Diffrents types de logiciels malveillants Un logiciel malveillant (en anglais, malware) est un programme dvelopp dans le but de nuire un systme informatique, sans le consentement de l'utilisateur infect. De nos jours, le terme virus est souvent employ, tort, pour dsigner toutes sortes de logiciels malveillants. En effet, les malwares englobent les virus, les vers, les chevaux de Troie, ainsi que d'autres menaces. La catgorie des virus informatiques, qui a longtemps t la plus rpandue, a cd sa place aux chevaux de Troie en 2005. Le terme Logiciel malveillant, dont l'usage est prconis par la commission gnrale de terminologie et de nologie en France, est une traduction du mot anglais malware, qui est une contraction de malicious (qui signifie malveillant, et non malicieux) et software (logiciel). Dans les pays francophones, l'utilisation de l'anglicisme malware est le plus rpandu ; le mot virus est bien souvent utilis au Qubec1.
Sommaire
1 Classification o 1.1 Les virus o 1.2 Les vers o 1.3 Les chevaux de Troie o 1.4 Autres menaces 2 Environnement de prdilection 3 Historique o 3.1 Annes 1940 - 1960 : La reproduction automatise o 3.2 Annes 1970 : les rseaux ddis o 3.3 Annes 1980 : premires pidmies o 3.4 Annes 1990 : Le polymorphisme o 3.5 Annes 2000 : Une expansion insatiable 4 Auteurs de malwares et motivations o 4.1 Auteurs 4.1.1 Le cyber vandalisme 4.1.2 Les professionnels 4.1.3 Les pseudo-scientifiques o 4.2 L'appt du gain 5 Notes et rfrences
Classification
Les logiciels malveillants peuvent tre classs en fonction des trois mcanismes suivants :
le mcanisme de propagation (par exemple, un ver se propage sur un rseau informatique en exploitant une faille applicative ou humaine) ; le mcanisme de dclenchement (par exemple, la bombe logique comme la bombe logique surnomme vendredi 13 se dclenche lorsqu'un vnement survient) ; la charge utile (par exemple, le virus Tchernobyl tente de supprimer des parties importantes du BIOS, ce qui bloque le dmarrage de l'ordinateur infect).
La classification n'est pas parfaite, et la diffrence entre les classes n'est pas toujours vidente. Cependant, c'est aujourd'hui la classification standard la plus couramment adopte dans les milieux internationaux de la scurit informatique. Dans une publication2, J. Rutkowska propose une taxonomie qui distingue les malwares suivant leur mode de corruption du noyau du systme d'exploitation : ne touche pas au noyau (ie, applications, micrologiciel), corruption d'lments fixes (code), corruption d'lments dynamiques (donnes) et au-dessus du noyau (hyperviseurs).
Les virus
Les virus sont capables de se rpliquer, puis de se propager d'autres ordinateurs en s'insrant dans d'autres programmes ou des documents lgitimes appels htes . Ils se rpartissent ainsi : virus de secteur d'amorage ; de fichier ; de macro ; et de script. Certains intgrent des rootkits. Les virus peuvent s'avrer particulirement dangereux et endommager plus ou moins gravement les machines infectes.
Les vers
Les vers (worm) sont capables d'envoyer une copie d'eux-mmes d'autres machines. Ils peuvent tre classs selon leur technique de propagation : les vers de courrier lectronique ; Internet ; IRC ; les vers de rseau ; et ceux de partage de fichiers. Certains, comme le ver I Love You, ont connu une expansion fulgurante.
Autres menaces
D'autres menaces existent. Elles ne sont pas dangereuses en elles-mmes pour la machine, mais servent installer des infections ou raliser des attaques DNS. Il s'agit des outils de dni de service (DoS et DDoS), des exploits, inondeurs, nukers, du pharming, et des programmes qui servent crer des logiciels malveillants, en particulier les virtools, les gnrateurs polymorphes, ou les crypteurs de fichiers. Les publiciels (adware) et les rogues (ranongiciels ou riskwares) ne sont pas non plus directement dommageables pour la machine. Il s'agit de programmes utilisant des techniques de mise en march (ouverture de fentres intempestives, enregistrement automatique dans la barre URL, modification des liens rfrencs) bien souvent contraires l'thique. Certains lments, qui ne sont pas l'origine conus pour tre malveillants, sont parfois utilises des fins illgales et/ ou compromettantes. Il s'agit notamment des composeurs, tlchargeurs, enregistreurs de frappes, serveurs FTP, mandataires (proxy), Telnet et Web, clients IRC, canulars, utilitaires de rcupration de mots de passe, outils d'administration distance, dcortiqueurs et moniteurs.
Environnement de prdilection
Les programmes malveillants ont t dvelopps pour de nombreux systmes d'exploitation et applications. Pourtant, certains d'entre eux n'ont jamais t concerns. En effet, les auteurs de virus privilgient les systmes d'exploitation largement utiliss ; les systmes comportant des vulnrabilits ; et ceux pour lesquels une documentation dtaille est disponible (puisqu'elle inclut des descriptions des services et des rgles en vigueur pour crire des programmes compatibles). Le volume de logiciels malveillants destins Windows et Linux est peu prs proportionnel leurs parts de march respectives.
Historique
La dmocratisation massive de l'utilisation des ordinateurs fut accompagne d'une explosion du nombre de virus. Ces derniers ont ensuite volu paralllement aux technologies. Dans les annes 1980, ils visaient un ensemble de systmes d'exploitation et de rseaux ; dans les annes 1990, ils servaient surtout drober des informations confidentielles comme celles relatives aux comptes bancaires ou les mots de passe ; de nos jours, la majorit des virus exploitent les failles de Windows, le systme d'exploitation le plus rpandu travers le monde.
En 1962, un groupe d'ingnieurs des laboratoires Bell Telephone (compos de V. Vyssotsky, G. McIlroy et Robert Morris) crrent un jeu baptis Darwin qui consistait suivre et dtruire les programmes des concurrents, chacun des adversaires tant capable de se multiplier. Ce jeu est bti autour d'un arbitre dans la mmoire de l'ordinateur qui dfinit les rgles et l'ordre de bataille entre les programmes concurrents crs par les joueurs. Le jeu consiste supprimer les programmes des concurrents et contrler le champ de bataille.
et du lecteur qui avait alors infect 300 000 ordinateurs en moins de 12 minutes dans les deux tats du Dakota. En novembre 1988, le ver Morris fut dcouvert, infectant plus de 600 systmes informatiques aux tats-Unis, y compris celui du centre de recherche de la NASA. Il exploitait une vulnrabilit d'UNIX sur les plates-formes VAX et Sun Microsystems, et utilisait plusieurs mthodes innovantes (comme la collecte des mots de passe) pour accder aux systmes ; Ce ver tait capable de se multiplier et envoyait un grand nombre de copies de lui-mme, saturant ainsi compltement les rseaux. Les pertes globales engendres par ce ver furent estimes 96 millions de dollars amricains. En 1988, l'antivirus nomm Dr. Solomon's Anti-Virus Toolkit (cr par Alan Solomon, un programmeur anglais) a vu le jour (sa socit a ensuite t rachete par l'entreprise amricaine Network Associates devenue ensuite McAfee, Inc ; et en 1989, plusieurs autres antivirus, dont V (dvelopp par E. Kaspersky), F-Prot, ThunderBYTE, Norman Virus Control et Virscan for MS-DOS (cr par IBM) ont t mis au point.
En 1994, les cdroms faisaient partie des principaux vecteurs de propagation des virus ; le march informatique a ainsi t inond par une dizaine de milliers de disques infects, et comme la dsinfection tait impossible, ils devaient alors tre dtruits. En 1995, lmergence des virus de macro (notamment dans MS Word et d'autres applications MS Office) a pos de nouveaux dfis aux diteurs de logiciels antivirus, alors amens dvelopper de nouvelles technologies pour les dtecter. L'anne 1996 marque le dbut des hostilits lances par la communaut informatique clandestine contre les systmes d'exploitation Windows 95 (par exemple le virus Boza) et Windows NT, ainsi que contre d'autres applications comme Microsoft Office. Le premier virus Windows dtect dans la nature tait Win.Tentacle. En effet, ces virus taient jusqu'alors principalement contenus dans des collections ou des journaux lectroniques destins aux auteurs de virus. Le premier virus pour Linux, dnomm Linux Bliss, est apparu en fvrier 1997 ; les virus et chevaux de Troie visant ce systme d'exploitation sont toutefois rests rares, vu sa faible popularit face Microsoft Windows. Cette mme anne, le virus de macro ShareFune pour MS Word (versions 6 et 7) tait le premier de son genre se propager par courrier lectronique (notamment via le client MS Mail). Le dveloppement d'Internet et particulirement celui de mIRC (Internet Relay Chat) ont t invitablement accompagns de celui des virus et des vers. 1997 est galement l'anne des scandales et des mesquineries entre plusieurs socits ditrices d'antivirus (notamment McAfee et Dr. Solomon's / Trend Micro contre McAfee et Symantec), au sujet de tricheries et de brevets. Le premier module excutable malicieux Java, Java.StrangeBrew, est apparu en aot. Le 26 mars 1999, Melissa, le premier virus de macro MS Word avec fonction de ver Internet, a dclench une pidmie mondiale. Une fois l'infection installe, ce virus balayait le carnet d'adresses de MS Outlook et envoyait sa propre copie aux 50 premires qu'il trouvait. Comme Happy99, Melissa agissait l'insu de l'utilisateur mais les messages semblaient venir de l'utilisateur lui-mme. Ce virus a forc plusieurs socits comme Microsoft, Intel et Lockheed Martin fermer momentanment leur systme de messagerie. Les dgts causs par ce virus sont estims plusieurs dizaines de millions de dollars amricains. En novembre, une nouvelle gnration de vers (Bubbleboy et KaKWorm), est apparue. Ils exploitaient une faille d'Internet Explorer, et se propageaient par courrier lectronique sans pice jointe, infectant l'ordinateur ds que le message tait lu. Vers le milieu de l'anne 1999, le secteur antivirus s'est officiellement divis en deux parties quant l'attitude adopter face au bogue de l'an 2000. La premire tait convaincue que la communaut informatique clandestine enverrait des centaines de milliers de virus capables de faire le monde s'crouler , et incitant donc largement les utilisateurs installer un logiciel antivirus. La seconde partie tentait de maintenir le calme des utilisateurs paniqus. Aucun bogue apocalyptique n'a finalement eu lieu.
tlcommunications. Il n'avait aucun effet dommageable sur les tlphones mobiles. Le virus Liberty a t dcouvert en aot 2000. Il s'agit du premier cheval de Troie nuisible viser le systme d'exploitation Palm OS du Palm Pilot. Ce programme malveillant supprimait les fichiers mais n'tait pas capable de se reproduire. Phage a ensuite t le premier vritable virus dit classique pour PalmOS. En 2000, le courrier lectronique tait considr (en particulier par Kaspersky Lab) comme le principal vecteur de propagation des virus. Cette anne, 37 nouveaux virus et chevaux de Troie ont t crs pour le systme d'exploitation Linux, multipliant ainsi la quantit globale de virus lui tant destin par sept. Jusqu'alors, les virus de macro taient les plus rpandus, avant d'tre dtrns par les virus de script. En 2001, le nombre d'attaques de virus et de vers (apparition des vers sans fichiers, existant uniquement dans la mmoire RAM) a continu d'augmenter, malgr les ripostes parallles des diteurs de logiciels antivirus. Les infections utilisaient surtout les vulnrabilits, le courrier lectronique et Internet. Une nouvelle technique d'infection est apparue : il n'est plus ncessaire de tlcharger des fichiers, une simple visite sur le site infect suffit. La majorit des utilisateurs ont t infects par des programmes malveillants qui exploitaient les vulnrabilit d'Internet Explorer. L'utilisation d'autres vecteurs comme ICQ, IRC, MSN Messenger et les rseaux de partage de fichiers pour la propagation de programmes malveillants a galement commenc se dvelopper. En 2001, les vers pour Windows constituaient la majorit des nouvelles menaces. L'ampleur des pidmies provoques par CodeRed, Nimda, Aliz, BadtransII, ILoveYou, Magistr et SirCam a chang le monde de la scurit informatique, et dict la tendance pour l'volution des programmes malveillants dans les annes venir. 2001 marque galement l'augmentation des attaques sur Linux (par exemple Ramen, qui a infect entre autres la NASA) ; la majorit de ces codes malicieux exploitent des vulnrabilits du systme d'exploitation. La multiplication de ces menaces a montr le manque total de prparation des dveloppeurs Linux, convaincus jusqu'alors que ce systme d'exploitation tait sr. En 2002, les virus de script et d'autres virus classiques ont quasiment disparu. En 2003, deux attaques mondiales sur Internet ont t dclenches : Lovesan et le ver Slammer. Ce dernier, qui exploitait une vulnrabilit des serveurs MS SQL pour se propager, a infect plusieurs centaines de milliers d'ordinateurs dans le monde en quelques minutes seulement. Cette anne, un nouveau type de chevaux de Troie est apparu, les chevaux de Troie proxy. l'automne de cette anne, les chevaux de Troie avaient dpass les virus en nombre, et cette tendance tendait continuer. En 2003, environ 10 virus de fichiers toujours actifs taient dnombrs. Le crash du vol 5022 Spanair d'aot 2008 pourrait tre d, en plus d'une erreur de pilotage, un logiciel malveillant de type cheval de Troie, qui aurait empch le systme d'alerte de fonctionner4. Depuis les annes 2000, 3 milliards de codes malveillants attaquent chaque anne les ordinateurs dans le monde entier5.
Auteurs
Le cyber vandalisme Aux dbuts du malware, certains, peu dangereux et peu rpandus, taient crits par des programmeurs qui voulaient tester leurs propres capacits. D'autres, assez peu volus, l'ont t par des tudiants en programmation informatique. Avec le dveloppement d'Internet, des sites et des forums spcialiss, de nouvelles perspectives se sont ouvertes. Les professionnels Certains anciens script kiddies ont continu uvrer dans le milieu de l'informatique underground. Ils forment dsormais un rseau de professionnels trs secret, auteurs d'pidmies particulirement virulentes. Les pseudo-scientifiques Les auteurs de POC (Proof of Concept) se dfinissent eux-mmes comme des chercheurs, dont la motivation ne serait pas pcuniaire, mais scientifique. Ils forment un petit groupe qui se consacre au dveloppement de nouvelles mthodes de pntration et d'infection des systmes d'exploitation, cela sans tre dtects par les logiciels antivirus. Ils ne dvoilent gnralement pas le code source de leurs malwares, mais discutent de leurs trouvailles sur des sites spcialiss.
L'appt du gain
La principale motivation est sans conteste financire. En 1997, les premiers chevaux de Troie ont t dvelopps avec pour but de rcolter les mots de passe d'AOL (puis d'autres FAI), pour que leurs auteurs puissent accder gratuitement Internet. De nos jours, il s'agit de trouver et/ou de crer des clefs de licence (voir keygen) pour les logiciels payants, les auteurs de ce type de fraudes prnant le libre-partage des informations. Le cyber crime est galement trs rpandu, pratiqu par des fraudeurs particuliers ou professionnels. Ils extirpent directement de l'argent aux utilisateurs via des ranongiciels ou des rogues ; crent puis vendent des rseaux de bots destins l'envoi massif de spam (ils sont ainsi rmunrs) ou aux attaques de DOS suivies de chantage (ces attaques visent surtout les boutiques en lignes, les sites bancaires et de jeux en ligne). Les chevaux de Troie espions sont utiliss afin de drober de l'argent des comptes bancaires et paypal. Les auteurs de malwares et les hackers sont galement rmunrs dvelopper et entretenir des moyens pour rediriger les navigateurs vers des sites web payants, ou contenant des programmes malveillants, en particulier grce aux adwares et aux composeurs.
Notes et rfrences
1. 2. 3.
4. 5.
[1] [archive] Guy de Felcourt, L'usurpation d'identit ou l'art de la fraude sur les donnes personnelles, CNRS Editions,2011, 314 p.
Voir aussi
Articles connexes
Criminalit informatique, Crimeware Fuite d'information Vulnrabilit (informatique) Logiciel espion Facticiel