Malware 101 : les vers et leur méthode de propagation

Nous sommes de nouveau lundi, le week-end est de plus en plus loin, vous prenez une gorgée de votre dose de caféine matinale et allumez votre poste de travail. Alors qu'il finit de démarrer, une alerte de sécurité s'affiche : un système a été infecté par un malware.

Vous commencez à enquêter, mais un nouveau message d'alerte apparaît, puis un autre. Ce qui n'était au départ qu'un incident isolé de malware sur un système s'est propagé à travers le réseau et a touché un grand nombre de systèmes. Votre réseau a été victime d'un ver, un type de malware qui se propage sur les réseaux et peut faire des ravages sur les réseaux locaux et sur Internet.

Brève histoire des vers

Les vers tirent parti de la connexion des réseaux grâce à laquelle Internet existe, mais s'accompagne parfois d'effets désastreux. Ils sont également apparus peu de temps après la création de ce qui est devenu Internet, qui a évolué en même temps que lui.

En 1971, le premier malware connu a été codé, sous le nom de Creeper. Il s'agissait d'un ver qui se déplaçait dans ARPANET en émettant simplement le message « I'M THE CREEPER : CATCH ME IF YOU CAN. » Bien qu'il n'ait pas eu d'impact significatif, il a donné naissance au premier logiciel antimalware, qui a été codé spécifiquement pour l'attraper.

Le ver Morris, créé en 1988, a eu beaucoup plus d'impact et a même valu à son auteur une condamnation pénale. Profitant d'un bug sendmail pour se propager, associé à un dépassement de mémoire tampon dans l'utilitaire finger et à des mots de passe faibles utilisés pour les shells, le ver Morris est parvenu à infecter rapidement plus de 2 000 ordinateurs (ce qui n'est pas négligeable compte tenu du peu d'ordinateurs existant à l'époque). En outre, comme il ne vérifiait pas s'il existait déjà une instance de lui-même sur un ordinateur, il a réinfecté de nombreux ordinateurs et les a rendus inutilisables par un déni de service involontaire.

Méthode de propagation des vers

Un ver est un type de malware qui se copie sur d'autres appareils à l'aide de protocoles réseau. Il décrit donc une méthode de propagation. Il peut se propager par e-mail en contactant tous les contacts qu'il trouve sur les systèmes infectés, ou il peut utiliser une arnaque dans un protocole réseau tel que WannaCry.

Le ver se propageant automatiquement, il peut maximiser le nombre de systèmes infectés tout en réduisant le travail du pirate. Alors que les premiers vers visaient simplement à infecter les systèmes, l'ère des malwares expérimentaux est révolue depuis longtemps, et les vers d'aujourd'hui ont un nouvel objectif : créer une porte dérobée sur le système que le pirate peut utiliser plus tard pour voler des informations, pour agir en tant que bot interrogeant un serveur de commande et de contrôle ou pour télécharger une charge utile supplémentaire une fois le système infecté par exemple.

Compte tenu de la propagation rapide de la plupart des vers, ils ont tendance à être de plus grande envergure, les professionnels de la sécurité s'efforçant d'enrayer la propagation et de protéger les systèmes contre l'infection. Cependant, les vers peuvent parfois passer inaperçus pendant un certain temps, comme ce fut le cas avec Mirai.

Mirai : un exemple moderne

Mirai était un botnet qui ciblait principalement les routeurs, ainsi que certains appareils Internet des objets (IoT) tels que les systèmes de maison intelligents. Il a scanné et ciblé les appareils dotés d'un processeur particulier exécutant une version réduite de Linux, très répandue sur les routeurs et les technologies IoT, puis a pu y accéder en utilisant les informations d'identification par défaut, qui ne sont malheureusement pas modifiées par l'utilisateur lors de la configuration ou, dans certains cas, codées en dur par les développeurs. L'appareil a alors été infecté par Mirai pour l'intégrer au botnet et poursuivre la recherche de nouveaux appareils en attendant les ordres de l'infrastructure de commande et de contrôle.

L'identité des opérateurs de Mirai a été révélée lorsqu'ils ont décidé de lancer une attaque par déni de service distribué (DDoS) à l'aide du botnet contre Dyn, un fournisseur de DNS. Cet exemple a prouvé que l'idée du « hacker portant un sweat à capuche dans une pièce sombre » est préconçu puisque Mirai a en réalité été codé par des étudiants qui cherchaient à accroître l'intérêt pour leur entreprise de protection contre les attaques DDoS en envoyant des attaques DDoS à leurs clients cibles, à savoir les fournisseurs de serveurs Minecraft.

Après avoir découvert que Dyn fournissait des services DNS à ces « clients », les auteurs ont décidé qu'il serait plus efficace de cibler Dyn plutôt que des fournisseurs individuels. Cependant, ils n'ont pas tenu compte du fait que Dyn fournissait des services DNS à un pourcentage significatif du reste d'Internet, et ils ont réussi à paralyser l'accès à de nombreux sites principaux d'Internet, tombant ainsi dans l'infamie pour ce qui était initialement censé être des pratiques marketing commerciales louches.

Stuxnet : un ver conçu pour la furtivité

Si le fait d'infecter des appareils dépourvus de protection contre les malwares a permis à Mirai de ne pas faire la une des journaux pendant un certain temps, Stuxnet comportait un ver dont l'objectif était la furtivité. Stuxnet est censé avoir été développé conjointement par les agences de renseignement des États-Unis et d'Israël. Il a utilisé la furtivité ainsi que quatre arnaques de type zero-day distincts pour se propager, car son objectif était unique et très spécifique : infecter les systèmes SCADA qui faisaient partie du programme nucléaire iranien et détruire les centrifugeuses utilisées pour transformer l'uranium en matières utilisables pour la fabrication d'armes.

Bien que Stuxnet se soit propagé sur de nombreux appareils et systèmes SCADA, il a été soigneusement conçu pour n'endommager que les systèmes spécifiques utilisés par le programme nucléaire. Le succès a été au rendez-vous et a fait la une des journaux. Toutefois, Stuxnet a également eu des retombées inattendues, car des parties du code et des arnaques ont été utilisées par des cybercriminels pendant des années.

À l'instar de Mirai, Stuxnet montre que les vers peuvent parfois rester relativement furtifs jusqu'à ce qu'ils fassent des dégâts et que l'objectif et l'impact sont bien plus dignes d'intérêt que la propagation en elle-même. Cela rend les vers qui parviennent à un certain degré de furtivité très dangereux, car ils ont le temps de se propager à un plus grand nombre de machines et, en fin de compte, le nombre de systèmes qu'un ver peut infecter est son attribut le plus dangereux.