Logiciel malveillant

Diffrents types de logiciels malveillants Un logiciel malveillant (en anglais, malware) est un programme dvelopp dans le but de nuire un systme informatique, sans le consentement de l'utilisateur infect. De nos jours, le terme virus est souvent employ, tort, pour dsigner toutes sortes de logiciels malveillants. En effet, les malwares englobent les virus, les vers, les chevaux de Troie, ainsi que d'autres menaces. La catgorie des virus informatiques, qui a longtemps t la plus rpandue, a cd sa place aux chevaux de Troie en 2005. Le terme Logiciel malveillant, dont l'usage est prconis par la commission gnrale de terminologie et de nologie en France, est une traduction du mot anglais malware, qui est une contraction de malicious (qui signifie malveillant, et non malicieux) et software (logiciel). Dans les pays francophones, l'utilisation de l'anglicisme malware est le plus rpandu ; le mot virus est bien souvent utilis au Qubec1.

Sommaire

1 Classification o 1.1 Les virus o 1.2 Les vers o 1.3 Les chevaux de Troie o 1.4 Autres menaces 2 Environnement de prdilection 3 Historique o 3.1 Annes 1940 - 1960 : La reproduction automatise o 3.2 Annes 1970 : les rseaux ddis o 3.3 Annes 1980 : premires pidmies o 3.4 Annes 1990 : Le polymorphisme o 3.5 Annes 2000 : Une expansion insatiable 4 Auteurs de malwares et motivations o 4.1 Auteurs 4.1.1 Le cyber vandalisme 4.1.2 Les professionnels 4.1.3 Les pseudo-scientifiques o 4.2 L'appt du gain 5 Notes et rfrences

6 Voir aussi o 6.1 Articles connexes o 6.2 Liens externes

Classification
Les logiciels malveillants peuvent tre classs en fonction des trois mcanismes suivants :

le mcanisme de propagation (par exemple, un ver se propage sur un rseau informatique en exploitant une faille applicative ou humaine) ; le mcanisme de dclenchement (par exemple, la bombe logique comme la bombe logique surnomme vendredi 13 se dclenche lorsqu'un vnement survient) ; la charge utile (par exemple, le virus Tchernobyl tente de supprimer des parties importantes du BIOS, ce qui bloque le dmarrage de l'ordinateur infect).

La classification n'est pas parfaite, et la diffrence entre les classes n'est pas toujours vidente. Cependant, c'est aujourd'hui la classification standard la plus couramment adopte dans les milieux internationaux de la scurit informatique. Dans une publication2, J. Rutkowska propose une taxonomie qui distingue les malwares suivant leur mode de corruption du noyau du systme d'exploitation : ne touche pas au noyau (ie, applications, micrologiciel), corruption d'lments fixes (code), corruption d'lments dynamiques (donnes) et au-dessus du noyau (hyperviseurs).

Les virus
Les virus sont capables de se rpliquer, puis de se propager d'autres ordinateurs en s'insrant dans d'autres programmes ou des documents lgitimes appels htes . Ils se rpartissent ainsi : virus de secteur d'amorage ; de fichier ; de macro ; et de script. Certains intgrent des rootkits. Les virus peuvent s'avrer particulirement dangereux et endommager plus ou moins gravement les machines infectes.

Les vers
Les vers (worm) sont capables d'envoyer une copie d'eux-mmes d'autres machines. Ils peuvent tre classs selon leur technique de propagation : les vers de courrier lectronique ; Internet ; IRC ; les vers de rseau ; et ceux de partage de fichiers. Certains, comme le ver I Love You, ont connu une expansion fulgurante.

Les chevaux de Troie

Les chevaux de Troie (Trojan horse) sont diviss en plusieurs sous-catgories, et comprennent notamment les portes drobes, les droppers, les notificateurs, les logiciels espions (dont les keyloggers) etc. Ils ont chacun des objectifs spcifiques. Certains chevaux de Troie utilisent galement des rootkits pour dissimuler leur activit.

Autres menaces

D'autres menaces existent. Elles ne sont pas dangereuses en elles-mmes pour la machine, mais servent installer des infections ou raliser des attaques DNS. Il s'agit des outils de dni de service (DoS et DDoS), des exploits, inondeurs, nukers, du pharming, et des programmes qui servent crer des logiciels malveillants, en particulier les virtools, les gnrateurs polymorphes, ou les crypteurs de fichiers. Les publiciels (adware) et les rogues (ranongiciels ou riskwares) ne sont pas non plus directement dommageables pour la machine. Il s'agit de programmes utilisant des techniques de mise en march (ouverture de fentres intempestives, enregistrement automatique dans la barre URL, modification des liens rfrencs) bien souvent contraires l'thique. Certains lments, qui ne sont pas l'origine conus pour tre malveillants, sont parfois utilises des fins illgales et/ ou compromettantes. Il s'agit notamment des composeurs, tlchargeurs, enregistreurs de frappes, serveurs FTP, mandataires (proxy), Telnet et Web, clients IRC, canulars, utilitaires de rcupration de mots de passe, outils d'administration distance, dcortiqueurs et moniteurs.

Environnement de prdilection
Les programmes malveillants ont t dvelopps pour de nombreux systmes d'exploitation et applications. Pourtant, certains d'entre eux n'ont jamais t concerns. En effet, les auteurs de virus privilgient les systmes d'exploitation largement utiliss ; les systmes comportant des vulnrabilits ; et ceux pour lesquels une documentation dtaille est disponible (puisqu'elle inclut des descriptions des services et des rgles en vigueur pour crire des programmes compatibles). Le volume de logiciels malveillants destins Windows et Linux est peu prs proportionnel leurs parts de march respectives.

Historique
La dmocratisation massive de l'utilisation des ordinateurs fut accompagne d'une explosion du nombre de virus. Ces derniers ont ensuite volu paralllement aux technologies. Dans les annes 1980, ils visaient un ensemble de systmes d'exploitation et de rseaux ; dans les annes 1990, ils servaient surtout drober des informations confidentielles comme celles relatives aux comptes bancaires ou les mots de passe ; de nos jours, la majorit des virus exploitent les failles de Windows, le systme d'exploitation le plus rpandu travers le monde.

Annes 1940 - 1960 : La reproduction automatise

Selon certains spcialistes, le concept de virus informatique trouve son origine dans les travaux de John von Neumann au sujet des automates mathmatiques reproduction automatique, clbres dans les annes 1940, et en 1951, il avait expos plusieurs mthodes pour les crer. En 1959, Lionel Penrose, un mathmaticien britannique, avait prsent ses propres thories sur le sujet, dans un article intitul Self-reproducing Machines , publi dans le Scientific American. la diffrence de Neumann, il dcrit un modle simple deux dimensions pour cette structure qui peut tre active, se multiplier, muter et attaquer. Peu aprs la publication de l'article de Penrose, Frederick G. Stathl reproduit ce modle en code machine sur un IBM 650. cette poque, ces travaux n'taient pas destines dvelopper des virus informatiques. Elles ont ensuite servi de fondations de nombreuses tudes ralises plus tard sur la robotique et l'intelligence artificielle.

En 1962, un groupe d'ingnieurs des laboratoires Bell Telephone (compos de V. Vyssotsky, G. McIlroy et Robert Morris) crrent un jeu baptis Darwin qui consistait suivre et dtruire les programmes des concurrents, chacun des adversaires tant capable de se multiplier. Ce jeu est bti autour d'un arbitre dans la mmoire de l'ordinateur qui dfinit les rgles et l'ordre de bataille entre les programmes concurrents crs par les joueurs. Le jeu consiste supprimer les programmes des concurrents et contrler le champ de bataille.

Annes 1970 : les rseaux ddis

Les premiers virus sont apparus ds les annes 1970, notamment Creeper, sur des rseaux ddis comme ARPANET (un rseau informatique de l'arme amricaine, prdcesseur d'Internet). Ce virus tait capable d'accder un systme distant via un modem et de s'y insrer, affichant alors un message d'avertissement l'utilisateur infect : I'M THE CREEPER : CATCH ME IF YOU CAN . Peu aprs, le programme Reaper a t cr par des auteurs anonymes, avec pour but d'liminer Creeper lorsqu'il le dtectait. Il s'agissait en fait d'un autre virus, capable de se propager sur les machines mises en rseaux. En 1975, Pervading Animal, un autre jeu dvelopp pour un Univac 1108 est apparu. Actuellement, les experts n'ont pas encore dfini s'il s'agissait d'un virus ou du premier cheval de Troie.

Annes 1980 : premires pidmies

Dans les annes 1980, les virus sont apparus en nombre et les premiers chevaux de Troie ont t dvelopps. Ces derniers n'taient pas capables de se reproduire ni de se propager, mais une fois tlchargs et installs, ils endommageaient les systmes. L'utilisation rpandue des ordinateurs Apple II a suscit l'intrt des auteurs de virus : la premire pidmie de virus informatiques (notamment Elk Cloner via les disquettes de dmarrage) grande chelle a alors touch cette plate-forme. En 1986, la premire pidmie de virus informatique compatible avec IBM a t dcouverte. Il s'agissait de Brain, un virus furtif (en cas de tentative de lecture du secteur infect, il affichait les donnes originales saines), capable d'infecter le secteur d'amorage, mais dpourvu de charge utile, et donc inoffensif3. la suite d'une perte de contrle de ses auteurs, le virus se propagea travers le monde en seulement quelques mois. C'est cette mme anne que Ralf Burger, un programmeur allemand, inventa les premiers programmes capables de se copier, en ajoutant leurs fichiers DOS excutables au format COM. En 1987, le clbre virus Lehigh qui tire son nom de l'universit de Pennsylvanie ponyme qui l'a dcouvert tait le premier endommager directement les donnes. En effet, il lanait une routine destructrice qui, finalement, supprimait toutes les donnes de valeur avant de s'auto-dtruire. Il fut particulirement tudi au sein de l'universit de Lehigh et ne connut pas d'expansion travers le monde. cette poque, les utilisateurs commencrent considrer srieusement les questions de scurit informatique. Le premier forum lectronique consacr la scurit contre les virus fut ouvert le 22 avril 1988 : il s'agit du forum Virus-L sur le rseau Usenet, cr par Ken Van Wyk. Cette mme anne, le premier canular fit son apparition. Cela consistait rpandre des rumeurs au sujet de nouveaux virus dangereux. Ce type de pratique, n'est pas dangereuse pour l'ordinateur luimme (les canulars utilisent seulement de la bande passante), mais discrdite les utilisateurs qui y croient. Cette mme anne, Robert Morris lana un autre canular qui traitait d'un prtendu virus capable de se propager sur les rseaux et de modifier les configurations du port

et du lecteur qui avait alors infect 300 000 ordinateurs en moins de 12 minutes dans les deux tats du Dakota. En novembre 1988, le ver Morris fut dcouvert, infectant plus de 600 systmes informatiques aux tats-Unis, y compris celui du centre de recherche de la NASA. Il exploitait une vulnrabilit d'UNIX sur les plates-formes VAX et Sun Microsystems, et utilisait plusieurs mthodes innovantes (comme la collecte des mots de passe) pour accder aux systmes ; Ce ver tait capable de se multiplier et envoyait un grand nombre de copies de lui-mme, saturant ainsi compltement les rseaux. Les pertes globales engendres par ce ver furent estimes 96 millions de dollars amricains. En 1988, l'antivirus nomm Dr. Solomon's Anti-Virus Toolkit (cr par Alan Solomon, un programmeur anglais) a vu le jour (sa socit a ensuite t rachete par l'entreprise amricaine Network Associates devenue ensuite McAfee, Inc ; et en 1989, plusieurs autres antivirus, dont V (dvelopp par E. Kaspersky), F-Prot, ThunderBYTE, Norman Virus Control et Virscan for MS-DOS (cr par IBM) ont t mis au point.

Annes 1990 : Le polymorphisme

En 1990, les auteurs de virus ont dvelopp de nouvelles caractristiques, notamment les virus polymorphes comme ceux de la famille Chameleon (base sur d'autres virus clbres comme Vienna et Cascade) ; Leurs codes taient non seulement crypts, mais aussi automatiquement modifis chaque infection. Cette particularit les protgeait des antivirus de l'poque, alors bass sur la recherche contextuelle classique pour dtecter des lments de codes de virus connus. Peu aprs, les experts de la lutte contre les virus ont mis au point des algorithmes spciaux capables d'identifier ce nouveau type de virus. Cette anne marque galement l'apparition de virus d'origine bulgare, comme Murphy, Nomenclatura, Beast ; et russe, avec Eterburg, Voronezh, LoveChild, etc. L'inauguration de l'EICAR (Centre europen de recherche contre les virus informatiques) a galement eu lieu cette anne Hambourg. Elle regroupait des professionnels faisant partie des socits ditrices d'antivirus, et est considre depuis comme l'une des organisations internationales les plus respectes. En 1991, 300 exemplaires de virus taient recenss. Au dbut de cette anne, de nouveaux logiciels antivirus, notamment Norton Antivirus, Central Point Antivirus et Untouchable (ces deux derniers ont ensuite t rachets par Symantec) ont t dvelopps. En 1992, le nombre de virus principalement ceux s'attaquant au secteur d'amorage a explos. Ils visaient alors le systme d'exploitation le plus rpandu, MS-DOS, sur les platesformes les plus utilises, en particulier l'IBM-PC. De nouveaux logiciels antivirus ainsi que des livres et des magazines consacrs aux virus informatiques ont alors t publis. Cette mme anne, les autorits judiciaires du monde entier ont instaur des dpartements exclusivement consacrs la lutte contre la cybercriminalit (par exemple, la brigade de criminalit informatique de New Scotland Yard). Le premier virus pour le systme d'exploitation Windows, dnomm Win.Vir_1_4, est apparu ; il infectait les fichiers excutables du systme d'exploitation. En 1993, de nouveaux virus dots de nouvelles techniques d'infection, de pntration des systmes, de destruction des donnes et de dissimulation vis--vis des logiciels antivirus ont t dvelopps (par exemple, PMBS et Strange). Cette mme anne, Microsoft lana son propre logiciel antivirus, nomm Microsoft AntiVirus (MSAV). Il tait bas sur l'ancien Central Point AntiVirus (CPAV), et tait inclus dans les versions standard de MS-DOS et de Windows. Malgr l'efficacit dmontre, le projet fini par tre abandonn par la suite.

En 1994, les cdroms faisaient partie des principaux vecteurs de propagation des virus ; le march informatique a ainsi t inond par une dizaine de milliers de disques infects, et comme la dsinfection tait impossible, ils devaient alors tre dtruits. En 1995, lmergence des virus de macro (notamment dans MS Word et d'autres applications MS Office) a pos de nouveaux dfis aux diteurs de logiciels antivirus, alors amens dvelopper de nouvelles technologies pour les dtecter. L'anne 1996 marque le dbut des hostilits lances par la communaut informatique clandestine contre les systmes d'exploitation Windows 95 (par exemple le virus Boza) et Windows NT, ainsi que contre d'autres applications comme Microsoft Office. Le premier virus Windows dtect dans la nature tait Win.Tentacle. En effet, ces virus taient jusqu'alors principalement contenus dans des collections ou des journaux lectroniques destins aux auteurs de virus. Le premier virus pour Linux, dnomm Linux Bliss, est apparu en fvrier 1997 ; les virus et chevaux de Troie visant ce systme d'exploitation sont toutefois rests rares, vu sa faible popularit face Microsoft Windows. Cette mme anne, le virus de macro ShareFune pour MS Word (versions 6 et 7) tait le premier de son genre se propager par courrier lectronique (notamment via le client MS Mail). Le dveloppement d'Internet et particulirement celui de mIRC (Internet Relay Chat) ont t invitablement accompagns de celui des virus et des vers. 1997 est galement l'anne des scandales et des mesquineries entre plusieurs socits ditrices d'antivirus (notamment McAfee et Dr. Solomon's / Trend Micro contre McAfee et Symantec), au sujet de tricheries et de brevets. Le premier module excutable malicieux Java, Java.StrangeBrew, est apparu en aot. Le 26 mars 1999, Melissa, le premier virus de macro MS Word avec fonction de ver Internet, a dclench une pidmie mondiale. Une fois l'infection installe, ce virus balayait le carnet d'adresses de MS Outlook et envoyait sa propre copie aux 50 premires qu'il trouvait. Comme Happy99, Melissa agissait l'insu de l'utilisateur mais les messages semblaient venir de l'utilisateur lui-mme. Ce virus a forc plusieurs socits comme Microsoft, Intel et Lockheed Martin fermer momentanment leur systme de messagerie. Les dgts causs par ce virus sont estims plusieurs dizaines de millions de dollars amricains. En novembre, une nouvelle gnration de vers (Bubbleboy et KaKWorm), est apparue. Ils exploitaient une faille d'Internet Explorer, et se propageaient par courrier lectronique sans pice jointe, infectant l'ordinateur ds que le message tait lu. Vers le milieu de l'anne 1999, le secteur antivirus s'est officiellement divis en deux parties quant l'attitude adopter face au bogue de l'an 2000. La premire tait convaincue que la communaut informatique clandestine enverrait des centaines de milliers de virus capables de faire le monde s'crouler , et incitant donc largement les utilisateurs installer un logiciel antivirus. La seconde partie tentait de maintenir le calme des utilisateurs paniqus. Aucun bogue apocalyptique n'a finalement eu lieu.

Annes 2000 : Une expansion insatiable

Le 6 juin, Timofonica est dtect comme le premier virus (qualifi ainsi par les journalistes) utiliser d'une manire rduite les tlphones mobiles. En plus de la propagation par courrier lectronique, ce virus tait capable d'envoyer des messages vers des numros alatoires appartenant au rseau Movistar de Telefonica, le gant mondial des

tlcommunications. Il n'avait aucun effet dommageable sur les tlphones mobiles. Le virus Liberty a t dcouvert en aot 2000. Il s'agit du premier cheval de Troie nuisible viser le systme d'exploitation Palm OS du Palm Pilot. Ce programme malveillant supprimait les fichiers mais n'tait pas capable de se reproduire. Phage a ensuite t le premier vritable virus dit classique pour PalmOS. En 2000, le courrier lectronique tait considr (en particulier par Kaspersky Lab) comme le principal vecteur de propagation des virus. Cette anne, 37 nouveaux virus et chevaux de Troie ont t crs pour le systme d'exploitation Linux, multipliant ainsi la quantit globale de virus lui tant destin par sept. Jusqu'alors, les virus de macro taient les plus rpandus, avant d'tre dtrns par les virus de script. En 2001, le nombre d'attaques de virus et de vers (apparition des vers sans fichiers, existant uniquement dans la mmoire RAM) a continu d'augmenter, malgr les ripostes parallles des diteurs de logiciels antivirus. Les infections utilisaient surtout les vulnrabilits, le courrier lectronique et Internet. Une nouvelle technique d'infection est apparue : il n'est plus ncessaire de tlcharger des fichiers, une simple visite sur le site infect suffit. La majorit des utilisateurs ont t infects par des programmes malveillants qui exploitaient les vulnrabilit d'Internet Explorer. L'utilisation d'autres vecteurs comme ICQ, IRC, MSN Messenger et les rseaux de partage de fichiers pour la propagation de programmes malveillants a galement commenc se dvelopper. En 2001, les vers pour Windows constituaient la majorit des nouvelles menaces. L'ampleur des pidmies provoques par CodeRed, Nimda, Aliz, BadtransII, ILoveYou, Magistr et SirCam a chang le monde de la scurit informatique, et dict la tendance pour l'volution des programmes malveillants dans les annes venir. 2001 marque galement l'augmentation des attaques sur Linux (par exemple Ramen, qui a infect entre autres la NASA) ; la majorit de ces codes malicieux exploitent des vulnrabilits du systme d'exploitation. La multiplication de ces menaces a montr le manque total de prparation des dveloppeurs Linux, convaincus jusqu'alors que ce systme d'exploitation tait sr. En 2002, les virus de script et d'autres virus classiques ont quasiment disparu. En 2003, deux attaques mondiales sur Internet ont t dclenches : Lovesan et le ver Slammer. Ce dernier, qui exploitait une vulnrabilit des serveurs MS SQL pour se propager, a infect plusieurs centaines de milliers d'ordinateurs dans le monde en quelques minutes seulement. Cette anne, un nouveau type de chevaux de Troie est apparu, les chevaux de Troie proxy. l'automne de cette anne, les chevaux de Troie avaient dpass les virus en nombre, et cette tendance tendait continuer. En 2003, environ 10 virus de fichiers toujours actifs taient dnombrs. Le crash du vol 5022 Spanair d'aot 2008 pourrait tre d, en plus d'une erreur de pilotage, un logiciel malveillant de type cheval de Troie, qui aurait empch le systme d'alerte de fonctionner4. Depuis les annes 2000, 3 milliards de codes malveillants attaquent chaque anne les ordinateurs dans le monde entier5.

Auteurs de malwares et motivations

Tous les groupes d'auteurs de malwares reprsentent un danger pour la scurit informatique. Les programmes malveillants sont majoritairement dvelopps par des auteurs professionnels.

Auteurs
Le cyber vandalisme Aux dbuts du malware, certains, peu dangereux et peu rpandus, taient crits par des programmeurs qui voulaient tester leurs propres capacits. D'autres, assez peu volus, l'ont t par des tudiants en programmation informatique. Avec le dveloppement d'Internet, des sites et des forums spcialiss, de nouvelles perspectives se sont ouvertes. Les professionnels Certains anciens script kiddies ont continu uvrer dans le milieu de l'informatique underground. Ils forment dsormais un rseau de professionnels trs secret, auteurs d'pidmies particulirement virulentes. Les pseudo-scientifiques Les auteurs de POC (Proof of Concept) se dfinissent eux-mmes comme des chercheurs, dont la motivation ne serait pas pcuniaire, mais scientifique. Ils forment un petit groupe qui se consacre au dveloppement de nouvelles mthodes de pntration et d'infection des systmes d'exploitation, cela sans tre dtects par les logiciels antivirus. Ils ne dvoilent gnralement pas le code source de leurs malwares, mais discutent de leurs trouvailles sur des sites spcialiss.

L'appt du gain
La principale motivation est sans conteste financire. En 1997, les premiers chevaux de Troie ont t dvelopps avec pour but de rcolter les mots de passe d'AOL (puis d'autres FAI), pour que leurs auteurs puissent accder gratuitement Internet. De nos jours, il s'agit de trouver et/ou de crer des clefs de licence (voir keygen) pour les logiciels payants, les auteurs de ce type de fraudes prnant le libre-partage des informations. Le cyber crime est galement trs rpandu, pratiqu par des fraudeurs particuliers ou professionnels. Ils extirpent directement de l'argent aux utilisateurs via des ranongiciels ou des rogues ; crent puis vendent des rseaux de bots destins l'envoi massif de spam (ils sont ainsi rmunrs) ou aux attaques de DOS suivies de chantage (ces attaques visent surtout les boutiques en lignes, les sites bancaires et de jeux en ligne). Les chevaux de Troie espions sont utiliss afin de drober de l'argent des comptes bancaires et paypal. Les auteurs de malwares et les hackers sont galement rmunrs dvelopper et entretenir des moyens pour rediriger les navigateurs vers des sites web payants, ou contenant des programmes malveillants, en particulier grce aux adwares et aux composeurs.

Notes et rfrences
1. 2. 3.

Cet article est principalement issu de l'article de viruslist.com

Sophistiqu, le crime organis [archive], sur Cyberpresse,21 aot 2010 (consult le 21 aot 2010) (en) Joanna Rutkowska, Introducing Stealth Malware Taxonomy , Black Hat Federal Conference, COSEINC Advanced Malware Labs,novembre 2006 (lire en ligne [archive] [PDF]) Brain a t fabriqu par deux frres pakistanais, Basit et Amjad. Source: DEFCON 19 : The history and the evolution of computer viruses [archive], par Mikko Hypponen. Dtail 03:48.

4. 5.

[1] [archive] Guy de Felcourt, L'usurpation d'identit ou l'art de la fraude sur les donnes personnelles, CNRS Editions,2011, 314 p.

Voir aussi
Articles connexes

Criminalit informatique, Crimeware Fuite d'information Vulnrabilit (informatique) Logiciel espion Facticiel