Sécurité des systèmes informatiques

Plan du chapitre
Chapitre 4
Virus et antivirus
1
Classication : vers, virus et chevaux de Troie
2
Protection contre les virus
2
1
Malware
Dommages possibles causés par les virus
Programme ayant pour but de s'introduire dans un système
informatique, de l'endommager ou d'en tirer prot
perte de données : perte ou corruption
matériel : pas d'attaque directe, mais corruption de logiciels
critiques
temps : impossibilité d'assurer un service
−→ perte de temps pour les utilisateurs
−→ perte de temps pour les administrateurs (éradication du
logiciel)
crédibilité : interruption des services d'une société
propagation d'un virus à travers les communications de la
société
condentialité : chier joint choisi au hasard sur l'ordinateur
infecté
valeur : appels payants
Exemples : virus, vers, chevaux de Troie, portes dérobées
(backdoors), spyware, adware
Comment fonctionnent-ils et comment s'en protéger ?
Classication assez subjective
Caractéristique générale : programmes indésirables et à éradiquer
4
5
Typologie des virus
Fichiers exécutables
Virus : malware se propageant à l'aide d'un autre programme ou
chier-hôte
−→ un chier texte ne peut pas être un virus
Forme la plus classique d'un virus, .exe sous Windows
Ils s'exécutent quand le programme est lancé et restent actifs une
fois le programme terminé
−→ infection d'autres chiers possible
Premier virus : Elk Cloner, créé par Rich Skrenta à 15 ans en 1982
système Apple II
infection de jeux (démarrage empêché après 50 exécutions)
infection de toutes les disquettes
Premier virus sur PC : Brain, créé par Basit et Amjad Farooq Alvi
en 1986
remplacement du secteur d'amorçage par une copie du virus
pas de danger, mais un vent de panique
6
Secteur d'amorçage, Master Boot Record
7
Virus avec diérentes propriétés
Master Boot Record : premier secteur d'un disque partitionné, il
pointe vers le secteur d'amorçage de la partition active
Contient un progra mme pour lire et démarrer le système
d'exploitation installé
Virus multiparties : peuvent infecter le secteur d'amorçage et des
chiers exécutables
−→ détecter et eacer toutes les parties
Virus furtifs : propagation initiale lente
−→ techniques pour rendre les virus indétectables
modication des routines d'accès aux chiers ou à la mémoire
Son infection permet d'exécuter un autre programme que celui
stocké dans le secteur d'amorçage
Virus polymorphes : capables de se modier à chaque infection
8
9
Macros ou chiers malformés
Vers
Macros : automatisation de tâches dans les traitements de texte,
tableurs et bases de données
−→ création de virus pour infecter d'autres chiers
Ver : capable de se propager par ses propres moyens en faisant
usage des réseaux informatiques
Propagation des vers :
établissement direct de connexions réseau, exploitation de
failles dans les logiciels
envoi de copies du ver par mail
−→ infection rapide de beaucoup de machines
Fichiers mal formés : chiers traités par un programme spécique
(images, Word, Excel, Powerpoint...)
Malformation des chiers −→ exécution d'un virus au programme
souvent : débordement de buers (voir chapitre suivant)
10
Premier ver connu : Mélissa, 1999
11
Exemples de vers : Loveletter, 2000
Macro dans un document Microsoft Word (exécution automatique
à l'ouverture du document)
Courrier électronique au sujet I love you et attachement en
Visual Basic Script
Diusion du ver : copie dans le modèle général des documents Word
envoi d'une copie de lui-même aux 50 premières personnes du
carnet d'adresses d'Outlook
Propagation et eets du ver :
exécution quand l'utilisateur double-clique dessus
envoi d'une copie du mail à tout le carnet d'adresses
remplacement de chier et images du disque dur
modication de la page de démarrage d'Internet Explorer
en une journée : 147 million de personnes et 10 million
d'ordinateurs
estimation des dommages (assurance Lloyds) : 15 milliards de
dollars
Souvent des programmes simples écrits par des programmeurs
inexpérimentés
Mais propagation planétaire rapide et dégâts considérables
12
13
Exemples de vers : SirCam, 2001
Exemples de vers : Bugbear, 2002
Premier virus à avoir créé un risque de perte de condentialité en
plus de l'intégrité et la disponibilité
Achage automatique lors de l'achage d'un courrier électronique
Propagation et eets du ver :
exploitation d'une faille dans Internet Explorer
installation d'une porte dérobée sur sa cible
récupération des mots de passe stockés dans Internet Explorer
installation d'un keylogger
arrêt des antivirus et pare-feux
envoi d'une copie de lui-même à 170 adresses
Propagation et eets du ver :
choix d'un chier au hasard sur le disque dur de la victime
choix d'un destinataire au hasard dans le carnet d'adresses
infection et envoi comme chier attaché dans un mail
infection de l'ordinateur du destinataire : clic sur le chier
14
Exemples de vers : Samy est votre héros, 2005
15
Chevaux de Troie
Ver se propageant sur MySpace
Cheval de Troie : programme indépendant qui paraît avoir une
fonction utile et qui contient des fonctionnalités malveillantes
Propagation et eets du ver :
contournement des ltres installés sur les sites web pour
empêcher les utilisateurs d'insérer dans les pages des éléments
actifs comme du Javascript
copie automatique dans le prol des utilisateurs
ajout de Samy comme ami et du message Samy is my hero 1 million de prols infectés en 20h
Exemple : logiciel connu, modié puis redistribué
Exemple : logiciel Squirrelmail en 2009
Exemple : logiciel que les utilisateurs ont envie d'installer, comme
un jeu
Propagation lente : téléchargement et exécution à la main
Amélioration : campagnes de spam pour inciter aux téléchargements
Fonction malveillante : backdoor, rootkit ou spyware
16
17
Portes dérobés, backdoors
Spywares (logiciels espion) et adwares
Backdoor : logiciel permettant à un pirate de prendre le contrôle
d'une machine à distance
Logiciel espion : logiciel recueillant des informations sur la machine
infectée et les transmettant à une centrale
Exemples :
ouverture d'un port TCP sur la machine et attente de la
connexion d'un pirate
connexion à des forums de discussion et attente des ordres du
pirate
Intérêt : envoi de publicités ciblées à l'utilisateur
Adwares : envoi de publicités sans espionnage
Exemples :
modication de la page de démarrage d'un navigateur
remplacement de publicités dans les pages web
Installation : via un cheval de Troie ou un navigateur vulnérable
18
Exemples de l'adware Cydoor
19
Rootkits
Objectif : permettre aux développeurs de logiciels gratuits de
gagner de l'argent en y plaçant des publicités
Rootkit : ensemble d'outils pour cacher la présence de logiciels
malveillants sur un ordinateur infecté
Exemples : logiciels Kazaa, iMesh, gestionnaire de téléchargement
NetAnts
À l'origine : commandes Unix ps, netstat et passwd modiées et
recompilées
70 million d'utilisateurs d'après la société Cydoor Desktop Media
Aujourd'hui : toutes plateformes et dans les noyaux pour rendre la
détection dicile
Utilisation typique : cacher une backdoor ou un spyware
Exemple : système de protection des CD de Sony en 2005
20
21
Canulars (hoax)
Logiciels antivirus
Hoax : mail ayant un contenu incitant les gens à envoyer une copie
d'un message à toutes leurs connaissances (avertissement à propos
de menaces)
Vérication : www.hoaxbuster.com
Exemples :
risque de virus (suppression d'un chier important :
jdbgmgr.exe en 2002, sulfnbk.exe en 2001)
maladie d'un petit enfant
appel de numéros payants
Conséquences possibles : pas de conséquences graves, mais perte de
temps
Moyens de les repérer :
menaces avec conséquences abracadabrantes
aucune référence à une source able
accompagné de la demande de retransmettre au max de
personnes
Trois modes combinables :
signature : liste de tous les virus connus et recherche une
signature dans des chiers ou du trac réseau
analyse statique : analyse du code du programme pour
détecter des opérations douteuses
simulation de l'exécution du code : analyse de son
comportement
22
Signatures de virus
24
Analyse spectrale
Base de signatures pour chaque virus connu
les chercher dans un chier à analyser
Solutions : nettoyer le chier infecté, mettre le chier en
quarantaine ou le supprimer
Faire une liste des instructions et appels systèmes d'un programme
Comparer ce spectre aux spectres caractéristiques des virus connus
Méthode statistique : beaucoup de faux positifs, mais permet de
découvrir de nouveaux virus
Nécessité de mises à jour régulières des listes de signatures
Antivirus : mises à jour automatiques et service d'alerte
Risque de multiplication de faux positifs avec la multiplication de
nouveaux virus
Exemple (AVG, 2009) : croyait avoir vu un cheval de Troie dans
user32.dll
25
26
Analyse comportementale
Architecture
Laisser s'exécuter un virus potentiel et contrôler ce qu'il fait
(simulation)
Protection ecace : logiciels antivirus à tous les niveaux
Conguration : mise à jour automatique et régulière
+ gestion centralisée
Problème : diérences dans le comportement d'un virus s'il se sent
observé
Exemple : virus n'activant ses fonctions malveillantes qu'à des
moments précis
Postes de travail et portables : majorité des infections
−→ pas de droits d'administrateur et antivirus exécuté à partir d'un
compte d'administrateur
Résultat de Fred Cohen en 1986 : il est impossible de créer un
programme qui sache déterminer si un autre programme est un virus
−→ les antivirus basent leur détection sur une liste actualisée de
signatures de virus connus
Serveurs de chiers et messageries : arrêt des virus avant qu'ils
n'atteignent les utilisateurs
Proxy : interception des virus avant leur arrivée sur le réseau interne
+ ltrage générique, principe du moindre privilège
−→ protection très ecace contre la majorité des virus
27
28