InfoSecurity 2007 : la menace Storm Worm décryptée par Kaspersky
Indécelables par les moyens traditionnelles, les vers de nouvelle génération type Storm Worm rendent la mise en oeuvre de protection complexe.
Affluence oblige, les plates-formes de réseaux sociaux (MySpace, YouTube, etc.) et les sites qui surfent sur les tendances du moment sont les premières victimes de ce mode d’attaque. Et le temps de développement des éléments contaminants est foudroyant. De 15 jours en 1999, la création d’un script exploitant une faille était de 15 minutes en 2003 et de moins de 4 minutes aujourd’hui. « Le zero day est une réalité aujourd’hui« , alarme le chercheur.
Les réseaux maillés des pirates impossibles à détruire
Même l’architecture du botnet a évolué. Les pirates s’inspirent aujourd’hui des protocoles d’échange P2P pour créer à leur tour des réseaux maillés quasiment impossibles à fermer contrairement aux botnet de générations précédentes où il suffisait de couper le lien avec l’adresse IP des quelques machines qui lançaient l’ordre d’attaque. Dans un réseau maillé, elles sont interchangeables. Même si une machine d’attaque tombe, une autre peut rapidement prendre la relève.
Cela passe notamment par une nouvelle génération de consoles de contrôle des botnets. « Les pirates ne s’encombrent plus de connaître le nombre de machines de leur réseau« , explique l’expert de Kaspersky, « ils disposent d’informations de géolocalisation couplées à des taux de puissance disponible en temps réel. » Ce qui leur permet de cibler leurs attaques par zone géographique. « Un pirate peut ainsi lancer une attaque sur un pays à partir d’un autre territoire alors qu’il n’est situé sur aucun des deux. » Ce qui tendrait à confirmer l’hypothèse que les autorités chinoises ne sont pas forcément à l’origine des multiples attaques lancées depuis la Chine à l’encontre de plusieurs pays occidentaux.
Demain, les terminaux mobiles
Face à de tels modes de propagation et d’infection, particulièrement par le surfe anodin, les technologies de détection des signatures virales traditionnelles ne suffisent plus. Pour y répondre, Kaspersky préconise l’analyse comportementale du système et la surveillance heuristique à travers la vérification de l’intégrité du registre, la surveillance des processus lancés et du fichier Host local (qui contient les correspondances des adresses IP aux noms d’hôtes), et le blocage des rootkit.
Une méthode qui se traduit par l’offre ProActive Defense intégrée à la suite Internet Security 2007. Une technologie qui, en cas de confirmation d’un comportement suspect, est en mesure d’effacer toutes les altérations connexes et antérieures d’un code malicieux, selon l’éditeur.
Aujourd’hui les PC. Demain, les terminaux mobiles, notamment les téléphones portables. « Tout est prêt« , lance Marc Blanchard, « les malwares savent se propager, notamment par les failles Bluetooth et Wi-Fi, et savent communiquer. Les pirates attendent juste la mise en oeuvre des services de paiement pour lancer les attaques. » Le marché de la sécurité IT a de beaux jours devant lui.