25 à 50 nouveaux virus par jour selon McAfee

Cloud

Responsable de l’AVERT (AntiVirus Emergency Response Team, la cellule antivirale de Network Associates/McAfee), Vincent Gullotto était de passage à Paris. Avec son collègue François Paget, ingénieur pour l’AVERT en France, ils évoquent leur travail de chasseurs de virus.

Comment s’organise McAfee pour faire face aux attaques virales ?

Vincent Gullotto : Nous travaillons sur une collection de fichiers suspects qui sont réunis par les membres de l’AVERT mais aussi par d’autres chercheurs, qui travaillent notamment pour des éditeurs concurrents. Certains auteurs de virus nous envoient leur « travail », par défi certainement. Nous organisons ensuite les priorités au sein de cette collection virale. Nous recevons également des rapports de nos clients. Dans le cas où plusieurs rapports d’un même virus nous parviennent, nous lui accordons la priorité et nous engageons à trouver une parade dans les 2 à 6 heures.

Quels sont aujourd’hui les virus et les types d’attaques les plus dangereux ?

VG : De toute évidence, les virus 32 bits pour plates-formes Windows sont les plus répandus et les plus complexes. Les vers sont dangereux notamment parce qu’ils peuvent se répandre de plusieurs manières, par e-mail, par l’intermédiaire des bases de données partagées, etc. Quant aux attaques les plus dangereuses, je pense que les attaques incapacitantes (Denial of service) sont les plus dramatiques car elle ralentissent le réseau et interdisent parfois l’accès au serveur. Signalons aussi les virus dont l’infection ont des conséquences inattendues, même de la part de leurs créateurs, tout simplement parce que les fichiers qu’ils modifient créent des bogues système.

François Paget : On voit aussi de plus en plus de troyens, ces virus qui installent une backdoor, une porte dérobée qui va ouvrir les ports de la machine afin de permettre à un hacker d’y pénétrer. Ou encore les passport stealers, les virus qui transmettent les données personnelles, comme les identifiants et mots de passe. Il n’y a pas de virus non dangereux. Nous avons recensé environ 13 000 troyens.

Connaît-on les objectifs des auteurs de virus, leurs motivations ?

VG : L’objectif n’est pas forcément la destruction ou la paralysie des systèmes informatiques. Certains se livrent à de vrais défis dont le but est d’infecter le plus de machines possibles. Ces concours particuliers sont issus d’organisations underground mondiales.

FP : Nous ne connaissons pas formellement les auteurs mais souvent leur pseudo, une adresse e-mail, voire un site Web qui sert de passerelle. Dans ce cas, nous n’hésitons pas à contacter l’hébergeur ou le fournisseur d’accès pour signaler le site suspect. En général, en France, l’hébergeur réagit rapidement et ferme le site s’il le juge nécessaire. Ce sont des informations que nous transmettons aux autorités judiciaires si elles le réclament. Ce qui est plutôt rare car les plaintes pour infections virales sont exceptionnelles contrairement à celles concernant les intrusions distantes.

Quelles sont les peines appliquées aux auteurs de virus?

VG : Il est difficile de dresser un modèle de peine comparable à celui appliqué pour un crime réel. Peut-être faudrait-il formuler des peines spécifiques à ce type d’infraction, comme l’interdiction de toucher à un ordinateur. Mais encore faut-il savoir que, aux Etats-Unis du moins, la création d’un virus, en tant que programme informatique comme un autre, n’est pas interdite. En tout cas, la prison me paraît inappropriée. L’idée serait plutôt de leur faire comprendre qu’ils ont mieux à faire que de créer des virus.

C’est pourtant ce qui est arrivé à Kevin Mitnick, célèbre hacker des années 90, et David L. Smith, auteur du macrovirus Melissa.

VG : Kevin Mitnick s’était introduit dans les systèmes et a volé des données, version numérique d’un cambriolage. David L. Smith avait exploité le réseau téléphonique pour répandre son virus. Leurs infractions ont été jugées comparables à des délits « réels », ils ont donc été condamnés en conséquence.

Comment parvient-on à identifier l’auteur d’un virus ?

FP : Les auteurs de virus ont un ego particulier qui fait qu’ils aiment bien être reconnus tout en restant anonymes. Notamment par l’intermédiaire des signatures et des messages qu’ils laissent dans leur code, ou encore par l’analogie qu’on peut établir d’un virus à l’autre qui peut faire penser à un même auteur. Mais cela ne permet de n’établir que des suppositions. Ensuite, on essaie de faire des recoupements via leur propagation sur Internet et notamment définir le pays d’origine. Mais depuis le 11 septembre 2001, les auteurs de virus sont plus discrets…

Malgré toutes les solutions antivirales du marché et l’information sur les risques informatiques, les systèmes continuent à être infectés. Comment l’expliquez-vous ?

VG : D’abord, les nouveaux virus parviennent à infecter même les machines protégées. C’est une réalité statistique. Mais, surtout, le particulier est crédule ou mal informé et ne comprend pas que son antivirus ne sert à rien s’il n’est pas régulièrement mis à jour. Dans les entreprises, c’est le même problème. Notamment à cause des pièces jointes qui accompagnent les e-mails. Les postes clients d’un réseau n’ont pas toujours leur antivirus à jour, quand ils en sont équipés.

Quelle fréquence de mise à jour conseilleriez-vous ?

VG : Hebdomadaire pour les ordinateurs de bureau et quotidienne pour les serveurs de courrier, les passerelles Internet et autres réseaux. On dénombre 25 à 50 nouveaux virus par jour.

Que pensez-vous des solutions qui ne se basent pas sur la signature des virus mais sur les comportements « suspects » du système ?

VG : Ce genre de produit peut se révéler utile comme un second niveau de sécurité. Mais pas comme protection principale car ce n’est pas une solution antivirale proprement dite. Un bon produit doit offrir tous les modèles et capacités de protection : un antivirus, bien sûr, mais aussi un sniffer qui analyse le réseau en permanence, un pare-feu et, surtout, un service de professionnels capables d’intervenir rapidement face aux nouveaux virus.