Nous sommes de nouveau lundi et, alors que les événements du week-end s'estompent, vous prenez une tasse de votre dose de caféine matinale et démarrez votre poste de travail. Le processus de démarrage se termine et vous voyez apparaître une alerte de sécurité : un système a été infecté par un logiciel malveillant.
Alors que vous commencez à enquêter, une autre alerte s'affiche, puis une autre encore. Ce qui n'était au départ qu'un incident de logiciel malveillant sur un système s'est propagé à travers le réseau et a touché un grand nombre de systèmes. Votre réseau a été victime d'un ver, un type de logiciel malveillant qui se propage sur les réseaux et peut faire des ravages sur les réseaux locaux et sur l'internet.
Une brève histoire des vers
Les vers exploitent la nature connectée des réseaux qui rend l'internet possible, parfois avec des effets désastreux. Ils sont apparus peu de temps après la création de ce qui allait devenir l'internet, et ont évolué en même temps que lui.
En 1971, le premier logiciel malveillant connu a été écrit, sous le nom de Creeper. Il s'agissait d'un ver qui se déplaçait sur ARPANET en envoyant simplement le message "I'M THE CREEPER : CATCH ME IF YOU CAN" (Je suis le Creeper : attrapez-moi si vous le pouvez). Bien qu'il n'ait pas eu d'impact significatif, il a donné naissance au premier logiciel anti-programme malveillant, qui a été écrit spécifiquement pour l'attraper.
Le ver Morris, écrit en 1988, a eu beaucoup plus d'impact et son auteur a même été condamné à une peine d'emprisonnement. Profitant d'un bogue de sendmail pour se propager, associé à un débordement de mémoire tampon dans l'utilitaire finger et à des mots de passe faibles utilisés pour les shells, le ver Morris est parvenu à infecter rapidement plus de 2 000 ordinateurs (ce qui n'est pas négligeable compte tenu du peu d'ordinateurs existant à l'époque). En outre, comme il ne vérifiait pas s'il existait déjà une instance de lui-même sur un ordinateur, il a réinfecté de nombreux ordinateurs et les a rendus inutilisables par un déni de service involontaire.
Comment les vers se propagent-ils ?
Un ver est un type de logiciel malveillant qui se copie sur d'autres appareils à l'aide de protocoles de réseau, ce qui décrit une méthode de propagation. Il peut se propager par courrier électronique en s'envoyant à tous les contacts qu'il trouve sur les systèmes infectés, ou il peut utiliser un exploit dans un protocole de réseau comme WannaCry.
En se propageant automatiquement, un ver peut maximiser le nombre de systèmes infectés avec moins de travail de la part de l'attaquant. Si les premiers vers visaient simplement à infecter des systèmes, l'ère des logiciels malveillants en tant qu'expérience est révolue depuis longtemps, et les vers actuels ont également un objectif. Il peut s'agir de créer une porte arrière sur le système que l'attaquant pourra utiliser plus tard, de voler des informations, d'agir comme un bot interrogeant un serveur de commande et de contrôle pour obtenir des commandes, ou de télécharger une charge utile supplémentaire une fois que le système a été infecté.
Étant donné la rapidité de propagation de la plupart des vers, ils ont tendance à être plus médiatisés, les professionnels de la sécurité s'efforçant d'enrayer la propagation et de protéger les systèmes contre l'infection. Cependant, les vers peuvent parfois passer inaperçus pendant un certain temps, comme ce fut le cas pour Mirai.
Mirai : Un exemple moderne
Mirai était un botnet qui ciblait principalement les routeurs, ainsi que certains appareils de l'internet des objets (IoT) tels que les systèmes domestiques intelligents. Il scannait et ciblait les appareils dotés d'un processeur particulier exécutant une version réduite de Linux, très répandue sur les routeurs et les technologies IoT, et obtenait ensuite un accès en utilisant les informations d'identification par défaut, qui malheureusement ne sont souvent pas modifiées par l'utilisateur lors de la configuration ou, dans certains cas, sont codées en dur par les développeurs. Une fois l'accès obtenu, l'appareil a été infecté par Mirai pour faire partie du botnet et poursuivre la recherche de nouveaux appareils tout en attendant les ordres de l'infrastructure de commande et de contrôle.
Mirai a rompu sa discrétion lorsque ses opérateurs ont décidé de lancer une attaque par déni de service distribué (DDoS) à l'aide du botnet contre Dyn, un fournisseur de DNS. Mirai a été écrit par des étudiants qui cherchaient à accroître l'intérêt pour leur entreprise de protection contre les attaques par déni de service en attaquant leurs clients, à savoir les fournisseurs de serveurs Minecraft.
Après avoir découvert que Dyn fournissait des services DNS à ces "clients", les auteurs ont décidé qu'il serait plus efficace de cibler Dyn plutôt que les fournisseurs individuels. Cependant, ils n'ont pas tenu compte du fait que Dyn fournissait des services DNS à un pourcentage important du reste de l'internet, et ils ont réussi à paralyser l'accès à de nombreux sites majeurs de l'internet au cours de ce processus - entrant de fait dans l'infamie pour ce qui était à l'origine destiné à être des pratiques commerciales de marketing louche.
Stuxnet : Un ver conçu pour la furtivité
Si le fait d'infecter des appareils qui n'étaient généralement pas protégés contre les logiciels malveillants a permis à Mirai de ne pas faire la une des journaux pendant un certain temps, Stuxnet comportait un ver dont l'objectif était la furtivité. Stuxnet aurait été développé conjointement par les services de renseignement américains et israéliens. Il a utilisé la furtivité ainsi que quatre exploits zero-day distincts pour se propager parce que son objectif était unique et très spécifique : infecter les systèmes SCADA qui faisaient partie du programme nucléaire iranien et détruire les centrifugeuses utilisées pour enrichir l'uranium en matière de qualité militaire.
Bien que Stuxnet se soit propagé à de nombreux appareils et systèmes SCADA, il a été soigneusement conçu pour n'endommager que les systèmes spécifiques utilisés dans le cadre du programme nucléaire. Toutefois, Stuxnet a également eu des retombées inattendues, car des parties du code et des exploits ont été utilisés par des cybercriminels pendant des années.
Comme Mirai, Stuxnet montre que les vers peuvent parfois rester relativement furtifs jusqu'à ce qu'ils fassent des dégâts, et que l'objectif et l'impact sont bien plus dignes d'intérêt que la propagation proprement dite. Les vers qui parviennent à rester furtifs sont donc très dangereux car ils ont le temps de se propager à un plus grand nombre de machines et, en fin de compte, le nombre de systèmes qu'un ver peut infecter est son attribut le plus dangereux.
Par Jonathan Tanner
Cet article a été initialement publié sur Journey Notes, le blog de Barracuda.
Retour
