[L'oeil des experts] 1 an d'évolution de maliciels
Chaque semaine dans l’œil des experts, retrouvez l’avis personnel d’un professionnel high-tech en poste dans une des sociétés qui font notre actualité.
Laurent Heslaut
Laurent Heslault est Chief Technology Officer Security chez Symantec. Après plus de 20 ans passés dans l'environnement informatique, dans le service, le matériel, ou le logiciel, il est aujourd'hui un des porte-paroles en France de l'éditeur américain et s'intéresse de prés au cyber-crime.
Joyeux anniversaire Conficker ! Enfin, si l’on peut dire, car c’était bien en janvier 2009 que le « phénomène » commençait à prendre de l’ampleur. Une année plus tard, c’est « Hydraq » qui défraye la chronique. Même si entre temps d’autres programmes malveillants ont fait parlé d’eux, les caractéristiques globales de Conficker et Hydraq sont intéressantes à confronter, car finalement très différentes.
Ceci reste une vision très simplifiée de la situation actuelle; plus de détails techniques sont disponibles en suivant les liens proposés plus bas.
Type de Maliciel (caractéristiques majeures) | Ver Conficker se distingue principalement par ses capacités de propagations variées. | Porte dérobée L’essentiel de Hydraq se concentre vers les fonctions de contrôle à distance. |
Vecteur d’infection | Multiple, auto-propagation Vulnérabilité système Partages réseau P2P | Simple Vulnérabilité navigateur |
Vulnérabilité ciblée Bulletin de sécurité MS | ||
Vulnérabilité « Zéro Day » (détectée par ses effets, correctif non disponible à l’origine) | NON La vulnérabilité a été révélée conjointement à la mise à disposition d’un correctif | OUI Diffusion du correctif une semaine environ après la découverte de la vulnérabilité |
Command & Control | Complexe Communication vers de multiples domaines créés de manière aléatoire, parallèlement au P2P. | Simple Un seul domaine codé « en dur », rapidement identifié et fermé. |
Diffusion | Large Conficker s’est rapidement propagé sur des millions de machines, et reste actif à ce jour. | Réduite Hydraq est utilisé pour des attaques très ciblées et de ce fait très peu répandu, pour l’instant. |
Systèmes de défense | Considérable Conficker embarque de nombreuses techniques pour se protéger | Faible Utilisation de la technique du « code spaghetti » |
Système de mise à jour | Intégré Le système de mise à jour est très sophistiqué et automatisé. | Manuel La mise à jour est théoriquement possible mais non automatique. |
Variantes | Plusieurs 3 variantes majeures (A,B,C) puis d’autres mineures | Non-significatif Quelques infimes variations du code. |
Fonctionnalités | Pauvres Conficker se comporte plus comme une plateforme de téléchargement ouverte à d’autres activités malveillantes (BotNet, Facticiels…), voire à la location. | Riches Les options disponibles dans Hydraq autour de la prise de contrôle à distance sont puissantes, avec notamment la possibilité de « voir » la machine infectée via des outils de type VNC. |
Motivation principale | Profits financiers Approche cybercriminelle « classique » qui cherche des profits rapides. | Vol d’information Un « retour sur investissement » à plus long terme, en fonction des informations dérobées. |
Détection | Facile | Facile |
Suppression | Complexe A cause des mécanismes d’auto-défense et des ré-infections successives au sein d’un réseau local | Aisée Aucune technique de camouflage |
Mesures de protection | Mise à jour OS, navigateurs et plug-ins les plus fréquentes possibles et suite de sécurité de dernière génération. | Mise à jour OS, navigateurs et plug-ins les plus fréquentes possibles et suite de sécurité de dernière génération. |
Globalement, Conficker est un maliciel dont le développement a surtout porté sur les vecteurs de propagation, les techniques de mise à jour et les mécanismes de défense, mais sans réel potentiel d’attaque une fois en place, misant sur le téléchargement ultérieur d’autres menaces. Hydraq en revanche, s’il reste plus simple en matière d’installation et d’auto-défense, possède un large panel de fonctionnalités à disposition de l’attaquant, jusqu’au contrôle complet de la machine, écran, clavier souris compris.
Alors, approches différentes ou évolution plus profonde ? Plus certainement une adéquation au besoin et au but recherché. En tout état de cause, le soin et le temps consacré au développement et au « lancement » de ces « produits » (estimation grossière de 3 à 4 mois pour Conficker, la moitié pour Hydraq) démontre les capacités techniques, organisationnelles des auteurs et/ou donneurs d’ordres, qu’il serait particulièrement dangereux de sous-estimer.
Liens utiles :
Mais que c'est laid cette utilisation des mots francisés qui veulent rien dire !!!
Sympa de faire un p'tit dossier comme ca, mais la francisation des termes ... oubliez parce que c'est du grand n'importe quoi !.
/mode boulet on :
Moi je m'en fou je suis sous Linux y'a pas de virus, windows c'est plein de failles lol mdr
/mode boulet off
Sympa ce type de comparatif, ça permet de mieux cerner les noms qu'on entend souvent.
Quel titre pompeux pour un contenu si dérisoire. Je ne conteste pas ce qui est dit mais la non-adéquation du contenu avec le titre. Là où je m'attendais à un article de fond je constate qu'on compare seulement 2 "maliciels" totalement différents. Si encore le but visé était le même, à savoir prendre le contrôle du PC, faire des botnets, etc, là cette analyse aurait déjà été plus pertinente. Mais comparer 2 "maliciels" aux buts différents et conclure que le but recherché n'est pas le même c'est se foutre de la gueule du monde.
Mais que c'est laid cette utilisation des mots francisés qui veulent rien dire !!!
Ben ça dépend. Tu vois, autant je suis contre "bogue" ou "bloc", autant "courriel" ou "pourriel", j'overkiffe.
Je boycotterai ce genre d'articles tant que ce vocabulaire ridicule sorti de je ne sais d'où sera utilisé.
Si la langue française en est rendue à de telle artifices pour subsister c'est quand même grave...
Sympa de faire un p'tit dossier comme ca, mais la francisation des termes ... oubliez parce que c'est du grand n'importe quoi !.
ça fait des dizaines d'années que la francisation de termes étrangers ne sert qu'a satisfaire les extremistes de la langue française
Fermez donc vos bouches ! si vous voulez de l'anglais pour ce dossier clairement expliqué, eh bien allez donc le lire depuis un site anglais. Moi et beaucoup d' autres ne sont pas choqués par les termes employés.