Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Duels 2009 - La propagation du ver Conficker aurait-elle pu être évitée ?

Face-à-face - Conficker s’est fortement propagé en 2009 en affectant jusqu’à 10 millions d’adresses IP. Le chercheur Eric Filiol met en cause les méthodes des éditeurs de logiciels sécurité qui disposaient d’informations pour limiter sa propagation. Une analyse rejetée par François Paget, chercheur chez MCAfee.

Eric Filiol

Directeur de recherche à l’ESIEA

François Paget

Chercheur chez McAfee

"Les auteurs de vers comme Conficker ont fait une veille que les éditeurs n’ont pas faite"

"Le problème de Conficker, ce n’est pas la limitation des antivirus mais l’éducation des utilisateurs"

Apparu fin 2008, le ver Conficker a beaucoup fait parler de lui en 2009, peut-être autant que Blaster en son temps. S’il a depuis déserté les sites d’information, il n’a pas pour autant disparu d’Internet. Evaluer le niveau d’infection est toutefois complexe, et difficilement vérifiable.

McAfee estime ainsi que Conficker serait présent derrière encore 7 millions d’adresses IP dans le monde. A son pic de propagation, il aurait affecté environ 10 millions d’IP, infectant notamment les marines nationales françaises et britanniques, mais aussi des hôpitaux.

Quelles sont les particularités de Conficker ?

Comme Blaster, le ver a exploité une faille au niveau du protocole RPC de Windows. Par ses caractéristiques, Conficker est un ver classique qui présente toutefois un niveau de sophistication accru.

« Ce qui a changé, c’est l’infection par support USB optimale et une propagation combinatoire. Au niveau du code, Conficker utilise des techniques de chiffrement sur deux niveaux, de l’obfuscation (qui empêche l’analyse du code, ndlr), de "l’anti-debugging", du contournement de pare-feu... Mais Conficker se démarque surtout par son recours à la cryptologie, notamment pour sécuriser son protocole de mise à jour et son code » explique Eric Filiol, directeur de recherche à l’ESIEA (Ecole supérieure d’informatique, électronique, automatique).

Ce ver « combinatoire probabiliste » génère en outre des URL qu’il va périodiquement interroger pour obtenir des mises à jour, ou télécharger d’autres programmes, constituant ainsi un botnet ; en fait « différents réseaux de PC zombies pouvant être loués pour envoyer du spam, diffuser de faux logiciels de sécurité, faire du vol d’identité... » précise François Paget, chercheur chez McAfee.

Conficker annonce-t-il l’émergence de nouvelles techniques virales ?

Pour Eric Filiol, la réponse est incontestablement oui. « En lui-même Conficker n’est pas dangereux, mais il représente en quelque sorte un test, une répétition avec de la propagation optimisée, de la modélisation combinatoire et l’irruption de la cryptologie à un niveau plus élevé. Encore peu de pirates peuvent utiliser ces techniques, mais Conficker marque un tournant. En outre, même s’ils restent indispensables, les antivirus ne sont pas un obstacle. L’anti-debugging a suffi pour leur compliquer la tâche. »

« L’émergence de Conficker ne traduit pas une nouvelle tendance mais confirme ce que nous annonçons depuis deux trois ans, à savoir la professionnalisation et l’industrialisation. La création de programmes malveillants est le fait de groupes organisés. Conficker s’inscrit avant tout dans la continuité », estime quant à lui François Paget.

La propagation de Conficker aurait-elle pu être évitée ?

Evitée, probablement pas, mais en revanche réduite oui. Les solutions ne sont pas nouvelles : le respect de règles d’hygiène informatique (mise à jour de Windows, et des logiciels de manière générale, précautions dans l’utilisation des clés USB, etc.).

« Les remèdes sont simples et principalement dictés par le bon sens. Il n’est pas normal qu’un système gérant des avions de chasse soit connecté à Internet, pas plus que des unités de soins intensifs. Il faut revoir l’organisation des infrastructures. De l’éducation et une surveillance différente sur les réseaux auraient permis de limiter la diffusion de Conficker, tout comme un peu plus de technique dans les antivirus », insiste Eric Filiol.

Les éditeurs de logiciel de sécurité ont-ils été pris en défaut par Conficker ?

« De manière générale, les antivirus ont été efficaces. Le problème de Conficker, ce n’est pas la limitation des antivirus mais l’éducation des utilisateurs. Bien trop d’utilisateurs n’ont pas d’antivirus et des ordinateurs qui ne sont pas à jour. On retrouve encore des machines infectées par Blaster ou par des vers créés il y a plus de 8 ans » juge François Paget de McAfee.

Cette position est toutefois dénoncée par le chercheur indépendant de l’ESIEA. « Les auteurs de vers comme Conficker ont fait une veille que les éditeurs n’ont eux pas faite. Nous avions notamment démontré dès 2007 qu’il était possible de propager du code malveillant via une clef USB. Les éditeurs n’ont pas tenu compte de ces différents travaux scientifiques. Il n’est pas normal qu’un ver comme Conficker ait eu un tel impact » tranche-t-il.

« Les éditeurs essaient de se dédouaner à bon compte en laissant entendre que posséder un antivirus suffit pour se protéger. L’antivirus, c’est la cerise. Il est là pour gérer un problème, mais pas pour l’éviter. Quand un trou RPC est exploité, le comportement du virus devrait être détecté. Mais certains antivirus sont incapables, par exemple, de faire de la détection de débordement de tampons. Il est incompréhensible que des éditeurs préfèrent privilégier le marketing à la recherche et développement » ajoute Eric Filiol.

Conficker : le marketing a-t-il occulté le débat technique et la recherche de solutions efficaces ?

« Peut être que certaines sociétés en ont trop fait, à des moments donnés. Je me souviens qu’en janvier, des communiqués de presse se succédaient comptabilisant le nombre d’infections. Malgré tout, je pense que les grands noms de la lutte antivirale ont compris qu’un excès de marketing nuisait à leur image. Il y a encore eu des annonces au ton catastrophiste, mais c’était moins flagrant qu’il y a six ans » concède François Paget.

« Conficker a été très mal médiatisé, dans le but de vendre des licences. Ce ver, qui avait été annoncé je le rappelle, aurait dû être l’occasion d’un débat scientifique et non commercial. Je crains qu’on n’avance pas et qu’on ne soit toujours pas préparé pour le prochain ver. Entre les produits de sécurité qui sont disponibles actuellement et ce qui pourrait être fait, la marge est importante » conclut Eric Filiol.

Par Christophe Auffray, ZDNet France. Publié le 22 décembre 2009

(Source :zdnet)