons les virus n’ont fait que prospérer et se développer et par là même les sociétés chargées de nous en protéger.
A en croire ce site certains seraient même devenus des œuvres d’art que l’on peut retrouver aujourd’hui au sein d’un musée du malware.
La plupart de ces données effrayantes sont des virus informatiques et les plus durables de tous des vers. "Ces vers se propagent eux-mêmes - c'est pourquoi nous les voyons toujours circuler", a déclaré Candid Wueest, principal chercheur sur les menaces chez Symantec, qui chasse les virus depuis des années. L'un des virus zombies les plus actifs est celui de Conficker, lancé en novembre 2008. À son apogée, le ver aurait infecté jusqu'à 15 millions de PC Windows de type XP.
Ce type de virus a pu être endigué grâce à un groupe de travail qui vérifiait chaque jour un des nombreux domaines Internet pour obtenir des instructions ou des mises à jour.
Les variantes de Conficker n’ont pas manqué ensuite avec des variantes allant jusqu’à plus de 250 noms générés de manière aléatoire.
Les statistiques recueillies par Symantec suggèrent qu'il y a eu 1,2 million d'infections Conficker en 2016 et 840 000 en 2017. Symantec voit encore régulièrement le virus SillyFDC de 2007, Virut de 2006 et même un infecteur de fichier appelé Sality qui date de 2003.
Martin Lee, responsable technique de la recherche sur la sécurité chez Cisco :
"Les échantillons de logiciels malveillants peuvent durer longtemps dans la mesure où ils continuent d'être observés" dans la nature "plusieurs mois ou années après leur première rencontre", a-t-il déclaré.
Mais de nombreux virus survivent d'une autre manière en raison de la manière dont le code de la cybercriminalité est traité de manière souterraine. C’est une nouvelle donne à prendre en compte depuis plusieurs années. Mirai apparu pour la première fois en 2016 au même titre que Conficker risquent de ne jamais être éradiqués.
Il est bon aussi de rappeler les différentes catégories de virus informatique qui se présentent le plus souvent en 3 catégories types :
- les vers sont des virus capables de se propager à travers un réseau
- les troyens (cheval de Troie) sont des virus permettant de créer une faille dans un système généralement pour permettre à son concepteur de s’introduire dans le système infecté afin d’en prendre le contrôle.
- les bombes logiques, virus capables de se déclencher suite à un évènement particulier (date système, activation distante, etc …)
Ayant connu les touts débuts de l’informatique PC et Mac dans les années 80 il m’arrive encore souvent de dire aux personnes qui me posent la question « Quel anti-virus avez-vous ? » que la meilleur anti-virus est la remise à plat de sa machine assez souvent tout en ayant vérifié que les sauvegardes effectuées avant le vidage machine n’en contenaient pas…
Tout ceci ne peut suffire à la vue du développement d’Internet, du nomadisme et de nouveaux supports de stockage amovible qui n’ont fait qu’accroître pour les virus la capacité de se développer par de nouveaux biais comme les smartphones et les réseaux Wifi par exemple. De nouveaux modes opératoires dont je parle plus loin issus d’une ingénierie sociale d’un nouveau type et le développement presque incontrôlé des réseaux de communication et d’applications sont autant d’éléments qui feront perdurer la durée de vie des virus.
Pour compléter :
Quels sont ces virus zombies qui continuent de proliférer longtemps après leurs création, et quelles sont les failles exploitées en ce sens ?
La liste est longue et de nombreux virus ont marqué l’histoire de l’informatique comme I Love you, Cryptolocker, Jigsaw, Stuxnet et bien d’autres que l’on peut retrouver ici dans un travail du Campus de SupINFO de Nantes.
I Love You, par exemple, aussi dénommé LoveLetter ou The LoveBug, a touché et a infecté près de 10 % des ordinateurs connectés à Internet il y a tout juste 15 ans et causé un préjudice estimé à 5 milliards de dollars. Celui-ci s’est propagé au travers des messageries Outlook et Outlook Express et consistait en un email contenant une lettre d’amour en pièce jointe. En moins d’une semaine, il avait touché plus de 3,1 millions de PC dans le monde entier.
S’il a tiré parti de la faiblesse des antivirus de l’époque, force est de constater que 15 ans après, la messagerie reste le principal vecteur d’attaque de ce virus.
On peut par contre s’inquiéter de l’arrivée d’une nouvelle forme de virus comme Necurs : le cheval de Troie qui s’infiltre via la messagerie et esquive les antivirus. On imagine ici la profondeur de ces virus dans le temps et leur force de frappe.
WannaCry est, à ce jour, le virus le plus agressif de toute l’histoire d’internet. En quelques heures, il a infecté plus de 300 000 ordinateurs, répartis dans au moins 150 pays. Son secret ? Tirer parti des failles de sécurité des versions de Microsoft Windows non mises à jour. Une fois installé dans l’ordinateur, WannaCry le bloque et réclame, pour le déverrouiller, une rançon de 300 dollars à son propriétaire. Si la somme n’est pas versée, toutes les données prises en otage sont détruites nous rappelle cet article. Les virus deviennent alors de nouvelles armes de crime.
Les virus s’incrustent aussi dans les cryptomonnaies avec « WinstarNssmMiner », qui mine des cryptomonnaies et plante votre PC si vous l'arrêtez. Il commence par scanner la solution antivirus qui y est installée. Si l'antivirus fait partie de ceux développés par les plus grands fabricants (Avast, Kaspersky, Bitdefender etc), le programme se met tout simplement en veille de façon à ne pas être détecté. Dans le cas d'un antivirus un peu plus marginal et non développé par l'un des plus grands constructeurs, le virus le désactive, tout simplement. Et pendant que le premier processus mine des cryptomonnaies, le second surveille le logiciel antivirus évoque le site Clubic.
Après les virus, gare aux trojans et ransomwares de minage nous signale Le Monde Informatique en évoquant 5 virus de cryptominage ou crytojacking à éviter comme la peste comme ADB Miner, Adylkuzz, Satori, Vnlgp Miner et Coin Miner qui s’est propagé à une vitesse grand V au Vietnam.
Bad Rabbit, NoptPetya, Wannacry font aussi parti de ces nouveaux virus qui exploitent la puissance de nos ordinateurs.
Les objets connectés ne sont pas épargnés avec le virus Mirai où Netflix, Twitter, Reddit et d’autres ont été paralysés le 21 octobre 2016, en fin d’après-midi.
Enfin les Fake News ou Hoax peuvent eux aussi aujourd’hui contenir des virus.
Des (faux) rançongiciels comme Petya ont déjà coûté plus d’un milliard d’euros aux entreprises avec des ports de marchandise à l’arrêt, des usines immobilisées, des entreprises ralenties, les chaînes de production d’un vaccin interrompues …
Et ce site de nous rappeler que les virus WannaCry et Petya «n’étaient qu’une répétition», d’autres attaques arriveront.
La lutte contre les virus informatiques n’est pas perdue mais il y a fort à parier que l'intelligence artificielle aura son rôle à jouer dans les années à venir comme le signale cette interview.
Quels sont les meilleurs moyens de se protéger contre ces virus zombies ?
Les anti-virus ne manquent pas comme les virus d’ailleurs mais ce qui devient compliqué aujourd’hui c’est l’immensité des possibilités qui permettent de se faire attaquer aujourd’hui par un virus. Ce qui demande à chacun d’avoir une culture numérique de plus en plus développée et de rester en veille sur nos ordinateurs, nos smartphones, nos objets connectés, … comme nos systèmes nomades (WIFI, clés USB). Donc pas de solution unique ni de sécurité absolue dans ce monde et pour se parer de ces attaques de nombreuses règles et consignes sont à adopter.
L'Agence nationale de sécurité des systèmes d'information (Anssi) parle ainsi de bonnes pratiques dans ce guide et propose dans un autre dossier 42 mesures pour une bonne hygiène informatique.
Les consignes de base restant l’installation d’un pare-feu et d’un bon anti-virus comme celui d’un anti-malware tout en sécurisant votre réseau WiFi sans oublier la mise en place d’un VPN ( Virtual Private Network) vous assurant une plus grande sécurité dans les WiFi publics.
D’autres spécialistes comme Guy Bégin, professeur au département d'informatique de l'Université du Québec à Montréal (UQAM) invite les internautes à exercer une sage paranoïa dans le cas du virus «Bad Rabbit ».
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !