Indécelables par les moyens traditionnels, les vers de nouvelle génération type Storm Worm rendent la mise en oeuvre de protection complexe.

Le 13 juin 2007, le FBI révèle par voie de communiqué avoir découvert plus d’un million de PC zombies. Autant de machines faisant parti d’un réseau contrôlé à distance par des pirates (un "botnet"). Surpris par cette annonce, Marc Blanchard, chercheur au laboratoire de Kaspersky, se lance dans une enquête pour comprendre comment un tel botnet a pu se créer aussi rapidement. Il va alors découvrir une nouvelle génération de technologies qui caractérisent désormais les malwares.

C’est la génération des Storm Bot qui se propagent notamment par le biais des sites web.

"Les Storm Bot ne sont pas des vers très émergents comme Sasser ou Blaster qui ont envahi la planète en quelques heures",
commente le chercheur rencontré à l’occasion du salon InfoSecurity France, "un Storm Worm va infecter mille à deux milles machines". Un taux de contamination ridicule à l’échelle du réseau mondial qui lui offre une discrétion efficace aux yeux des laboratoires antivirus.

Sauf que l’agent malveillant effectue des re-contaminations. "Ces deux milles machines infectées vont à leur tour infecter deux milles autres PC et ainsi de suite, mais pas avec le même code". Une stratégie qui lui permet de conserver sa discrétion tout en assurant sa propagation exponentielle.

La discrétion reste de mise côté machine hôte.

Contrairement aux vers d’ancienne génération qui occupent 100 % des ressources machine lors de leur implémentation (au risque d’attirer l’attention de l’utilisateur), la génération Storm Bot "est plus intelligente", constate Marc Blanchard.

"Le ver analyse dans un premier temps les ressources processeur de la machine et se contente d’en exploiter les 2/3 de sa puissance." Soit environ 40 % d’occupation du processeur, ce qui laisse une entière liberté de mouvement de l’utilisateur évitant ainsi de lui mettre la puce à l’oreille.

Deux fois la puissance d’un Cray

Le plus redoutable est la puissance dégagée par ce type de botnet.

Selon Marc Blanchard, 50 000 PC zombies équivalent à 10 % de la puissance d’un Cray XT, l’un des supercalculateur les plus puissants du monde après Blue Gene d’IBM. "Un million de PC zombie revient à 2 fois la puissance d’un Cray XT." Une puissance exploitée non pas au profit de la recherche contre la myopathie hélas mais pour transformer les machines victimes en serveur de spam de web et de blogs. "Des sites et des blogs qui vont être indexés par Google et attirer du trafic" , alerte Marc Blanchard.

Des sites web vecteurs d’infection.

"Du jour au lendemain, le site que vous avez l’habitude de visiter peut devenir contaminant."

En effet, par des opérations de defacing (remplacement d’une page web d’un site), les pirates injectent du script (Javascript, PHP, VBscript...) dans la page Web de manière transparente ou bien créent une iFrame qui télécharge du code infectieux, toujours de manière invisible pour l’internaute.

S’ensuit la neutralisation du pare-feu logiciel et l’ouverture d’une porte dérobée (backdoor) qui permettra au pirate d’installer ce que bon lui semble et prendre le contrôle distant de la machine.

Affluence oblige, les plates-formes de réseaux sociaux (MySpace, YouTube, etc.) et les sites qui surfent sur les tendances du moment sont les premières victimes de ce mode d’attaque.

Et le temps de développement des éléments contaminants est foudroyant. De 15 jours en 1999, la création d’un script exploitant une faille était de 15 minutes en 2003 et de moins de 4 minutes aujourd’hui. "Le zero day est une réalité aujourd’hui", alarme le chercheur.

Les réseaux maillés des pirates impossibles à détruire

Même l’architecture du botnet a évolué. Les pirates s’inspirent aujourd’hui des protocoles d’échange P2P pour créer à leur tour des réseaux maillés quasiment impossibles à fermer contrairement aux botnet de générations précédentes où il suffisait de couper le lien avec l’adresse IP des quelques machines qui lançaient l’ordre d’attaque. Dans un réseau maillé, elles sont interchangeables. Même si une machine d’attaque tombe, une autre peut rapidement prendre la relève.

Cela passe notamment par une nouvelle génération de consoles de contrôle des botnets.

"Les pirates ne s’encombrent plus de connaître le nombre de machines de leur réseau", explique l’expert de Kaspersky, "ils disposent d’informations de géolocalisation couplées à des taux de puissance disponible en temps réel."

Ce qui leur permet de cibler leurs attaques par zone géographique.

"Un pirate peut ainsi lancer une attaque sur un pays à partir d’un autre territoire alors qu’il n’est situé sur aucun des deux."

Ce qui tendrait à confirmer l’hypothèse que les autorités chinoises ne sont pas forcément à l’origine des multiples attaques lancées depuis la Chine à l’encontre de plusieurs pays occidentaux.

Demain, les terminaux mobiles

Face à de tels modes de propagation et d’infection, particulièrement par le surf anodin, les technologies de détection des signatures virales traditionnelles ne suffisent plus.

Pour y répondre, Kaspersky préconise l’analyse comportementale du système et la surveillance heuristique à travers la vérification de l’intégrité du registre, la surveillance des processus lancés et du fichier Host local (qui contient les correspondances des adresses IP aux noms d’hôtes), et le blocage des rootkit.

Une méthode qui se traduit par l’offre ProActive Defense intégrée à la suite Internet Security 2007. Une technologie qui, en cas de confirmation d’un comportement suspect, est en mesure d’effacer toutes les altérations connexes et antérieures d’un code malicieux, selon l’éditeur.

Aujourd’hui les PC. Demain, les terminaux mobiles, notamment les téléphones portables. "Tout est prêt", lance Marc Blanchard, "les malwares savent se propager, notamment par les failles Bluetooth et Wi-Fi, et savent communiquer. Les pirates attendent juste la mise en œuvre des services de paiement pour lancer les attaques."

Le marché de la sécurité IT a de beaux jours devant lui.