La cible d’un virus informatique peut être indirecte : il y a des exemples de virus qui se propagent silencieusement sur des millions d’ordinateurs connectés à l’In-ternet, sans y commettre le moindre dégât. Puis, à un signal donné, ou à une heure fixée, ces millions de programmes vont se connecter à un même serveur Web, ce qui provoquera son effondrement. C’est ce qu’on appelle un déni de service distri-bué(Distributed Denial of Service, DDoS).
Un tel virus s’appelle en argot SSI un bot, et l’ensemble de ces virus déployés un botnet. Les ordinateurs infectés par des bots sont nommés zombis.
De l’historique du termezombi
Le termezombiutilisé pour qualifier les ordinateurs qui ont été infectés par un virus (réticulaire, cheval de Troie, ...) ne doit bien sûr rien au hasard. Ces ordinateurs ressemblent effectivement à des morts-vivants : ces machines donnent l’impression de ne rien faire (il serait plus judicieux d’écrire que leur utilisateur n’a pas conscience de l’infection par un programme malveillant) et pourtant elles participent à de mauvaises actions, comme par exemple l’envoi de courrier électronique non sollicité ou bien des attaques par déni de service distribué.
De l’avis même des fournisseurs d’accès à l’Internet, ces postes de travail infectés représentent aujourd’hui la principale menace visible : une contribution même modeste (quelques dizaines de messages par heure) de chaque ordinateur, vu le nombre de machines infectées (des centaines de milliers rien qu’en France), suffit pour être à l’origine de dizaines de millions de messages non sollicités chaque jour.
Au grand dam des techniciens avertis qui sont lésés dans l’affaire, l’une des mesures phare adoptées (ou en cours d’adoption) par de nombreux fournisseurs d’accès à l’Internet grand public est de restreindre l’accès à l’Internet. Ainsi face auxzombisqui envoient des courriers non sollicités, le filtrage du port 25 devient une norme de fait, obligeant les utilisateurs avertis à prendre le risque de confier leur courrier électronique à leur fournisseur (l’utilisateur moins averti le fait probablement déjà et de façon naturelle).
Nous donnerons une définition plus complète du port à l’encadré page 122, mais pour l’instant il nous suffit de savoir que chaque extrémité d’un flux de données en circulation sur le réseau est identifiée par un numéro arbitraire mais unique, son numéro de port. Le port 25 est dévolu au pro-tocole SMTP utilisé par le courrier électronique, et ainsi chaque émission de message électronique a pour destination le port 25 d’un serveur de messagerie.
Existe-t-il encore des virus qui ne soient pas des chevaux de Troie ?
La réponse à cette question est bien sûr oui et il faut continuer à lutter. Les chiffres montrent cependant qu’en termes de volume les virus circulant du fait dezombisou de « chevaux de Troie » représentent bien plus de 95 % du volume des messages avec virus circulant sur le réseau (chiffres obtenus d’un grand prestataire français d’accès à l’Internet, sur ses passerelles destinées au marché des entreprises).
Un beau virus réticulaire : Conficker
Octobre 2008 a vu la naissance d’un nouveau virus dont tous les spécialistes conviennent qu’il représente un saut dans l’innovation technologique : Conficker.
Conficker a rapidement infecté des millions d’ordinateurs. Sa technique de pro-pagation repose sur un débordement de tampon (cf. page 94) qui exploite une vulnérabilité connue et corrigée du système Windows (c’est-à-dire qu’un ordina-teur à jour des corrections de sécurité ne devrait pas être vulnérable). Il provoque des perturbations gênantes du fonctionnement du système : désactivation de ser-vices tels que les mises à jour automatiques de logiciel, le contrôle de sécurité ou la journalisation des erreurs.
Une fois installé, Conficker communique avec son maître au moyen d’un appel de procédure à distance (Remote Procedure Call, RPC) spécialement conçu à cet effet, ce qui permet la constitution de réseaux d’ordinateurs-zombis oubotnets(cf.
page 58). Par le canal de communication, la copie de Conficker sur un ordinateur infecté peut recevoir de son maître des mises à jour du virus, des listes d’actions à effectuer, et lui envoyer des informations recueillies sur place.
La plupart des programmes malicieux qui veulent établir une telle communication utilisent directement les adresses IP des machines concernées : Conficker innove en utilisant le DNS, c’est à dire qu’il crée ou qu’il usurpe des milliers de noms de domaines, au moyen desquels les maîtres du virus communiquent avec leurs esclaves.
Les auteurs de Conficker utilisent les techniques les plus récentes de la program-mation réseau, et produisent à un rythme élevé des versions améliorées de leur virus. Le CERT LEXSI est en mars 2009 la meilleure source d’informations en langue française sur le sujet. On pourra notamment consulter les articles relatifs à la détection du virus2, au contournement des mesures prises par Microsoft pour ralentir la propagation des virus3, à l’accroissement du nombre de noms de do-maines générés4, et à un projet de vaccin contre Conficker5: rappelons en effet qu’il existe de troublantes analogies entre les vrais virus et ceux des ordinateurs6. Il existe aussi un excellent article en anglais de Phillip Porras, Hassen Saidi et Vinod Yegneswaran sur le site de SRI International7.
Cette évolution technique permanente met en difficulté les organismes qui cherchent à organiser la défense au sein d’une alliance informelle nommée Confi-cker Working Group8 et qui réunit l’Internet Corporation for Assigned Names and Numbers(ICANN) et un certain nombre d’entreprises et d’équipes de recherche en sécurité informatique. Les experts estiment que l’épidémie Conficker est la
2. http://cert.lexsi.com/weblog/index.php/2009/03/17/
plus grave depuis SQL Slammer en 2003. Les traces des communications laissées par le virus suggèrent une source de l’épidémie dans l’est de l’Europe.
Ver
Un ver(worm) est une variété de virus qui se propage par le réseau. Il peut s’agir d’unbot(cf. ci-dessus). En fait, alors qu’il y a cinq ou six ans les virus n’étaient pas des vers (ils ne se propageaient pas par le réseau) et les vers n’étaient pas des virus (ils ne se reproduisaient pas), aujourd’hui la confusion entre les deux catégories est presque totale.