6pages s.cu38 int

S É C U R I T É I N F O R M AT I Q U E
numéro 38
février 2002
S É C U R I T É
D E S
S
S Y S T È M E
Les virus attaquent …
Je souhaiterais que ce numéro, plus
que d’autres peut-être, soit lu en
priorité par les «utilisateurs de base»,
ceux pour qui l’ordinateur est avant
tout un outil: envoyer ou recevoir
des messages, écrire des articles,
naviguer sur le réseau mondial, faire
des calculs, modéliser des expériences, etc., parce que la sécurité des
systèmes d’information commence –
et finit ! – par ce maillon-là. En effet,
éditorial
l’actualité des dernières semaines
relative à la criminalité informatique les a sûrement trouvés en première ligne
et sans doute quelquefois pris en défaut.
J’entends certains soupirer : «Vous allez encore nous parler des virus» sur le ton
las du pensionnaire : «Encore des pâtes !». Eh bien oui ! Parce que c’est un bon
moyen de faire comprendre aux «utilisateurs de base» pourquoi il faut qu’ils
prennent en charge leur sécurité. Tout utilisateur de PC sous Windows (un peu
moins sous Macintosh) apprend tôt ou tard, souvent à ses dépens, ce qu’est un
virus, un ver, un cheval de Troie. Nous pourrions attendre un de ces moments
pénibles – c’est toujours quand on a besoin de son ordinateur qu’il ne fonctionne plus ! – pour lui dire gentiment : «Bienvenue dans le monde de la sécurité informatique». Oui … mais le mal est fait. Nous pourrions dire – certains
ne s’en privent pas – : «Vous n’avez que ce que vous méritez, vous n’aviez qu’à
travailler avec un système Linux». Certes … mais, outre que la diversité est une
des saveurs de la vie, nous ne faisons que déplacer le problème: le monde
Linux a beaucoup moins de virus, mais est-il exempt de failles ?
Non, il faut expliquer, simplement et sans relâche, comment se protéger. Ce
numéro est donc à nouveau consacré aux virus. Mais que peut-on dire sur ce sujet
qui n’ait été rabâché plus de cent fois ? Tout simplement que les virus changent.
Hier encore, la terreur venait des virus de macros qui empruntaient l’apparence
d’un paisible document Word pour venir contaminer votre machine. Ils prenaient
leur temps pour se propager : il fallait un bon mois pour que l’épidémie atteigne
toute sa maturité. Quand finalement on en voyait un arriver, on avait eu le temps
d’apprendre à le connaître. Il nous était déjà familier, presque sympathique.
C’était la belle époque ! Aujourd’hui, avec les nouveaux virus, la propagation du
mal est plus rapide que la diffusion des alertes de sécurité. Vous ne savez pas que
MagistR existe qu’il vous a déjà mordu le disque dur… et il change d’apparence
à chaque contamination, obligeant les éditeurs d’antivirus à des prouesses techniques pour le repérer. Pis, il chiffre les fichiers qu’il contamine !
Nous sommes aujourd’hui face à une nouvelle génération de virus, plus véloces
– deux cent mille contaminations en moins de deux heures : une mise à jour
quotidienne des bases de signatures est maintenant à peine suffisante –, plus
pernicieux – ils exploitent les faiblesses humaines (love letter), ils jouent savamment des différentes phases de leur cycle de vie, ils utilisent les failles des
machines : pas besoin de cliquer sur la pièce jointe pour être contaminé –, plus
destructeurs – ils s’attaquent fréquemment au bios, ils propagent des informations confidentielles comme les mots de passe –, plus techniques – ils sont furtifs, polymorphes –, etc. Bref, nous sommes effectivement face à un défi de
grande ampleur… et les «utilisateurs de base» sont bien en première ligne.
A. Schwenck
D
’
T I O N
I N F O R M A
La protection contre
les virus est-elle
encore possible ?
Comment assurer la sécurité des systèmes d’information
face à des attaques virales de plus en plus nombreuses ?
Pour beaucoup, cela paraît impossible. Les informations
parues dans les médias, relatant de véritables épidémies, les nombreux témoignages de connaissances
ayant subi des infections malgré l’usage d’un antivirus,
tout concourt à accréditer cette idée.
Il est vrai qu’aujourd’hui les risques d’être confronté à un
virus sont très importants, essentiellement à cause d’un
nombre toujours croissant de nouveaux arrivants sur
Internet sans aucune connaissance des problèmes de
sécurité. On assiste à une explosion de la diffusion de
vers de courrier électronique, de programmes malveillants exploitant les trous de sécurité des logiciels,
mais également à la création d'autres moyens de diffusion de ces mêmes programmes comme ICQ, Gnutella,
MSN Messenger ou IRC. Les conséquences en cas d’infection peuvent être graves, pouvant aller jusqu’à la destruction des données d’un réseau entier ou à la diffusion
de données sensibles et confidentielles.
Une action s’impose donc, mais laquelle, car la ou les
techniques employées déterminent l’efficacité ou l’inefficacité de la protection. Faut-il se contenter d’un antivirus classique ? Faut-il utiliser d’autres moyens supplémentaires? Existe-t-il des méthodes alternatives efficaces? Telles sont les questions auxquelles il est indispensable de savoir répondre.
L’interrogation la plus commune porte sur les antivirus classiques
dits à analyse de signature dont de nombreuses personnes doutent maintenant de l’efficacité et préconisent l’abandon. Il s’agit
pourtant comme le démontre la théorie (travaux de Frederic
Cohen et David Chess), mais également la pratique, du seul principe de base fiable pour la détection des virus.Tous les autres, non
basés sur l’analyse de signature, comme les inhibiteurs de comportement (behavior blockers) ou les contrôleurs d’intégrité, présentent un taux de détection nettement plus faible et un taux de
fausse alarme important. Ils sont en revanche extrêmement utiles
en matière de prévention contre les nouveaux virus.
Une autre interrogation porte sur le système d’exploitation Windows. Certains préconisent son abandon au profit de Linux, prétendant qu’il est invulnérable aux virus. L’exemple du ver Ramen
suivi par de nombreux clones a démontré le contraire. Pratiquement tous les programmes malveillants pour Linux exploitent des
failles dans ce système d'exploitation et démontrent son incapacité à résister aux menaces actuelles et futures. La situation de
Linux sera même beaucoup plus grave quand il ne sera pas simsuite page 2
CENTRE NATIONAL
DE LA RECHERCHE
SCIENTIFIQUE
sécurité informatique
février 2002 - n° 38
Suite de la page 1
plement utilisé sur des serveurs spécialisés mais
employé comme plate-forme de travail ordinaire.Dans ce cas,le nombre d’utilisateurs non
informaticiens augmentant, le problème sera
identique à celui de Windows.
Il a également été proposé une technique de
gestion stricte des droits d'accès des nouveaux programmes au système d'exploitation.
Elle consisterait en un refus de chargement
d'un logiciel non certifié en mémoire et en la
restriction de l'utilisateur à un sous-ensemble
des fonctions disponibles pour la modification
de l'application certifiée durant son exécution. Là aussi les objections sont nombreuses
comme la possibilité de faire des programmes
malveillants également certifiés ou d’exploiter
des failles permettant de passer outre ces
interdictions.
Les techniques efficaces pour un type de programme malveillant ne le sont plus dès
qu’elles sont contournées et si les solutions
miracles n’existent pas, les simples non plus.
Elles ne peuvent se trouver que dans l’analyse
de chaque type de programme et de chaque
contournement.
Les virus classiques
■
Ils ne se reproduisent que par infection
d’autres programmes (il y a des exceptions)
ce qui rend leur vitesse de diffusion relativement lente. Plusieurs familles se sont succédé
dans le temps, tombant généralement en
désuétude au fur et à mesure de l’évolution
des systèmes d’exploitation mais également
des antivirus. Les virus de boot (secteur
d’amorce) et les virus DOS sont les premiers
apparus et ceux qui ont entraîné le développement et imposé l’usage des scanners, seul
moyen de les détecter tous sans fausse
alarme. Les virus non polymorphes sont tous
facilement détectables mais malheureusement il n’en est pas de même de leurs pendants polymorphes apparus très tôt. En 1995
très peu d’antivirus étaient capables de les
détecter de façon fiable, ils sont maintenant
nombreux car la qualité générale des scanners a beaucoup progressé. Cette première
classe de virus est tombée en désuétude mais
leurs principes ainsi que celui de leur détection
constituent toujours l’essence de la «science»
du virus et de la «science» de l’antivirus.
Sont apparus ensuite les virus macros et de
script. Ils sont relativement simples et n’ont dû
leur succès qu’au temps d’adaptation des
scanners. Actuellement ils sont facilement
détectables et les méthodes heuristiques qui
ont été développées peu à peu permettent
d’arrêter un fort pourcentage de nouveaux
virus de ce type.
Les virus pour Windows (Win95, Win32) ont
maintenant remplacé les virus DOS. Certains
sont très coriaces à cause des techniques de
cryptage ou de polymorphisme qu’ils utilisent,
2
ou bien ont apporté des concepts inattendus
comme Win95.CIH, posant de gros problèmes
d’adaptation aux antivirus mais actuellement
parfaitement résolus.
Les performances atteintes par les antivirus
actuels sont excellentes. Des études portant
sur des centaines de milliers d’échantillons de
virus différents mais connus montrent qu’il est
possible d’atteindre un taux de détection
supérieur à 99,9 % avec un taux de fausse
alarme très faible. La détection des virus
inconnus est également bonne. En pratique
elle se réalise en combinant plusieurs techniques ajustées pour atteindre le meilleur rapport détection/fausse alarme, le taux de ce
dernier devant être faible dans tous les cas. En
combinant détection heuristique, inhibition de
comportement (behavior blocker) et contrôle
d’intégrité des fichiers, le taux protection
contre les programmes malveillants inconnus
dépasse 90% sans fausse alarme notoire. Malheureusement la bonne compréhension et utilisation de ces techniques ne sont pas aisées.
L’usage d’un bon antivirus régulièrement mis
à jour garantit donc une excellente protection
contre les virus classiques et il y a de bonnes
raisons d’être optimiste pour l’avenir. L’ancien
mode de mise à jour mensuel par disquette
rendait autrefois possible les infections, les
mises à jour actuelles faites directement via
Internet,souvent quotidiennes,réduisent considérablement la probabilité d’infection par un
nouveau virus classique.
Les programmes malveillants se sont donc
adaptés à ces nouvelles conditions et
contournent de plus en plus le court délai de
mise à jour par une très grande rapidité de diffusion.
Les vers de messagerie
■
Ils sont apparus en 1999, année pendant
laquelle la mode était encore aux virus
macros. L’année 2001 a marqué un grand
changement et près de 90 % des incidents
sont désormais dus aux vers de messagerie.
Les chevaux de Troie
B
IEN qu’ils ne fassent pas la une des journaux, il s’agit là de programmes aptes à contourner les meilleures
défenses. Ce n’est certainement pas un hasard si le rythme de leur sortie dépasse actuellement celle des virus,
ce sont des outils de piratage et d’espionnage :
– Alors qu’un virus est immédiatement reconnu comme tel dès que l’on constate qu’il se réplique, un cheval de Troie ne peut l’être que par l’analyse de sa nocivité. Il existe une infinité d’actions possibles, destruction de données ou formatage de disque, création d’une porte dérobée (backdoor) permettant un
contrôle à distance, programme volant des mots de passe ou des numéros de cartes bleues…
– Il existe une infinité de possibilités d’introduction d’un cheval de Troie dans un ordinateur, intégration
dans un ver (Magistr), exploitation de failles de sécurité (CodeRed.II introduit directement une porte
dérobée dans les serveurs IIS vulnérables), insertion dans le script d’une page Web exploitant une faille
de Internet Explorer (Trojan.Seeker, Trojan.Exception.Exploit), envoi direct à un internaute en se faisant
passer par un fournisseur d’accès ou tout simplement par installation directe sur un poste de travail à partir d’une disquette.
– Il est impossible de les prévenir car ils ne sont pas détectables de façon fiable par les méthodes génériques.
N’infectant pas les programmes sains, ils ne peuvent être différenciés d’une installation normale par un
inhibiteur de comportement ou un contrôleur d’intégrité. Dans le meilleur des cas l’utilisateur s’apercevra de sa présence (par exemple ouverture d’un port détectée par un pare-feu personnel) mais restera perplexe sur la conduite à tenir.
– Il n’existe pas de critères universels permettant de définir ce qu’est un programme malveillant. Les
Américains déclareront comme tel un programme présentant un caractère sexuel, les Français un programme violant l’intimité de leur vie privée ou traçant simplement leurs comportements de consommation.
– Il existe de fortes pressions commerciales pour que certaines catégories de chevaux de Troie ne soient pas
détectées. De nombreux logiciels espions (spywares) sont déjà partie intégrante de programmes commerciaux
et permettent à certaines entreprises de connaître et ficher les habitudes des internautes. Il est et sera toujours
tentant d’intégrer une porte dérobée dans un logiciel, un système d’exploitation ou même un processeur.
En conséquence, autant il est facile d’affirmer qu’un ordinateur est exempt de virus, autant il subsiste toujours
un doute sur l’absence effective d’un cheval de Troie, seule une analyse précise de tous les programmes permettrait de le dire. La meilleure garantie pour l’utilisateur est apportée par la veille permanente et la surveillance mutuelle s’effectuant actuellement à l’échelle mondiale, par les éditeurs d’antivirus, les organismes
s’occupant de sécurité informatique ou les experts indépendants, ainsi qu’un certain équilibre «géostratégique», les éditeurs d’antivirus se répartissant à peu près équitablement entre les États-Unis, l’Europe et les pays
de l’Est. Sur le plan pratique, l’utilisateur doit avant tout s’équiper d’un scanner détectant le maximum de chevaux de Troie, d’un scanner détectant les «spywares», et il doit également se tenir au courant de l’actualité.
sécurité informatique
février 2002 - n° 38
Suite de la page 2
Leur principe de propagation n’a pas changé
depuis l’apparition du premier (Happy99), il
consiste à envoyer un message incitant l’utilisateur à s’infecter lui-même. Cela va de la
lettre d’amour (LoveLetter), de la prétendue
photo d’une star du tennis (Kournikova) au
prétendu patch de mise à jour de Windows
(Gigger). Certains (Magistr) fabriquent un message crédible, chaque fois différent, en piochant directement dans les documents du PC
infecté, en envoient d’autres en pièces attachées, souvent confidentiels, envoient également un fichier infecté différent et pour ajouter à la confusion parfois non infecté. Pour
trouver leurs futures victimes, les vers modernes
ne se contentent plus des adresses présentes
dans les carnets, ils les trouvent également
dans les autres documents, y compris dans les
forums consultés ou les pages Web visitées.
En dehors de leur capacité à se propager via
la messagerie, tous ces vers relèvent de la
détection par les antivirus classiques et
n’apportent donc rien de particulier. La plupart envoient toujours le même fichier (Loveletter, MTX) et sont donc très facilement détectables. Seuls les derniers (Magistr) sont de
véritables virus Windows polymorphes et peuvent poser des problèmes de détection.
Le mode de diffusion très rapide de ces vers
rend leur détection aléatoire au cours des
heures nécessaires à la mise au point d’une
signature. Les méthodes heuristiques ou génériques employées par les antivirus trouvent vite
leurs limites, et si les éditeurs se vantent d’un
succès face à tel ou tel nouveau ver qui a été
détecté, ils se gardent bien de parler des
autres.En réalité l’utilisateur ne doit dans ce cas
son salut qu’à sa seule prudence ou aux gardefous présents dans sa machine, car la plupart
du temps son imprudente curiosité le pousse à
s’infecter volontairement. On ne constate
aucun progrès comportemental depuis la première épidémie massive due à LoveLetter et les
mêmes vers triviaux comme Kournikova ont
toujours autant de succès. Ce phénomène est
d’autant plus absurde que personne ne
s’échange habituellement des fichiers ayant
les extensions VBS, PIF ou LNK. Pour les exécutables habituels (EXE), il est logique et naturel
de les compresser préalablement (fichiers ZIP,
RAR…) étant donné leur taille.
L’utilisation de garde-fous empêchant l’ouverture de façon simple des pièces attachées
potentiellement dangereuses s’avère la seule
méthode vraiment éducative et de surcroît
efficace. Les utilisateurs s’adaptent rapidement et acquièrent des réflexes de survie,
associant de nombreux messages à un danger potentiel. On trouve déjà ces garde-fous
intégrés dans des pare-feu personnels comme
«Zone Alarm Pro»,dans des logiciels de courrier
comme «The Bat», ou même certains antivirus.
Il est également possible de protéger un
réseau de manière radicale par filtrage de
certaines pièces jointes au niveau du serveur
de messagerie.
Conscients de cette parade de plus en plus
répandue, les auteurs de virus se sont donc mis
à concevoir des programmes se propageant
hors messagerie et sans l’appui de l’utilisateur.
Les failles de sécurité
■
Un trou ou faille de sécurité est une erreur dans
un programme permettant à un code malveillant de pénétrer imperceptiblement dans
un ordinateur. Le danger inhérent aux virus utilisant les trous de sécurité consiste en ce qu'ils
sont activés automatiquement et pratiquement indépendamment de l’utilisateur. Par
exemple, pour être infecté par Nimda, il suffit
simplement de pré-visualiser un message
contenant le ver. CodeRed ne l'exige même
pas, il détecte directement les ordinateurs vulnérables via Internet et les infecte.
L’exploitation des failles n’est pas nouvelle
puisqu’elle a été utilisée pour la première fois
par le ver Internet Bubbleboy en 1999, suivi du
très célèbre et très répandu KakWorm, mais le
phénomène a pris une ampleur considérable
en 2001 avec la distribution généralisée de
programmes malveillants exploitant les failles
de sécurité des systèmes d'exploitation et de
leurs applications. Des exemples de tels virus
sont CodeRed, Nimda et Badtrans.b. Selon
certains éditeurs d’antivirus ces vers ont été la
cause de plus de 50% des incidents en 2001.
La plupart des codes malveillants exploitant
les failles se présentent toujours sous forme
d’un fichier, par exemple le code de KakWorm
est un script caché dans la signature d’un
message normal, mais en 2001 sont apparus
de nouveaux types de code malveillant
(CodeRed) capables de se diffuser puis fonctionner sur un ordinateur infecté sans l’utilisation d'un fichier. Ils peuvent se transmettre
directement de mémoire à mémoire d’ordinateur en utilisant de simples requêtes et le
réseau Internet. Toujours en utilisant les mêmes
principes et les mêmes failles, un serveur Web
préalablement infecté par CodeRed peut voir
ses pages html infectées par Nimda, pages qui
vont à leur tour infecter automatiquement
ceux qui vont les visiter en utilisant des versions
non sécurisées de Internet Explorer.
Les moniteurs résidents des antivirus sont très
mal adaptés pour faire face à ce genre d’attaque virale, ils détectent bien les virus mais
généralement après l’infection.
Une autre faille, parfaitement naturelle et
extrêmement répandue est constituée par le
partage des fichiers et des répertoires systèmes en réseau. Dans ce cas également, le
moniteur antivirus ne détecte la présence du
virus qu’après l’infection, ce qui peut être fatal
en cas de virus ou ver ayant la capacité de
résider en mémoire (Win32.Funlove). La même
faille se retrouve quand un simple poste est
connecté à Internet avec Netbios activé, permettant ainsi à plusieurs vers (Win32.Hai, Tro-
3
jan.Bymer) de pénétrer automatiquement
dans le système.
Tout cela rend caduque l’utilisation du
schéma classique associant exclusivement
protection antivirale et antivirus. L’année 2001
constitue une date de transition faisant entrer
la lutte anti-virale dans la sécurité générale
des systèmes d’information. Pour maintenant
garantir la protection contre les programmes
malveillants, il est devenu impératif d’utiliser un
antivirus mais surtout et prioritairement de
combler les failles de sécurité connues. Cela
consiste à télécharger des patchs disponibles
sur les sites des éditeurs de logiciels, patchs se
suivant souvent à dates rapprochées, mais
oblige également à procéder à la fois à une
veille technologique et à consacrer du temps
pour procéder à leur installation. Une attention
particulière doit être portée à certains logiciels
de Microsoft comme Outlook, Outlook Express
ou Internet Explorer. Ce sont ceux qui présentent le plus de failles et sont les plus susceptibles de par leur grande diffusion de subir des
attaques virales. Il est également nécessaire
de veiller à ce qu’aucun répertoire système et
aucun exécutable du réseau ne soient accessibles en écriture (du moins sans mot de
passe), ce qui n’est pas toujours facilement
réalisable.
Le plus paradoxal dans tout ceci est que la
solution au problème des failles de sécurité est
aussi simple et efficace qu’inusitée. Pour un
poste utilisateur elle se limite actuellement
essentiellement au choix d’un bon logiciel de
courrier et d’un bon navigateur.
Conclusion
■
Une protection parfaitement efficace contre
les virus est donc aujourd’hui possible, elle le
sera même toujours. Les programmeurs de
virus auront beau employer des méthodes
d’attaque de plus en plus inventives, celles-ci
seront toujours parfaitement maîtrisables pour
une raison simple : les virus (le vers) ont un
code programme et un comportement qui les
différencie nettement des programmes dits
normaux,ils se répliquent naturellement (se diffusent), la plupart n’ayant d’ailleurs pas
d’autre fonction programmée. Cela les rend
très rapidement repérables puis identifiables
par une signature. Ils ne doivent leur survie et
leur succès médiatique qu’à la méconnaissance ou la non application des règles de
sécurité, antivirus non mis à jour ou absent,
imprudence ou absence de garde-fou face
aux programmes malicieux, utilisation de logiciels présentant des failles ou absence de correction. Leur existence pratique est à la fois un
simple épiphénomène et un excellent révélateur des lacunes générales de la sécurité des
systèmes d’information.
Roland Garcia
société Microtec Toulouse - [email protected]
sécurité informatique
février 2002 - n° 38
Badtrans, une nouvelle génération de vers
En décembre, Badtrans a été responsable, d’après Sophos,
de plus de 92% des contaminations. Pourquoi? Deux raisons
principales semblent se dégager.
La première, c’est le mode de contamination: Badtrans-B utilise une faille
de sécurité de certaines versions de Microsoft Outlook. Moralité, si vous utilisez ce logiciel, appliquez le correctif disponible sur l’URL:
http://www.microsoft.com/technet/security/bulletin/MS01-027.asp
La seconde est le mode de propagation: W32/Badtrans est un ver de messagerie qui utilise un produit compagnon des clients de messagerie Microsoft
Outlook et Microsoft Exchange,«MAPI Agent».MAPI permet de concevoir simplement un interfaçage de la messagerie avec des applications. Cette fonctionnalité,très utile par ailleurs,ne pouvait pas être ignorée très longtemps des
«concepteurs de virus». Les virus de nouvelle génération savent détecter les
messages entrants, récupérer l’adresse «expéditeur» pour renvoyer un message contaminé ressemblant à une réponse et enfin exécuter une tâche malveillante. Dans le cas de Badtrans, la tâche malveillante consiste à installer un
cheval de Troie, Troj/PWS-AV, qui enregistre les frappes clavier de l'utilisateur
afin d'obtenir des informations telles que des mots de passe.
Badtrans et avant lui Kakworm démontrent deux idées qui restaient jusqu’alors du domaine des suppositions :
1 - Il n'est pas nécessaire à un utilisateur de double-cliquer sur une pièce
jointe pour être contaminé, il suffit que «la bête» sache exploiter une faille de
sécurité (ces deux vers exploitent la faille de Outlook et d'Outlook Express).
Il faut s’attendre à trouver de plus en plus fréquemment ce mode de contamination également sous Linux, comme le montre le ver-concept «RAMEN».
2 - Un ver peut être utilisé pour espionner une machine (et même un clavier,
c’est-à-dire qu’un texte peut être intercepter avant son chiffrement !). Le FBI
aurait dans ses cartons un projet, utilisant ces techniques, afin de repérer les
actions criminelles «avant qu’elles ne se produisent». Le nom de code du
futur virus institutionnel est poétique : «magic lantern».
http://www.lemonde.fr/article/0,5987,3208--248619-,00.html
http://fr.news.yahoo.com/011213/166/2ci78.html
http://techupdate.zdnet.com/techupdate/stories/main/0,14179,5100528,00.html
Qui pense encore qu’un virus, c’est un jeu ?
Pour se débarrasser de Badtrans :
http://www.sophos.fr/support/faqs/w32badtransb.html
RL
Un délit de «création de codes malveillants» ?
Les auteurs de virus commettent-ils un délit lorsqu’ils lancent
dans le «monde sauvage» un code malveillant? Voyons ce que
dit la loi.
Article 462-3. - Quiconque aura,
intentionnellement et au mépris des
droits d'autrui, entravé ou faussé le
fonctionnement d'un système de
traitement automatisé de données
sera puni d'un emprisonnement de
trois mois à trois ans et d'une
amende de 10000 F à 100 000 F ou
de l'une de ces deux peines.
Article 462-4 - Quiconque aura,
intentionnellement et au mépris des
droits d'autrui, directement ou indirectement, introduit des données
dans un système de traitement
automatique ou supprimé ou modifié les données qu'il contient ou
leurs modes de traitement ou de
transmission, sera puni d'un emprisonnement de trois mois à trois ans
et d'une amende de 2 000 F à
500 000 F ou de l'une de ces deux
peines.
Article 462-5 - Quiconque aura procédé à la falsification de documents informatisés, quelle que soit
leur forme, de nature à causer un
préjudice à autrui, sera puni d'un
emprisonnement d'un an à cinq
ans et d'une amende de 20 000 F à
200 000 F.
Article 462-6 - Quiconque aura
sciemment fait usage des documents informatisés visés à l'article
462-5 sera puni d'un emprisonnement d'un an à cinq ans et d'une
amende de 20 000 F à 2 000 000 F ou
de l'une de ces deux peines.
Article 462-7 - La tentative des délits
prévus par les articles 462-2 à 462-6
est punie des mêmes peines que le
délit lui-même.
Article 462-8 - Quiconque aura participé à une association formée ou
à une entente établie en vue de la
préparation, concrétisée par un ou
plusieurs faits matériels, d'une ou de
plusieurs infractions prévues par les
articles 462-2 à 462-6 sera puni des
peines prévues pour l'infraction ellemême ou pour l'infraction la plus
sévèrement réprimée.
Article 462-9 - Le tribunal pourra
prononcer la confiscation des
matériels
appartenant
au
condamné et ayant servi à commettre les infractions prévues au
présent chapitre.
Aussi, les auteurs des virus, comme
les personnes ayant aidé à les propager sont passibles de 3 ans de prison et 100000 francs d'amende. ■
4
sécurité informatique
Les techniques de détection
qu’utilisent les anti-virus
Les techniques de détection des virus
peuvent être regroupées en deux
grandes familles:
1 - Les scanners de fichiers : ils peuvent fonctionner en temps réel – ils sont alors résidents en
mémoire centrale –, ou/et être lancés à la
demande. La plupart des scanners recherchent
les virus en utilisant deux techniques : recherche
d’une séquence de bits caractéristiques du virus
(cette séquence de bits est appelée «signature
du virus») et recherche d’une séquence d’instructions considérées comme malveillantes. Cette
dernière technique est dénommée par certains
éditeurs – non sans quelques arrière-pensées commerciales – «analyse spectrale».
● Recherche des virus par leurs signatures
Les virus les plus simples comportent tous une
suite d'instructions caractéristiques, propres à
chacun, mais parfaitement identifiables qu'on
appelle leur signature. La méthode consiste à
faire une sorte de catalogue qui ira en grossissant au fur et à mesure qu'apparaîtront de nouveaux virus. Son avantage est qu’elle ne donne
que très peu de fausses alertes, son inconvénient, qu’elle est en principe inefficace contre
les virus non encore identifiés ainsi que contre les
virus polymorphiques qui ont la faculté de modifier leur apparence en se cryptant eux-mêmes.
Ces anti-virus doivent être mis à jour quotidiennement.
● Analyse spectrale
L’analyse spectrale consiste à rechercher dans
les programmes eux-mêmes des lignes de codes
pouvant correspondre à des actions typiques
des virus. Par exemple, un programme qui
contiendrait la séquence d'instructions suivantes: { Créer un nouveau courrier ; destinataires : tout le monde ; fichier attaché : moimême ; Envoyer } peut-être légitimement
suspecté de contenir un ver Internet.
Si l’analyse spectrale est privilégiée par rapport à
la recherche par signatures, il y aura un plus grand
nombre de fausses alertes, en revanche il deviendra possible de détecter de nouveaux virus…
aussi longtemps que n’apparaîtront pas de nouveaux concepts d’attaques.
2 - Les programmes utilisant des techniques dites
«génériques». Elles sont de deux types : les vérificateurs d’intégrité et les moniteurs de comportement.
● Vérificateurs d’intégrité
Le principe de fonctionnement des vérificateurs
d'intégrité est de surveiller les modifications de
certains fichiers, en premier lieu les programmes
exécutables qui n’ont pas de raison, en dehors
des mises à jour, de changer. Pour ce faire, on
associe à chaque fichier dont on veut surveiller
l’intégrité, une «empreinte numérique». Si le
fichier est modifié, sa nouvelle empreinte est différente de la première et une alerte est envoyée
à l’utilisateur. Il faut donc constituer au départ –
à partir d’une machine saine ! – la base de données des empreintes de tous les fichiers à surveiller, et la maintenir, en particulier après des
modifications de logiciels ou de configurations,
afin d’éviter les alertes inutiles. Cette méthode,
plutôt séduisante a priori malgré cette
contrainte d’administration, ne peut suffire à elle
seule : les vers,certains virus (ceux qu’on appelle
furtifs parce qu’ils sont résidents en mémoire
centrale et détournent les interruptions)*
échappent totalement à ce type de surveillance.D’autre part,les logiciels qui utilisent ce
principe nécessitent des «utilisateurs spécialistes»
: quels sont les fichiers à surveiller ? Comment
trier dans les nombreuses «alertes» celles qui sont
dues à une modification assumée du fichier (les
plus nombreuses) et celles qui sont dues à un
virus ? Quelle attitude avoir lorsqu’on soupçonne que la modification est due à un virus ?
Ajoutons,ce qui n’est pas le moindre des défauts
de cette méthode, que l’alerte se fait… après
que l’infection ait eu lieu !
● Moniteurs de comportement
Les moniteurs de comportement sont des programmes résidents en mémoire centrale à l’affût
de tout comportement répertorié comme suspect dans une «base de connaissances» : ouverture en lecture/écriture de fichiers exécutables,
écriture sur les secteurs de partitions ou de démarrage, tâche essayant de devenir résidente, etc.
Pour repérer ces tentatives, les antivirus détournent les principales interruptions de l'ordinateur et
les remplacent par l'adresse de leur code. Ainsi
c'est l'antivirus qui est d'abord appelé et qui peut
prévenir l'utilisateur de l’existence d’un programme suspect. L'antivirus peut alors éliminer le
virus de la mémoire, enregistrer une partie de son
code dans la base de donnée et lancer un scanner pour repérer la souche sur le disque dur et la
détruire. Cette méthode a l’avantage de permettre de détecter des virus inconnus et de
nécessiter des mises à jour moins fréquentes. Mais
elle a deux inconvénients : elle est moins efficaces
et provoque de nombreuses alertes.
Les anti-virus modernes associent plusieurs des
techniques ci-dessus, essayant de combiner leurs
points forts et de limiter leurs faiblesses en un
savant dosage… qui sont le secret de fabrication
des produits.
RL
* On appelle furtifs les virus qui détournent des interruptions : un
scanner voit le fichier original au lieu du fichier infecté.Les bons
contrôleurs d'intégrité,AdInf ou AVP Inspector,scannent en utilisant les interruptions mais aussi un accès direct au disque; s'il y
a une différence, ils en déduisent justement la présence d'un
virus furtif.En revanche,les virus résidents en mémoire – comme
CIH qui infecte le contrôleur d’intégrité lui-même – sont encore
plus difficilement détectables par cette technique. On ne peut
que déduire qu'il y a infection généralisée.
février 2002 - n° 38
Comment se débarrasser
de MagistR
Description dans les archives de la liste et sur
http://www.sophos.fr/virusinfo/analyses/w32mag.
html (MagisteR-A)
et
http://www.sophos.fr/virusinfo/analyses/w32magistrb.
html (MagisteR-B)
Décontamination :
● MagisteR-A :
http://www.sophos.fr/support/faqs/swclean.html et
http://www.sophos.fr/virusinfo/articles/swclean.html
● MagisteR-B :
http://www.sophos.fr/support/faqs/magbremove.html
■■■
Combien
de virus en circulation ?
Il faut relativiser certains chiffres. Par exemple, des
éditeurs vous diront qu’il existe sur le marché plus de
60 000 virus ! En réalité le nombre de virus dépend
des méthodes de comptabilisation. Par exemple les
51665 fiches qu’utilise AVP ne sont pas des virus mais
bien réellement des fiches. Ce sont des routines de
détection et de désinfection. Prenons des exemples:
pour le virus dos V-Kit.based, AVP utilise 8 fiches
pour détecter et désinfecter 15 000 variantes possibles.
Inversement, le très complexe virus Win95.Babylonia,
utilise 11 fiches :
● une pour le virus (première méthode d'infection);
● une pour le virus (deuxième méthode d'infection);
● une pour le fichier Wsock32.dll;
● une pour les fichiers HLP;
● une pour la désinfection de la mémoire (c’est le
seul antivirus qui sache le faire);
● une pour le fichier attaché au message;
● une pour le trojan (kernel32.exe);
● et quatre autres, une pour chacun des plugins.
De nombreuses variantes d’un même virus circulent.
Certains éditeurs comptabilisent chacune comme un
virus à part entière, d’autres toutes les variantes (plusieurs centaines parfois) comme un seul… c’est affaire
de marketing ! On nous annonce d’une à cinq alertes
«nouveaux virus» par jour, mais la plupart du temps ils
ne sortent pas à l’air libre: il y a à peine une dizaine de
virus réellement actifs durant une période donnée. Les
autres, c’est juste pour l’effet d’annonce!
RG
■■■
Les espiogiciels
Un espiogiciel (spyware en américain) ou «mouchard»
est un programme intégré ou associé à un logiciel qui
utilise, en arrière-plan, la connexion Internet de l'utilisateur pour recueillir et envoyer, à son insu et sans sa
permission, des données personnelles à un destinataire. Ces informations peuvent porter sur la validité
des licences des logiciels que vous utilisez (MS-Office
97, ICQ,…), ou, comme c’est le cas pour de nombreux logiciels gratuits financés par des régies publicitaires, sur vos habitudes de navigation (Radiate). ADsuite page 6
5
février 2002 - n° 38
Suite de la page 5
aware est un utilitaire gratuit de Lavasoft qui détecte et
supprime un grand nombre de ces mouchards parmi lesquels :
Aureate/Radiate,
Conducent/Timesink,
CometCursor, CYDoor (Babylon Translator), Gator,
Web3000, Flyswat, etc. Vous le trouverez à l’URL :
http://www.lsfileserv.com/index.html
■■■
Port en vue…
Parmi toutes les actions malveillantes d’un cheval de Troie,
il en est une commune : ouvrir un port sur la machine
hôte. Un port est une sorte de «guichet» par lequel on peut
demander – par le réseau – à un ordinateur d’offrir un service. Par exemple, le cheval de Troie – «BackOrifice» – permet à un pirate de prendre le contrôle à distance d’un PC.
Il faut donc vérifier régulièrement que les ports ouverts sur
une machine correspondent à des services installés «officiellement». Un numéro de port «exotique» doit faire
immédiatement penser à la présence d’un cheval de Troie.
Le site http://www.commentcamarche.net/virus/trojan.php3
fourni la liste des chevaux de Troie les plus fréquents avec
les numéros de port qu’ils ouvrent ordinairement.
Un «pare-feu», en n’autorisant que les services réseau qui
ont été explicitement agréés, offre une bonne protection
contre les «chevaux de Troie ouvreurs de ports». Le plus
utilisé des «pare- feux» personnel est certainement «Zone
Alarm». On peut le télécharger à partir du site
http://www.zonelabs.com/download/. «Tiny Personal
Firewall» a l’avantage d’être gratuit pour un usage personnel (il est par contre payant pour un usage professionnel) :
http://www.tinysoftware.com/
■■■
Prudence, mère de sûreté…
1°) Désactivez Windows Scripting Host
Si vous n’avez pas d’utilités pour «Windows Scripting
Host» (WSH), il doit être désactivé. Cela élimine tout
risque de contamination par les virus de type VBS (Visual
Basic Script) et SHS (Scripting Host System), qui représentent les macro-virus les plus courants. La procédure
pour désactiver WSH est expliquée à l’URL
http://www.sophos.com/support/faqs/wsh.html.
2°) Tenez-vous informé des vulnérabilités de Microsoft et
des correctifs disponibles
Les vers exploitant des vulnérabilités spécifiques de logiciels sont de plus en plus nombreux. Particulièrement visé,
Microsoft. Vous pouvez vous tenir informé des correctifs
disponibles en vous abonnant au bulletin sécurité de
Microsoft sur le lien :
http://www.microsoft.com/technet/security/bulletin/notify.asp
3°) Filtrer les pièces jointes exécutables
Le protocole SMTP de la messagerie électronique n’est pas
fait pour envoyer de gros fichiers comme le sont souvent les
fichiers exécutables. Pour cela préférez-lui des protocoles plus
appropriés comme FTP. Si toutefois il ne vous est pas possible de faire autrement, assurez-vous avant de double-cliquer sur son icône que vous connaissez votre interlocuteur et
qu’il a bien voulu vous envoyer le fichier que vous avez reçu.
Et n’oubliez pas de sauvegarder les fichiers auxquels vous
tenez.
6
■■■
Les encyclopédies des virus
Récupérer la liste des noms ou alias de ce virus sur :
http://www.virusbtn.com/VGrep/search.html
Consulter une base de description de virus sur :
http://www.sophos.fr/virusinfo/analyses/
http://www.avp.ch/avpve/findex.stm
http://vil.nai.com/vil/default.asp
http://www.symantec.com/avcenter/vinfodb.html
http://www.viruslist.com/eng/viruslist.asp
http://f-secure.com/v-descs/
http://www.antivirus.com/vinfo/virusencyclo/
http://www.Europe.DataFellows.com/vir-info/
http://www.drsolomon.com/vircen/enc/
■■■
Les messages
de fausses alertes virus
La répétition étant à la base de toute pédagogie, n’ayons
pas peur de rabâcher. Une fausse alerte se présente souvent
sous la forme suivante :
● On vous avertit qu’un nouveau virus extrêmement
dangereux est en circulation.
● L’annonce vient d’un organisme connu (IBM, police
judiciaire,…)
● Peu de gens sont au courant.
● Vous êtes chargé d’une mission très importante : sauvez l’humanité en diffusant le plus largement possible
ce message.
Le but poursuivi :
● Encombrer le réseau par des courriers qui vont se
démultiplier très rapidement.
● Saturer les boîtes aux lettres de faux messages de sécurité.
● Décrédibiliser les alertes de sécurité.
Alors ne participez pas à la malveillance en propageant le
faux message, d’autant qu’il est facile de vérifier si une
alerte virus est un canular ou non en consultant :
http://www.hoaxbuster.com
(site français souvent cité en référence)
http://kumite.com/myths/
(le plus connu des sites anti-canular)
http://www.Vmyths.com
http://www.hoaxkill.com
http://ciac.llnl.gov/ciac/CIACHoaxes.html
(Site du CIAC)
http://vil.mcafee.com/hoax.asp
(Liste McAfee)
http://www.sophos.com/virusinfo/hoaxes
(Liste Sophos)
http://www.symantec.com/avcenter/hoax.html
(Liste symantec)
http://www.nai.com/services/support/hoax/hoax.asp
(Liste nai)
http://www.stiller.com/hoaxes.htm
http://urbanlegends.miningco.com/msubvir.htm?pid=
3D2733&cob=3Dhome
Archives des canulars et autres mythes qui courent sur
Internet :
http://www.snopes.com/
http://snopes.simplenet.com/message/
■■■
Installation d’un anti-virus sur sur un serveur de Mail
Unix-Linux :
http://www.com.univ-mrs.fr/ssc/info/cours/install-amavis
-postfix.html
■■■
Des outils d’administration de la sécurité – principalement sous Windows –, aussi utiles que Fport, BOping,
DDOSping, SuperScan, Fscan, Trout, etc., sont téléchargeables sur l’URL
http://www.foundstone.com/knowledge/free_tools.html
■■■
Le texte de la convention sur la cybercriminalité
http://conventions.coe.int/Treaty/FR/Treaties/Html/185.htm
■■■
Un ensemble de liens donnant des informations – ou des
outils – pour sécuriser Windows NT :
Des outils :
http://www.securityfocus.com/cgi-bin/tools.pl?cat=109
http://www.sunbelt-software.com/search_category.cfm#SEC
http://www.csnc.ch/downloads/docs/hardening/
WindowsNTIISHardening_CSNC.pdf
http://www.arcert.gov.ar/webs/textos/Hardening_
WindowsNT_CSNC_V0_81.pdf
De la documentation :
http://nsa1.www.conxion.com/
http://nsa1.www.conxion.com/winnt/index.html
http://nsa2.www.conxion.com/win2k/download.htm
http://www.ntsecurity.net/
http://www.microsoft.com/security/
Beaucoup d’informations :
http://www.sans.org/infosecFAQ/win/path.htm
http://www.sans.org/infosecFAQ/win/NT_FAQ.htm
http://www.sans.org/infosecFAQ/win/harden_NT4.htm
Comment ça marche ?
http://www.csirt.ws/ntsecurity/ntsecurity.htm
■■■
S É C U R I T É I N F O R M AT I Q U E
numéro 38
février 2002
S É C U R I T É
D E S
S
S Y S T È M E
D
’
T I O N
I N F O R M A
Sujets traités : tout ce qui concerne
la sécurité informatique. Gratuit.
Périodicité : 5 numéros par an.
Lectorat : toutes les formations CNRS.
Responsable de la publication :
ROBERT LONGEON
Centre national de la recherche scientifique
Service du Fonctionnaire de Défense
c/o IDRIS - BP 167. 91403 Orsay Cedex
Tél. 01 69 35 84 87
Courriel : [email protected]
http://www.cnrs.fr/Infosecu
ISSN 1257-8819
Commission paritaire n° 3105 ADEP
La reproduction totale ou partielle
des articles est autorisée sous réserve
de mention d’origine
Conseil et coordination : CNRS - DIST - Jacqueline Leclère • Conception et réalisation : La Souris 01 45 21 09 61
brèves brèves
sécurité informatique