6pages s.cu38 int
Transcription
6pages s.cu38 int
S É C U R I T É I N F O R M AT I Q U E numéro 38 février 2002 S É C U R I T É D E S S S Y S T È M E Les virus attaquent … Je souhaiterais que ce numéro, plus que d’autres peut-être, soit lu en priorité par les «utilisateurs de base», ceux pour qui l’ordinateur est avant tout un outil: envoyer ou recevoir des messages, écrire des articles, naviguer sur le réseau mondial, faire des calculs, modéliser des expériences, etc., parce que la sécurité des systèmes d’information commence – et finit ! – par ce maillon-là. En effet, éditorial l’actualité des dernières semaines relative à la criminalité informatique les a sûrement trouvés en première ligne et sans doute quelquefois pris en défaut. J’entends certains soupirer : «Vous allez encore nous parler des virus» sur le ton las du pensionnaire : «Encore des pâtes !». Eh bien oui ! Parce que c’est un bon moyen de faire comprendre aux «utilisateurs de base» pourquoi il faut qu’ils prennent en charge leur sécurité. Tout utilisateur de PC sous Windows (un peu moins sous Macintosh) apprend tôt ou tard, souvent à ses dépens, ce qu’est un virus, un ver, un cheval de Troie. Nous pourrions attendre un de ces moments pénibles – c’est toujours quand on a besoin de son ordinateur qu’il ne fonctionne plus ! – pour lui dire gentiment : «Bienvenue dans le monde de la sécurité informatique». Oui … mais le mal est fait. Nous pourrions dire – certains ne s’en privent pas – : «Vous n’avez que ce que vous méritez, vous n’aviez qu’à travailler avec un système Linux». Certes … mais, outre que la diversité est une des saveurs de la vie, nous ne faisons que déplacer le problème: le monde Linux a beaucoup moins de virus, mais est-il exempt de failles ? Non, il faut expliquer, simplement et sans relâche, comment se protéger. Ce numéro est donc à nouveau consacré aux virus. Mais que peut-on dire sur ce sujet qui n’ait été rabâché plus de cent fois ? Tout simplement que les virus changent. Hier encore, la terreur venait des virus de macros qui empruntaient l’apparence d’un paisible document Word pour venir contaminer votre machine. Ils prenaient leur temps pour se propager : il fallait un bon mois pour que l’épidémie atteigne toute sa maturité. Quand finalement on en voyait un arriver, on avait eu le temps d’apprendre à le connaître. Il nous était déjà familier, presque sympathique. C’était la belle époque ! Aujourd’hui, avec les nouveaux virus, la propagation du mal est plus rapide que la diffusion des alertes de sécurité. Vous ne savez pas que MagistR existe qu’il vous a déjà mordu le disque dur… et il change d’apparence à chaque contamination, obligeant les éditeurs d’antivirus à des prouesses techniques pour le repérer. Pis, il chiffre les fichiers qu’il contamine ! Nous sommes aujourd’hui face à une nouvelle génération de virus, plus véloces – deux cent mille contaminations en moins de deux heures : une mise à jour quotidienne des bases de signatures est maintenant à peine suffisante –, plus pernicieux – ils exploitent les faiblesses humaines (love letter), ils jouent savamment des différentes phases de leur cycle de vie, ils utilisent les failles des machines : pas besoin de cliquer sur la pièce jointe pour être contaminé –, plus destructeurs – ils s’attaquent fréquemment au bios, ils propagent des informations confidentielles comme les mots de passe –, plus techniques – ils sont furtifs, polymorphes –, etc. Bref, nous sommes effectivement face à un défi de grande ampleur… et les «utilisateurs de base» sont bien en première ligne. A. Schwenck D ’ T I O N I N F O R M A La protection contre les virus est-elle encore possible ? Comment assurer la sécurité des systèmes d’information face à des attaques virales de plus en plus nombreuses ? Pour beaucoup, cela paraît impossible. Les informations parues dans les médias, relatant de véritables épidémies, les nombreux témoignages de connaissances ayant subi des infections malgré l’usage d’un antivirus, tout concourt à accréditer cette idée. Il est vrai qu’aujourd’hui les risques d’être confronté à un virus sont très importants, essentiellement à cause d’un nombre toujours croissant de nouveaux arrivants sur Internet sans aucune connaissance des problèmes de sécurité. On assiste à une explosion de la diffusion de vers de courrier électronique, de programmes malveillants exploitant les trous de sécurité des logiciels, mais également à la création d'autres moyens de diffusion de ces mêmes programmes comme ICQ, Gnutella, MSN Messenger ou IRC. Les conséquences en cas d’infection peuvent être graves, pouvant aller jusqu’à la destruction des données d’un réseau entier ou à la diffusion de données sensibles et confidentielles. Une action s’impose donc, mais laquelle, car la ou les techniques employées déterminent l’efficacité ou l’inefficacité de la protection. Faut-il se contenter d’un antivirus classique ? Faut-il utiliser d’autres moyens supplémentaires? Existe-t-il des méthodes alternatives efficaces? Telles sont les questions auxquelles il est indispensable de savoir répondre. L’interrogation la plus commune porte sur les antivirus classiques dits à analyse de signature dont de nombreuses personnes doutent maintenant de l’efficacité et préconisent l’abandon. Il s’agit pourtant comme le démontre la théorie (travaux de Frederic Cohen et David Chess), mais également la pratique, du seul principe de base fiable pour la détection des virus.Tous les autres, non basés sur l’analyse de signature, comme les inhibiteurs de comportement (behavior blockers) ou les contrôleurs d’intégrité, présentent un taux de détection nettement plus faible et un taux de fausse alarme important. Ils sont en revanche extrêmement utiles en matière de prévention contre les nouveaux virus. Une autre interrogation porte sur le système d’exploitation Windows. Certains préconisent son abandon au profit de Linux, prétendant qu’il est invulnérable aux virus. L’exemple du ver Ramen suivi par de nombreux clones a démontré le contraire. Pratiquement tous les programmes malveillants pour Linux exploitent des failles dans ce système d'exploitation et démontrent son incapacité à résister aux menaces actuelles et futures. La situation de Linux sera même beaucoup plus grave quand il ne sera pas simsuite page 2 CENTRE NATIONAL DE LA RECHERCHE SCIENTIFIQUE sécurité informatique février 2002 - n° 38 Suite de la page 1 plement utilisé sur des serveurs spécialisés mais employé comme plate-forme de travail ordinaire.Dans ce cas,le nombre d’utilisateurs non informaticiens augmentant, le problème sera identique à celui de Windows. Il a également été proposé une technique de gestion stricte des droits d'accès des nouveaux programmes au système d'exploitation. Elle consisterait en un refus de chargement d'un logiciel non certifié en mémoire et en la restriction de l'utilisateur à un sous-ensemble des fonctions disponibles pour la modification de l'application certifiée durant son exécution. Là aussi les objections sont nombreuses comme la possibilité de faire des programmes malveillants également certifiés ou d’exploiter des failles permettant de passer outre ces interdictions. Les techniques efficaces pour un type de programme malveillant ne le sont plus dès qu’elles sont contournées et si les solutions miracles n’existent pas, les simples non plus. Elles ne peuvent se trouver que dans l’analyse de chaque type de programme et de chaque contournement. Les virus classiques ■ Ils ne se reproduisent que par infection d’autres programmes (il y a des exceptions) ce qui rend leur vitesse de diffusion relativement lente. Plusieurs familles se sont succédé dans le temps, tombant généralement en désuétude au fur et à mesure de l’évolution des systèmes d’exploitation mais également des antivirus. Les virus de boot (secteur d’amorce) et les virus DOS sont les premiers apparus et ceux qui ont entraîné le développement et imposé l’usage des scanners, seul moyen de les détecter tous sans fausse alarme. Les virus non polymorphes sont tous facilement détectables mais malheureusement il n’en est pas de même de leurs pendants polymorphes apparus très tôt. En 1995 très peu d’antivirus étaient capables de les détecter de façon fiable, ils sont maintenant nombreux car la qualité générale des scanners a beaucoup progressé. Cette première classe de virus est tombée en désuétude mais leurs principes ainsi que celui de leur détection constituent toujours l’essence de la «science» du virus et de la «science» de l’antivirus. Sont apparus ensuite les virus macros et de script. Ils sont relativement simples et n’ont dû leur succès qu’au temps d’adaptation des scanners. Actuellement ils sont facilement détectables et les méthodes heuristiques qui ont été développées peu à peu permettent d’arrêter un fort pourcentage de nouveaux virus de ce type. Les virus pour Windows (Win95, Win32) ont maintenant remplacé les virus DOS. Certains sont très coriaces à cause des techniques de cryptage ou de polymorphisme qu’ils utilisent, 2 ou bien ont apporté des concepts inattendus comme Win95.CIH, posant de gros problèmes d’adaptation aux antivirus mais actuellement parfaitement résolus. Les performances atteintes par les antivirus actuels sont excellentes. Des études portant sur des centaines de milliers d’échantillons de virus différents mais connus montrent qu’il est possible d’atteindre un taux de détection supérieur à 99,9 % avec un taux de fausse alarme très faible. La détection des virus inconnus est également bonne. En pratique elle se réalise en combinant plusieurs techniques ajustées pour atteindre le meilleur rapport détection/fausse alarme, le taux de ce dernier devant être faible dans tous les cas. En combinant détection heuristique, inhibition de comportement (behavior blocker) et contrôle d’intégrité des fichiers, le taux protection contre les programmes malveillants inconnus dépasse 90% sans fausse alarme notoire. Malheureusement la bonne compréhension et utilisation de ces techniques ne sont pas aisées. L’usage d’un bon antivirus régulièrement mis à jour garantit donc une excellente protection contre les virus classiques et il y a de bonnes raisons d’être optimiste pour l’avenir. L’ancien mode de mise à jour mensuel par disquette rendait autrefois possible les infections, les mises à jour actuelles faites directement via Internet,souvent quotidiennes,réduisent considérablement la probabilité d’infection par un nouveau virus classique. Les programmes malveillants se sont donc adaptés à ces nouvelles conditions et contournent de plus en plus le court délai de mise à jour par une très grande rapidité de diffusion. Les vers de messagerie ■ Ils sont apparus en 1999, année pendant laquelle la mode était encore aux virus macros. L’année 2001 a marqué un grand changement et près de 90 % des incidents sont désormais dus aux vers de messagerie. Les chevaux de Troie B IEN qu’ils ne fassent pas la une des journaux, il s’agit là de programmes aptes à contourner les meilleures défenses. Ce n’est certainement pas un hasard si le rythme de leur sortie dépasse actuellement celle des virus, ce sont des outils de piratage et d’espionnage : – Alors qu’un virus est immédiatement reconnu comme tel dès que l’on constate qu’il se réplique, un cheval de Troie ne peut l’être que par l’analyse de sa nocivité. Il existe une infinité d’actions possibles, destruction de données ou formatage de disque, création d’une porte dérobée (backdoor) permettant un contrôle à distance, programme volant des mots de passe ou des numéros de cartes bleues… – Il existe une infinité de possibilités d’introduction d’un cheval de Troie dans un ordinateur, intégration dans un ver (Magistr), exploitation de failles de sécurité (CodeRed.II introduit directement une porte dérobée dans les serveurs IIS vulnérables), insertion dans le script d’une page Web exploitant une faille de Internet Explorer (Trojan.Seeker, Trojan.Exception.Exploit), envoi direct à un internaute en se faisant passer par un fournisseur d’accès ou tout simplement par installation directe sur un poste de travail à partir d’une disquette. – Il est impossible de les prévenir car ils ne sont pas détectables de façon fiable par les méthodes génériques. N’infectant pas les programmes sains, ils ne peuvent être différenciés d’une installation normale par un inhibiteur de comportement ou un contrôleur d’intégrité. Dans le meilleur des cas l’utilisateur s’apercevra de sa présence (par exemple ouverture d’un port détectée par un pare-feu personnel) mais restera perplexe sur la conduite à tenir. – Il n’existe pas de critères universels permettant de définir ce qu’est un programme malveillant. Les Américains déclareront comme tel un programme présentant un caractère sexuel, les Français un programme violant l’intimité de leur vie privée ou traçant simplement leurs comportements de consommation. – Il existe de fortes pressions commerciales pour que certaines catégories de chevaux de Troie ne soient pas détectées. De nombreux logiciels espions (spywares) sont déjà partie intégrante de programmes commerciaux et permettent à certaines entreprises de connaître et ficher les habitudes des internautes. Il est et sera toujours tentant d’intégrer une porte dérobée dans un logiciel, un système d’exploitation ou même un processeur. En conséquence, autant il est facile d’affirmer qu’un ordinateur est exempt de virus, autant il subsiste toujours un doute sur l’absence effective d’un cheval de Troie, seule une analyse précise de tous les programmes permettrait de le dire. La meilleure garantie pour l’utilisateur est apportée par la veille permanente et la surveillance mutuelle s’effectuant actuellement à l’échelle mondiale, par les éditeurs d’antivirus, les organismes s’occupant de sécurité informatique ou les experts indépendants, ainsi qu’un certain équilibre «géostratégique», les éditeurs d’antivirus se répartissant à peu près équitablement entre les États-Unis, l’Europe et les pays de l’Est. Sur le plan pratique, l’utilisateur doit avant tout s’équiper d’un scanner détectant le maximum de chevaux de Troie, d’un scanner détectant les «spywares», et il doit également se tenir au courant de l’actualité. sécurité informatique février 2002 - n° 38 Suite de la page 2 Leur principe de propagation n’a pas changé depuis l’apparition du premier (Happy99), il consiste à envoyer un message incitant l’utilisateur à s’infecter lui-même. Cela va de la lettre d’amour (LoveLetter), de la prétendue photo d’une star du tennis (Kournikova) au prétendu patch de mise à jour de Windows (Gigger). Certains (Magistr) fabriquent un message crédible, chaque fois différent, en piochant directement dans les documents du PC infecté, en envoient d’autres en pièces attachées, souvent confidentiels, envoient également un fichier infecté différent et pour ajouter à la confusion parfois non infecté. Pour trouver leurs futures victimes, les vers modernes ne se contentent plus des adresses présentes dans les carnets, ils les trouvent également dans les autres documents, y compris dans les forums consultés ou les pages Web visitées. En dehors de leur capacité à se propager via la messagerie, tous ces vers relèvent de la détection par les antivirus classiques et n’apportent donc rien de particulier. La plupart envoient toujours le même fichier (Loveletter, MTX) et sont donc très facilement détectables. Seuls les derniers (Magistr) sont de véritables virus Windows polymorphes et peuvent poser des problèmes de détection. Le mode de diffusion très rapide de ces vers rend leur détection aléatoire au cours des heures nécessaires à la mise au point d’une signature. Les méthodes heuristiques ou génériques employées par les antivirus trouvent vite leurs limites, et si les éditeurs se vantent d’un succès face à tel ou tel nouveau ver qui a été détecté, ils se gardent bien de parler des autres.En réalité l’utilisateur ne doit dans ce cas son salut qu’à sa seule prudence ou aux gardefous présents dans sa machine, car la plupart du temps son imprudente curiosité le pousse à s’infecter volontairement. On ne constate aucun progrès comportemental depuis la première épidémie massive due à LoveLetter et les mêmes vers triviaux comme Kournikova ont toujours autant de succès. Ce phénomène est d’autant plus absurde que personne ne s’échange habituellement des fichiers ayant les extensions VBS, PIF ou LNK. Pour les exécutables habituels (EXE), il est logique et naturel de les compresser préalablement (fichiers ZIP, RAR…) étant donné leur taille. L’utilisation de garde-fous empêchant l’ouverture de façon simple des pièces attachées potentiellement dangereuses s’avère la seule méthode vraiment éducative et de surcroît efficace. Les utilisateurs s’adaptent rapidement et acquièrent des réflexes de survie, associant de nombreux messages à un danger potentiel. On trouve déjà ces garde-fous intégrés dans des pare-feu personnels comme «Zone Alarm Pro»,dans des logiciels de courrier comme «The Bat», ou même certains antivirus. Il est également possible de protéger un réseau de manière radicale par filtrage de certaines pièces jointes au niveau du serveur de messagerie. Conscients de cette parade de plus en plus répandue, les auteurs de virus se sont donc mis à concevoir des programmes se propageant hors messagerie et sans l’appui de l’utilisateur. Les failles de sécurité ■ Un trou ou faille de sécurité est une erreur dans un programme permettant à un code malveillant de pénétrer imperceptiblement dans un ordinateur. Le danger inhérent aux virus utilisant les trous de sécurité consiste en ce qu'ils sont activés automatiquement et pratiquement indépendamment de l’utilisateur. Par exemple, pour être infecté par Nimda, il suffit simplement de pré-visualiser un message contenant le ver. CodeRed ne l'exige même pas, il détecte directement les ordinateurs vulnérables via Internet et les infecte. L’exploitation des failles n’est pas nouvelle puisqu’elle a été utilisée pour la première fois par le ver Internet Bubbleboy en 1999, suivi du très célèbre et très répandu KakWorm, mais le phénomène a pris une ampleur considérable en 2001 avec la distribution généralisée de programmes malveillants exploitant les failles de sécurité des systèmes d'exploitation et de leurs applications. Des exemples de tels virus sont CodeRed, Nimda et Badtrans.b. Selon certains éditeurs d’antivirus ces vers ont été la cause de plus de 50% des incidents en 2001. La plupart des codes malveillants exploitant les failles se présentent toujours sous forme d’un fichier, par exemple le code de KakWorm est un script caché dans la signature d’un message normal, mais en 2001 sont apparus de nouveaux types de code malveillant (CodeRed) capables de se diffuser puis fonctionner sur un ordinateur infecté sans l’utilisation d'un fichier. Ils peuvent se transmettre directement de mémoire à mémoire d’ordinateur en utilisant de simples requêtes et le réseau Internet. Toujours en utilisant les mêmes principes et les mêmes failles, un serveur Web préalablement infecté par CodeRed peut voir ses pages html infectées par Nimda, pages qui vont à leur tour infecter automatiquement ceux qui vont les visiter en utilisant des versions non sécurisées de Internet Explorer. Les moniteurs résidents des antivirus sont très mal adaptés pour faire face à ce genre d’attaque virale, ils détectent bien les virus mais généralement après l’infection. Une autre faille, parfaitement naturelle et extrêmement répandue est constituée par le partage des fichiers et des répertoires systèmes en réseau. Dans ce cas également, le moniteur antivirus ne détecte la présence du virus qu’après l’infection, ce qui peut être fatal en cas de virus ou ver ayant la capacité de résider en mémoire (Win32.Funlove). La même faille se retrouve quand un simple poste est connecté à Internet avec Netbios activé, permettant ainsi à plusieurs vers (Win32.Hai, Tro- 3 jan.Bymer) de pénétrer automatiquement dans le système. Tout cela rend caduque l’utilisation du schéma classique associant exclusivement protection antivirale et antivirus. L’année 2001 constitue une date de transition faisant entrer la lutte anti-virale dans la sécurité générale des systèmes d’information. Pour maintenant garantir la protection contre les programmes malveillants, il est devenu impératif d’utiliser un antivirus mais surtout et prioritairement de combler les failles de sécurité connues. Cela consiste à télécharger des patchs disponibles sur les sites des éditeurs de logiciels, patchs se suivant souvent à dates rapprochées, mais oblige également à procéder à la fois à une veille technologique et à consacrer du temps pour procéder à leur installation. Une attention particulière doit être portée à certains logiciels de Microsoft comme Outlook, Outlook Express ou Internet Explorer. Ce sont ceux qui présentent le plus de failles et sont les plus susceptibles de par leur grande diffusion de subir des attaques virales. Il est également nécessaire de veiller à ce qu’aucun répertoire système et aucun exécutable du réseau ne soient accessibles en écriture (du moins sans mot de passe), ce qui n’est pas toujours facilement réalisable. Le plus paradoxal dans tout ceci est que la solution au problème des failles de sécurité est aussi simple et efficace qu’inusitée. Pour un poste utilisateur elle se limite actuellement essentiellement au choix d’un bon logiciel de courrier et d’un bon navigateur. Conclusion ■ Une protection parfaitement efficace contre les virus est donc aujourd’hui possible, elle le sera même toujours. Les programmeurs de virus auront beau employer des méthodes d’attaque de plus en plus inventives, celles-ci seront toujours parfaitement maîtrisables pour une raison simple : les virus (le vers) ont un code programme et un comportement qui les différencie nettement des programmes dits normaux,ils se répliquent naturellement (se diffusent), la plupart n’ayant d’ailleurs pas d’autre fonction programmée. Cela les rend très rapidement repérables puis identifiables par une signature. Ils ne doivent leur survie et leur succès médiatique qu’à la méconnaissance ou la non application des règles de sécurité, antivirus non mis à jour ou absent, imprudence ou absence de garde-fou face aux programmes malicieux, utilisation de logiciels présentant des failles ou absence de correction. Leur existence pratique est à la fois un simple épiphénomène et un excellent révélateur des lacunes générales de la sécurité des systèmes d’information. Roland Garcia société Microtec Toulouse - [email protected] sécurité informatique février 2002 - n° 38 Badtrans, une nouvelle génération de vers En décembre, Badtrans a été responsable, d’après Sophos, de plus de 92% des contaminations. Pourquoi? Deux raisons principales semblent se dégager. La première, c’est le mode de contamination: Badtrans-B utilise une faille de sécurité de certaines versions de Microsoft Outlook. Moralité, si vous utilisez ce logiciel, appliquez le correctif disponible sur l’URL: http://www.microsoft.com/technet/security/bulletin/MS01-027.asp La seconde est le mode de propagation: W32/Badtrans est un ver de messagerie qui utilise un produit compagnon des clients de messagerie Microsoft Outlook et Microsoft Exchange,«MAPI Agent».MAPI permet de concevoir simplement un interfaçage de la messagerie avec des applications. Cette fonctionnalité,très utile par ailleurs,ne pouvait pas être ignorée très longtemps des «concepteurs de virus». Les virus de nouvelle génération savent détecter les messages entrants, récupérer l’adresse «expéditeur» pour renvoyer un message contaminé ressemblant à une réponse et enfin exécuter une tâche malveillante. Dans le cas de Badtrans, la tâche malveillante consiste à installer un cheval de Troie, Troj/PWS-AV, qui enregistre les frappes clavier de l'utilisateur afin d'obtenir des informations telles que des mots de passe. Badtrans et avant lui Kakworm démontrent deux idées qui restaient jusqu’alors du domaine des suppositions : 1 - Il n'est pas nécessaire à un utilisateur de double-cliquer sur une pièce jointe pour être contaminé, il suffit que «la bête» sache exploiter une faille de sécurité (ces deux vers exploitent la faille de Outlook et d'Outlook Express). Il faut s’attendre à trouver de plus en plus fréquemment ce mode de contamination également sous Linux, comme le montre le ver-concept «RAMEN». 2 - Un ver peut être utilisé pour espionner une machine (et même un clavier, c’est-à-dire qu’un texte peut être intercepter avant son chiffrement !). Le FBI aurait dans ses cartons un projet, utilisant ces techniques, afin de repérer les actions criminelles «avant qu’elles ne se produisent». Le nom de code du futur virus institutionnel est poétique : «magic lantern». http://www.lemonde.fr/article/0,5987,3208--248619-,00.html http://fr.news.yahoo.com/011213/166/2ci78.html http://techupdate.zdnet.com/techupdate/stories/main/0,14179,5100528,00.html Qui pense encore qu’un virus, c’est un jeu ? Pour se débarrasser de Badtrans : http://www.sophos.fr/support/faqs/w32badtransb.html RL Un délit de «création de codes malveillants» ? Les auteurs de virus commettent-ils un délit lorsqu’ils lancent dans le «monde sauvage» un code malveillant? Voyons ce que dit la loi. Article 462-3. - Quiconque aura, intentionnellement et au mépris des droits d'autrui, entravé ou faussé le fonctionnement d'un système de traitement automatisé de données sera puni d'un emprisonnement de trois mois à trois ans et d'une amende de 10000 F à 100 000 F ou de l'une de ces deux peines. Article 462-4 - Quiconque aura, intentionnellement et au mépris des droits d'autrui, directement ou indirectement, introduit des données dans un système de traitement automatique ou supprimé ou modifié les données qu'il contient ou leurs modes de traitement ou de transmission, sera puni d'un emprisonnement de trois mois à trois ans et d'une amende de 2 000 F à 500 000 F ou de l'une de ces deux peines. Article 462-5 - Quiconque aura procédé à la falsification de documents informatisés, quelle que soit leur forme, de nature à causer un préjudice à autrui, sera puni d'un emprisonnement d'un an à cinq ans et d'une amende de 20 000 F à 200 000 F. Article 462-6 - Quiconque aura sciemment fait usage des documents informatisés visés à l'article 462-5 sera puni d'un emprisonnement d'un an à cinq ans et d'une amende de 20 000 F à 2 000 000 F ou de l'une de ces deux peines. Article 462-7 - La tentative des délits prévus par les articles 462-2 à 462-6 est punie des mêmes peines que le délit lui-même. Article 462-8 - Quiconque aura participé à une association formée ou à une entente établie en vue de la préparation, concrétisée par un ou plusieurs faits matériels, d'une ou de plusieurs infractions prévues par les articles 462-2 à 462-6 sera puni des peines prévues pour l'infraction ellemême ou pour l'infraction la plus sévèrement réprimée. Article 462-9 - Le tribunal pourra prononcer la confiscation des matériels appartenant au condamné et ayant servi à commettre les infractions prévues au présent chapitre. Aussi, les auteurs des virus, comme les personnes ayant aidé à les propager sont passibles de 3 ans de prison et 100000 francs d'amende. ■ 4 sécurité informatique Les techniques de détection qu’utilisent les anti-virus Les techniques de détection des virus peuvent être regroupées en deux grandes familles: 1 - Les scanners de fichiers : ils peuvent fonctionner en temps réel – ils sont alors résidents en mémoire centrale –, ou/et être lancés à la demande. La plupart des scanners recherchent les virus en utilisant deux techniques : recherche d’une séquence de bits caractéristiques du virus (cette séquence de bits est appelée «signature du virus») et recherche d’une séquence d’instructions considérées comme malveillantes. Cette dernière technique est dénommée par certains éditeurs – non sans quelques arrière-pensées commerciales – «analyse spectrale». ● Recherche des virus par leurs signatures Les virus les plus simples comportent tous une suite d'instructions caractéristiques, propres à chacun, mais parfaitement identifiables qu'on appelle leur signature. La méthode consiste à faire une sorte de catalogue qui ira en grossissant au fur et à mesure qu'apparaîtront de nouveaux virus. Son avantage est qu’elle ne donne que très peu de fausses alertes, son inconvénient, qu’elle est en principe inefficace contre les virus non encore identifiés ainsi que contre les virus polymorphiques qui ont la faculté de modifier leur apparence en se cryptant eux-mêmes. Ces anti-virus doivent être mis à jour quotidiennement. ● Analyse spectrale L’analyse spectrale consiste à rechercher dans les programmes eux-mêmes des lignes de codes pouvant correspondre à des actions typiques des virus. Par exemple, un programme qui contiendrait la séquence d'instructions suivantes: { Créer un nouveau courrier ; destinataires : tout le monde ; fichier attaché : moimême ; Envoyer } peut-être légitimement suspecté de contenir un ver Internet. Si l’analyse spectrale est privilégiée par rapport à la recherche par signatures, il y aura un plus grand nombre de fausses alertes, en revanche il deviendra possible de détecter de nouveaux virus… aussi longtemps que n’apparaîtront pas de nouveaux concepts d’attaques. 2 - Les programmes utilisant des techniques dites «génériques». Elles sont de deux types : les vérificateurs d’intégrité et les moniteurs de comportement. ● Vérificateurs d’intégrité Le principe de fonctionnement des vérificateurs d'intégrité est de surveiller les modifications de certains fichiers, en premier lieu les programmes exécutables qui n’ont pas de raison, en dehors des mises à jour, de changer. Pour ce faire, on associe à chaque fichier dont on veut surveiller l’intégrité, une «empreinte numérique». Si le fichier est modifié, sa nouvelle empreinte est différente de la première et une alerte est envoyée à l’utilisateur. Il faut donc constituer au départ – à partir d’une machine saine ! – la base de données des empreintes de tous les fichiers à surveiller, et la maintenir, en particulier après des modifications de logiciels ou de configurations, afin d’éviter les alertes inutiles. Cette méthode, plutôt séduisante a priori malgré cette contrainte d’administration, ne peut suffire à elle seule : les vers,certains virus (ceux qu’on appelle furtifs parce qu’ils sont résidents en mémoire centrale et détournent les interruptions)* échappent totalement à ce type de surveillance.D’autre part,les logiciels qui utilisent ce principe nécessitent des «utilisateurs spécialistes» : quels sont les fichiers à surveiller ? Comment trier dans les nombreuses «alertes» celles qui sont dues à une modification assumée du fichier (les plus nombreuses) et celles qui sont dues à un virus ? Quelle attitude avoir lorsqu’on soupçonne que la modification est due à un virus ? Ajoutons,ce qui n’est pas le moindre des défauts de cette méthode, que l’alerte se fait… après que l’infection ait eu lieu ! ● Moniteurs de comportement Les moniteurs de comportement sont des programmes résidents en mémoire centrale à l’affût de tout comportement répertorié comme suspect dans une «base de connaissances» : ouverture en lecture/écriture de fichiers exécutables, écriture sur les secteurs de partitions ou de démarrage, tâche essayant de devenir résidente, etc. Pour repérer ces tentatives, les antivirus détournent les principales interruptions de l'ordinateur et les remplacent par l'adresse de leur code. Ainsi c'est l'antivirus qui est d'abord appelé et qui peut prévenir l'utilisateur de l’existence d’un programme suspect. L'antivirus peut alors éliminer le virus de la mémoire, enregistrer une partie de son code dans la base de donnée et lancer un scanner pour repérer la souche sur le disque dur et la détruire. Cette méthode a l’avantage de permettre de détecter des virus inconnus et de nécessiter des mises à jour moins fréquentes. Mais elle a deux inconvénients : elle est moins efficaces et provoque de nombreuses alertes. Les anti-virus modernes associent plusieurs des techniques ci-dessus, essayant de combiner leurs points forts et de limiter leurs faiblesses en un savant dosage… qui sont le secret de fabrication des produits. RL * On appelle furtifs les virus qui détournent des interruptions : un scanner voit le fichier original au lieu du fichier infecté.Les bons contrôleurs d'intégrité,AdInf ou AVP Inspector,scannent en utilisant les interruptions mais aussi un accès direct au disque; s'il y a une différence, ils en déduisent justement la présence d'un virus furtif.En revanche,les virus résidents en mémoire – comme CIH qui infecte le contrôleur d’intégrité lui-même – sont encore plus difficilement détectables par cette technique. On ne peut que déduire qu'il y a infection généralisée. février 2002 - n° 38 Comment se débarrasser de MagistR Description dans les archives de la liste et sur http://www.sophos.fr/virusinfo/analyses/w32mag. html (MagisteR-A) et http://www.sophos.fr/virusinfo/analyses/w32magistrb. html (MagisteR-B) Décontamination : ● MagisteR-A : http://www.sophos.fr/support/faqs/swclean.html et http://www.sophos.fr/virusinfo/articles/swclean.html ● MagisteR-B : http://www.sophos.fr/support/faqs/magbremove.html ■■■ Combien de virus en circulation ? Il faut relativiser certains chiffres. Par exemple, des éditeurs vous diront qu’il existe sur le marché plus de 60 000 virus ! En réalité le nombre de virus dépend des méthodes de comptabilisation. Par exemple les 51665 fiches qu’utilise AVP ne sont pas des virus mais bien réellement des fiches. Ce sont des routines de détection et de désinfection. Prenons des exemples: pour le virus dos V-Kit.based, AVP utilise 8 fiches pour détecter et désinfecter 15 000 variantes possibles. Inversement, le très complexe virus Win95.Babylonia, utilise 11 fiches : ● une pour le virus (première méthode d'infection); ● une pour le virus (deuxième méthode d'infection); ● une pour le fichier Wsock32.dll; ● une pour les fichiers HLP; ● une pour la désinfection de la mémoire (c’est le seul antivirus qui sache le faire); ● une pour le fichier attaché au message; ● une pour le trojan (kernel32.exe); ● et quatre autres, une pour chacun des plugins. De nombreuses variantes d’un même virus circulent. Certains éditeurs comptabilisent chacune comme un virus à part entière, d’autres toutes les variantes (plusieurs centaines parfois) comme un seul… c’est affaire de marketing ! On nous annonce d’une à cinq alertes «nouveaux virus» par jour, mais la plupart du temps ils ne sortent pas à l’air libre: il y a à peine une dizaine de virus réellement actifs durant une période donnée. Les autres, c’est juste pour l’effet d’annonce! RG ■■■ Les espiogiciels Un espiogiciel (spyware en américain) ou «mouchard» est un programme intégré ou associé à un logiciel qui utilise, en arrière-plan, la connexion Internet de l'utilisateur pour recueillir et envoyer, à son insu et sans sa permission, des données personnelles à un destinataire. Ces informations peuvent porter sur la validité des licences des logiciels que vous utilisez (MS-Office 97, ICQ,…), ou, comme c’est le cas pour de nombreux logiciels gratuits financés par des régies publicitaires, sur vos habitudes de navigation (Radiate). ADsuite page 6 5 février 2002 - n° 38 Suite de la page 5 aware est un utilitaire gratuit de Lavasoft qui détecte et supprime un grand nombre de ces mouchards parmi lesquels : Aureate/Radiate, Conducent/Timesink, CometCursor, CYDoor (Babylon Translator), Gator, Web3000, Flyswat, etc. Vous le trouverez à l’URL : http://www.lsfileserv.com/index.html ■■■ Port en vue… Parmi toutes les actions malveillantes d’un cheval de Troie, il en est une commune : ouvrir un port sur la machine hôte. Un port est une sorte de «guichet» par lequel on peut demander – par le réseau – à un ordinateur d’offrir un service. Par exemple, le cheval de Troie – «BackOrifice» – permet à un pirate de prendre le contrôle à distance d’un PC. Il faut donc vérifier régulièrement que les ports ouverts sur une machine correspondent à des services installés «officiellement». Un numéro de port «exotique» doit faire immédiatement penser à la présence d’un cheval de Troie. Le site http://www.commentcamarche.net/virus/trojan.php3 fourni la liste des chevaux de Troie les plus fréquents avec les numéros de port qu’ils ouvrent ordinairement. Un «pare-feu», en n’autorisant que les services réseau qui ont été explicitement agréés, offre une bonne protection contre les «chevaux de Troie ouvreurs de ports». Le plus utilisé des «pare- feux» personnel est certainement «Zone Alarm». On peut le télécharger à partir du site http://www.zonelabs.com/download/. «Tiny Personal Firewall» a l’avantage d’être gratuit pour un usage personnel (il est par contre payant pour un usage professionnel) : http://www.tinysoftware.com/ ■■■ Prudence, mère de sûreté… 1°) Désactivez Windows Scripting Host Si vous n’avez pas d’utilités pour «Windows Scripting Host» (WSH), il doit être désactivé. Cela élimine tout risque de contamination par les virus de type VBS (Visual Basic Script) et SHS (Scripting Host System), qui représentent les macro-virus les plus courants. La procédure pour désactiver WSH est expliquée à l’URL http://www.sophos.com/support/faqs/wsh.html. 2°) Tenez-vous informé des vulnérabilités de Microsoft et des correctifs disponibles Les vers exploitant des vulnérabilités spécifiques de logiciels sont de plus en plus nombreux. Particulièrement visé, Microsoft. Vous pouvez vous tenir informé des correctifs disponibles en vous abonnant au bulletin sécurité de Microsoft sur le lien : http://www.microsoft.com/technet/security/bulletin/notify.asp 3°) Filtrer les pièces jointes exécutables Le protocole SMTP de la messagerie électronique n’est pas fait pour envoyer de gros fichiers comme le sont souvent les fichiers exécutables. Pour cela préférez-lui des protocoles plus appropriés comme FTP. Si toutefois il ne vous est pas possible de faire autrement, assurez-vous avant de double-cliquer sur son icône que vous connaissez votre interlocuteur et qu’il a bien voulu vous envoyer le fichier que vous avez reçu. Et n’oubliez pas de sauvegarder les fichiers auxquels vous tenez. 6 ■■■ Les encyclopédies des virus Récupérer la liste des noms ou alias de ce virus sur : http://www.virusbtn.com/VGrep/search.html Consulter une base de description de virus sur : http://www.sophos.fr/virusinfo/analyses/ http://www.avp.ch/avpve/findex.stm http://vil.nai.com/vil/default.asp http://www.symantec.com/avcenter/vinfodb.html http://www.viruslist.com/eng/viruslist.asp http://f-secure.com/v-descs/ http://www.antivirus.com/vinfo/virusencyclo/ http://www.Europe.DataFellows.com/vir-info/ http://www.drsolomon.com/vircen/enc/ ■■■ Les messages de fausses alertes virus La répétition étant à la base de toute pédagogie, n’ayons pas peur de rabâcher. Une fausse alerte se présente souvent sous la forme suivante : ● On vous avertit qu’un nouveau virus extrêmement dangereux est en circulation. ● L’annonce vient d’un organisme connu (IBM, police judiciaire,…) ● Peu de gens sont au courant. ● Vous êtes chargé d’une mission très importante : sauvez l’humanité en diffusant le plus largement possible ce message. Le but poursuivi : ● Encombrer le réseau par des courriers qui vont se démultiplier très rapidement. ● Saturer les boîtes aux lettres de faux messages de sécurité. ● Décrédibiliser les alertes de sécurité. Alors ne participez pas à la malveillance en propageant le faux message, d’autant qu’il est facile de vérifier si une alerte virus est un canular ou non en consultant : http://www.hoaxbuster.com (site français souvent cité en référence) http://kumite.com/myths/ (le plus connu des sites anti-canular) http://www.Vmyths.com http://www.hoaxkill.com http://ciac.llnl.gov/ciac/CIACHoaxes.html (Site du CIAC) http://vil.mcafee.com/hoax.asp (Liste McAfee) http://www.sophos.com/virusinfo/hoaxes (Liste Sophos) http://www.symantec.com/avcenter/hoax.html (Liste symantec) http://www.nai.com/services/support/hoax/hoax.asp (Liste nai) http://www.stiller.com/hoaxes.htm http://urbanlegends.miningco.com/msubvir.htm?pid= 3D2733&cob=3Dhome Archives des canulars et autres mythes qui courent sur Internet : http://www.snopes.com/ http://snopes.simplenet.com/message/ ■■■ Installation d’un anti-virus sur sur un serveur de Mail Unix-Linux : http://www.com.univ-mrs.fr/ssc/info/cours/install-amavis -postfix.html ■■■ Des outils d’administration de la sécurité – principalement sous Windows –, aussi utiles que Fport, BOping, DDOSping, SuperScan, Fscan, Trout, etc., sont téléchargeables sur l’URL http://www.foundstone.com/knowledge/free_tools.html ■■■ Le texte de la convention sur la cybercriminalité http://conventions.coe.int/Treaty/FR/Treaties/Html/185.htm ■■■ Un ensemble de liens donnant des informations – ou des outils – pour sécuriser Windows NT : Des outils : http://www.securityfocus.com/cgi-bin/tools.pl?cat=109 http://www.sunbelt-software.com/search_category.cfm#SEC http://www.csnc.ch/downloads/docs/hardening/ WindowsNTIISHardening_CSNC.pdf http://www.arcert.gov.ar/webs/textos/Hardening_ WindowsNT_CSNC_V0_81.pdf De la documentation : http://nsa1.www.conxion.com/ http://nsa1.www.conxion.com/winnt/index.html http://nsa2.www.conxion.com/win2k/download.htm http://www.ntsecurity.net/ http://www.microsoft.com/security/ Beaucoup d’informations : http://www.sans.org/infosecFAQ/win/path.htm http://www.sans.org/infosecFAQ/win/NT_FAQ.htm http://www.sans.org/infosecFAQ/win/harden_NT4.htm Comment ça marche ? http://www.csirt.ws/ntsecurity/ntsecurity.htm ■■■ S É C U R I T É I N F O R M AT I Q U E numéro 38 février 2002 S É C U R I T É D E S S S Y S T È M E D ’ T I O N I N F O R M A Sujets traités : tout ce qui concerne la sécurité informatique. Gratuit. Périodicité : 5 numéros par an. Lectorat : toutes les formations CNRS. Responsable de la publication : ROBERT LONGEON Centre national de la recherche scientifique Service du Fonctionnaire de Défense c/o IDRIS - BP 167. 91403 Orsay Cedex Tél. 01 69 35 84 87 Courriel : [email protected] http://www.cnrs.fr/Infosecu ISSN 1257-8819 Commission paritaire n° 3105 ADEP La reproduction totale ou partielle des articles est autorisée sous réserve de mention d’origine Conseil et coordination : CNRS - DIST - Jacqueline Leclère • Conception et réalisation : La Souris 01 45 21 09 61 brèves brèves sécurité informatique