Virus : ce que le futur nous réserve
Par JDNet Solutions (Benchmark Group)


Vendredi 20 décembre 2002

 

Après une année 2002 relativement stable sur le plan de l'activité virale, que nous préparent pour 2003 les concepteurs de virus ? Faute de pouvoir pénétrer directement leurs secrets - et leurs intentions - bien gardés, nous avons sondé deux experts anti-viraux français, en s'intérrogeant notamment sur la possibilité d'une vague de virus à caractère politiques, ouvertement destructeurs.

Année mouvementée ?

A les croire, l'année qui vient promet d'être riche en rebondissements : "la menace d'un virus touchant l'Instant Messaging nous pend au nez - s'inquiète Damase Tricart, Chef de Produit chez Symantec. Je pense que le premier d'entre-eux ne tardera pas à émerger, et qu'il affectera l'un des logiciels d'Instant Messaging les plus utilisés". MSN Messenger, selon toute vraisemblance.

Pour François Paget - Chercheur antivirus chez McAfee, "2003 sera probablement une année noire pour les logiciels de peer-to-peer. Benjamin - le premier virus à avoir infecté un réseau de peer-to-peer - a fait son apparition le 16 mai de cette année. Et il a donné des idées à beaucoup de monde : on compte aujourd'hui pas moins de 400 virus dans le même esprit".

Inquiétant, mais sans doute pas autant que les progrès affichés par les techniques de programmation des virus : "il n'y a pas eu d'innovation majeure en 2002 - reconnaît Damase Tricart (Symantec). Mais les pirates ont agi intelligemment, en faisant la synthèse des meilleures techniques existantes, et en poussant chacune d'entre-elles dans ses retranchements ". Et ce n'est pas fini, "il demeure incontestablement des terrains d'exploration et de synthèse pour les concepteurs de virus" déplore François Paget.

2003 ne sera probablement pas une année calme, comme le laisse penser le tableau suivant - qui fait le récapitualif des techniques d'infection dont nous avons le plus à craindre.

Les techniques de conception de virus à surveiller ...
Nom
Descriptif
Virus "multi-facettes"

Pour passer les barrages et rentrer sur un PC, la plupart des virus se contentent de reproduire une seule et même attaque. D'autres au contraire multiplient les tactiques jusqu'à trouver la brèche. Nimda peut par exemple se propager par e-mail, réseau, infection locale, consultation du web, plusieurs types de backdoors, etc. D'autres enfin exploitent désormais les failles de sécurité répertoriées des logiciels, "d'où l'intérêt d'appliquer soigneusement les patches de sécurité" - prévient François Paget. Ces virus se propagent logiquement beaucoup mieux.

Virus "multi
plate-forme"

Sur les PC personnels, le système d'exploitation dominant est Windows. A partir du moment où un virus sait s'infiltrer sur toutes les versions de Windows, il se propage comme une traînée de poudre sur les postes clients ; mais pas sur les serveurs. Il peut être très intéressant pour un virus d'infecter aussi les serveurs, sur lesquels Windows est beaucoup moins hégémonique. D'où l'intérêt de concevoir des virus compatibles Windows et Linux.
Mais le défi n'est pas facile à relever : "les systèmes se ressemblent si peu qu'il est nécessaire de concevoir deux virus différents, et de les intégrer dans un seul fichier pour parvenir à un résultat efficace" estime François Paget. Un tour de force qui n'est pas à la portée du premier pirate venu. Le virus Etap D a récemment fait passer le concept de l'infection virale conjointe Linux/Windows de la théorie à la réalité.
Reste encore à démontrer qu'un tel virus pourrait se propager sur d'autres plate-formes, comme les PDA, les téléphones 3G, les Tablet PC, etc.

Virus à "point d'entrée obscur"

Les choses se compliquent : la plupart des virus infectent les ordinateurs en se plaçant au tout début du fichier infecté - au point d'entrée du code. D'autres sont au contraire capables de se placer à divers endroits du code, de façon aléatoire. Un véritable cauchemar pour les éditeurs d'antivirus : "j'ai passé deux semaines à imaginer une méthode de dépistage contre le virus Suk, en faisant attention à ce que ma parade ne consomme pas trop de ressources. A ce moment là, je dois bien avouer que j'ai eu un peu peur. Mais il y a toujours une parade" se rappelle Fraçois Paget. La technique du point d'entrée obscur est vieille comme le monde, mais elle revient au goût du jour : "on pourrait presque dire qu'elle se démocratise, même si on ne compte encore que 20 virus de ce type sur les 60000 virus référencés".

L'année 2003 sera - comme il se doit - une année agitée. Faut-il cependant craindre un regain de tension, et anticiper une crise plus grave que de coûtume, qui verrait s'inverser le rapport de forces au profit des pirates et sombrer dans les flots la barque des éditeurs d'antivirus ?

Ces derniers répondent d'une seule voix : "non", assurément pas. Le rapport de force entre les pirates et les éditeurs est campé dans une position relativement confortable : "dans ce jeu du chat et de la souris qui nous oppose, nous bénéficions d'avantages déterminants" - rassure Damase Tricart.

"A chaque fois qu'un virus gagne une partie contre nous, et rentre dans la citadelle de notre antivirus, nous capturons son code et nous redessinons les plans de la citadelle en quelques heures. Ces plans - alias définitions virales - sont envoyés par Internet à tous nos clients, qui peuvent mettre à jour leurs protections. Et le pirate doit tout reprendre à zéro". François Paget rajoute que "[les éditeurs d'antivirus] ont un avantage considérable sur les pirates : ils sont les premiers présents sur l'ordinateur". En somme, nous n'avons rien à craindre.

Virus terroriste ?
A moins que ... les pirates ne s'organisent eux-aussi en un collectif pour lancer plusieurs virus virulents au même moment. A moins qu'ils neutralisent - même temporairement - les mécanismes de mise à jour de chaque éditeur, en attaquant directement ses serveurs - la mésaventure de Kapersky Labs est là pour nous rappeler qu'il n'y a aucun serveur 100 % protégé, même chez les éditeurs d'antivirus. A moins que cette attaque n'ait par exemple un riche commanditaire aux intentions politiques...

"Il n'y a pas de système de protection 100 % fiable, c'est un fait - répond François Paget (McAfee). Il reste encore bien des techniques de propagation et d'émission de virus à inventer, nous en avons la certitude. Prises séparément, ces menaces sont donc crédibles. Mais chacune de ces éventualités est si improbable qu'il n'y a à vrai dire aucun risque de toutes les rencontrer, au même moment, et chez chaque éditeur".

"Sachez aussi qu'il existe un groupe de pirates très organisés, dont les membres écrivent des virus particulièrement créatifs - le groupe 29 A. Ils nous donnent du fil à retordre, mais nous sommes toujours parvenus à les contenir".

Et de poursuivre : "D'ailleurs, à bien y réfléchir, l'idée d'un virus politique est un peu absurde : il n'y a pas un pays, et pas une organisation qui puisse se passer des ordinateurs. Lancer une attaque virale de telle envergure, cela reviendrait à se tirer une balle dans le pied...". Nous voilà donc rassurés.

Le futur des virus vu par deux experts
Damase Tricart - Symantec
François Paget - McAfee
Pour moi, ce serait un virus qui se transmettrait sur toutes les plates-formes, du PC au PDA en passant par les téléphones et les consoles de jeu. Ce serait sans doute un virus vitrine, pas forcément méchant sur toutes les plate-formes. Mais il donnerait beaucoup de prestige à son créateur.

Je pense à un virus qui se propage sur les PC mais aussi sur les équipements mobiles. Ce virus serait capable de composer des numéros surtaxés - à la moralité douteuse - sans que l'utilisateur s'en aperçoive. A raison de plusieurs dizaines de coups de fils par jour, ce virus viderait les poches du propriétaire de la machine, et remplirait celles du pirate.

[