Professionalisation des auteurs de virus

Date :22 Juin 2005

Publication: Article

LE MONDE | 27.04.04 |

Stéphane Foucart

Le nombre de codes malicieux mis en circulation sur Internet augmente considérablement. Les spécialistes de sécurité des systèmes d'information suspectent, notamment, des collusions entre émetteurs de courriels non sollicités et auteurs de programmes malins.

Internet est touché, depuis le début de l'année 2004, par une recrudescence d'une intensité encore jamais atteinte de la production de virus informatiques. Ce phénomène se conjugue avec de profonds changements, notent les spécialistes de la sécurité des systèmes d'information.

Traditionnellement motivés par l'exploit technique et la médiatisation de leurs créatures, nombre d'auteurs de virus sont désormais suspectés d'agir pour le compte de commanditaires peu scrupuleux.

L'année 2003 avait déjà connu une forte intensité de l'activité virale. Cette dernière avait culminé pendant l'été avec, notamment, la diffusion des virus Blaster, Sobig et Welchia (Le Monde du 3 septembre 2003). Selon les estimations de l'éditeur de logiciels antivirus TrendMicro - partagées par la majorité des professionnels du secteur -, une moyenne d'environ 400 souches de codes malicieux sont ainsi apparues chaque mois en 2003. Au cours des premiers mois de 2004, cette statistique connaît, selon les mêmes sources, une très forte augmentation. Au mois de janvier, environ 600 programmes malins ont été détectés. En quatre mois, la tendance ne s'est pas démentie et avril a été marqué par l'identification de près de 1 400 nouveaux codes malicieux.

Plus nombreux, ces derniers sont également plus virulents. Selon François Paget, responsable du centre de recherche de l'éditeur Network Associates, 21 alertes "majeures ou moyennes" ont été déclenchées au cours des quatre premiers mois de l'année. Cet indicateur n'avait pas dépassé 22 pour toute l'année 2003, 11 pour 2002, 17 pour 2001 et 12 pour l'an 2000.

Ce regain d'intensité et de virulence s'accompagne de nouvelles pratiques. Les spécialistes de sécurité des systèmes d'information estiment ainsi que les dernières familles de virus apparues sur le Réseau - Mydoom et, plus récemment, Netsky et Bagle - sont le fruit d'une forme de "professionnalisation" de leurs créateurs. "Nous parlons de professionnalisation, car nous assistons, de la part des auteurs de virus, à une plus grande recherche d'efficacité, au détriment de l'originalité, explique Frédéric Martinez, ingénieur sécurité au CERT-IST, un centre de réaction aux attaques informatiques, créé en 1999 par un consortium industriel français. Il y a un à deux ans, les auteurs de virus étaient souvent des jeunes programmeurs ou des étudiants voulant se faire remarquer en écrivan t un programme original. Depuis janvier, on observe une répétition des techniques utilisées : on retrouve dans Bagle ou dans Netsky des techniques bien connues." A partir d'une souche virale existante, les créateurs de virus jouent ainsi sur la combinaison de fonctions pour en accroître la virulence.

PROJETS INFORMATIQUES

Diffusées par courrier électronique, les premières versions de Bagle et Netsky, apparues au début de l'année, ne pouvaient, par exemple, infecter un ordinateur qu'après l'ouverture d'un fichier joint à un courriel. Les nouvelles souches de ces programmes, apparues fin mars, utilisent des failles de sécurité et peuvent déclencher l'infection en dehors de toute action de l'utilisateur.

Pour David Kopp, directeur du laboratoire de TrendMicro, ces perfectionnements successifs proviennent du fait qu'un nombre croissant d'auteurs de virus travaillent sur leurs créatures "comme sur de véritables projets informatiques".

Ces "projets" sont généralement liés à des activités délictueuses, principalement l'envoi massif de publipostages électroniques non sollicités, ou spams. Aux Etats-Unis, cette activité est réglementée depuis le 1er janvier 2004 et la promulgation du Can-spam Act (Le Monde du 14 janvier). En France et en Europe, elle est considérée comme illicite. Elle repose, en effet, sur la collecte déloyale d'adresses de courriel, données considérées comme "personnelles" et dont le traitement est strictement encadré. Menacées d'importantes amendes, certaines sociétés spécialisées dans l'envoi de spams sont donc entrées en clandestinité.

"Les virus actuels sont presque tous créés pour installer des portes dérobées, mais aussi pour que ces portes dérobées puissent être utilisées par les spammeurs, explique Pierre Forget, ingénieur sécurité au CERT-IST. Il est vraisemblable qu'un certain nombre d'auteurs de virus jouent désormais un rôle de -mercenaires'' : une fois qu'ils ont réussi à infecter un grand nombre de machines, ils en laissent l'utilisation à un tiers - un spammeur, par exemple - qui les rémunère."

Cette collusion organisée ne peut toutefois, selon M. Paget, "être démontrée avec certitude". "Mais c'est quelque chose que tous les professionnels de la sécurité informatique ressentent fortement", ajoute-t-il. D'autant que, pour atteindre leurs objectifs, ces nouveaux virus savent se faire discrets en provoquant moins d'effets perturbateurs - voire destructeurs - que par le passé.

En février et mars 2004, les centres d'analyse de l'activité virale sur Internet ont ainsi remarqué que les auteurs de Netsky et Bagle s'injuriaient mutuellement dans le texte caché des messages infectés. "Il est vraisemblable qu'il s'agissait de deux groupes qui cherchaient à se valoriser aux yeux d'un commanditaire potentiel", explique M. Martinez.

La création des possibilités d'envoi de spams de manière frauduleuse et anonyme n'est pas la seule motivation de ces commanditaires supposés. François Paget relève ainsi qu'une large palette d'outils est parfois installée par le virus. "Ces outils peuvent être activés à distance et permettent, par exemple, de collecter des fichiers d'adresses de courrier électronique, des mots de passe et même des informations de nature bancaire", avertit M. Paget.