Les nouvelles armes de la cybercriminalité – SCIENCES ET TECHNOLOGIES INTERNET
Métiers > Sciences SCIENCES ET TECHNOLOGIES – INTERNET –
Les nouvelles armes de la cybercriminalité [ 25/01/06 ] Désormais les attaques se font de plus en plus ciblées. Une nouvelle génération de hackers professionnels prépare des codes malveillants très sophistiqués.
| Des séries de blocs mâles et femelles seront lancées sur Internet et chercheront à se rencontrer pour se reproduire au sein de la structure des fichiers vides. |
DE NOTRE ENVOYé SPéCIAL À MOSCOU.
Pour quelques euros, on trouve désormais en vente libre la liste de tous les abonnés d’un opérateur de téléphonie avec leurs numéros et l’emplacement de leurs logements. En payant un peu plus cher, le vendeur consent à vous céder un CD gravé ou un disque dur contenant toutes les transactions financières de la banque centrale russe. Pas besoin de se rapprocher des plus sulfureux réseaux de hackers, vous trouverez porte ouverte dans la plupart des grands bazars qui poussent à la périphérie de Moscou.
Ce matin, la bonne humeur du commerçant contraste avec la froideur classique de l’accueil russe et les – 30 °C de l’air ambiant. Il est ravi de parler à un journaliste français et va jusqu’à raconter, avec un grand sourire édenté, son arrestation la veille par la police. Mais en Russie, la police ne fait pas peur, et quelques billets suffisent à notre homme pour reprendre son petit commerce de logiciels et de DVD piratés, à quelques mètres du vendeur de tondeuses.
Un objectif : le profit
La capitale russe est un incroyable laboratoire de la cybercriminalité. Protégés par une certaine bienveillance de la population envers la copie ou la corruption, les pirates informatiques investissent tous les domaines. Certains ont même convaincu les opérateurs de téléphonie mobile de généraliser les pourriels (« spams »).
Les statistiques américaines évaluent à 34 % la proportion de citoyens victimes de piraterie de leur identité. « En Russie, c’est 100 % », provoque Eugène Kaspersky, le fondateur de l’antivirus éponyme et ancien expert au KGB. Qui poursuit : « Le plus inquiétant est à venir, car Internet se criminalise. Le temps est révolu où les menaces informatiques se limitaient à quelques codes bricolés par des gamins surdoués, des étudiants ou des pirates amateurs, avides de tester leur habileté en programmation. La malice n’a plus qu’un seul objectif : le profit », prévient le chercheur, qui rit jaune : « Les «kids» n’ont plus le temps de faire des virus, ils jouent aux jeux vidéo. »
D’après les experts, les cybercriminels les plus actifs sont désormais bien moins nombreux et très organisés. IBM a publié en début de semaine un rapport sur la sécurité qui corrobore cette évolution (lire encadré). Les armes des pirates aussi se sont beaucoup sophistiquées. Car désormais, le niveau de protection des matériels et des logiciels informatiques est bon, selon les spécialistes. En particulier, la dernière version SP2 de Windows comporte beaucoup moins de failles de sécurité. Les entreprises ont également pris la mesure du phénomène en multipliant les niveaux de protection de leur réseau.
Les cybercriminels élargissent donc leur stratégie d’attaque. De nombreux groupes de hackers professionnels comportent même un spécialiste en psychologie. Une manipulation habile de l’internaute paye souvent plus facilement qu’un passage en force. Ces techniques, baptisées « socio-ingénierie », peuvent être rudimentaires : nommer un fichier malveillant comme un fichier système en remplaçant le « o » par un zéro. Il peut être très poussé comme le hameçonnage, très en vogue actuellement. Un indélicat se fait passer pour votre banque par un courriel et vous demande de rentrer vos coordonnées sur un site en trompe-l’oeil.
Cheval de Troie ciblé
La prochaine génération mise sur une tactique encore plus inquiétante, malgré les apparences : la discrétion. Jusqu’ici, les virus et autres codes malveillants faisaient tout pour se signaler, afin de signer le génie de leur auteur. Les plus sympathiques se contentaient même d’inverser les touches de votre clavier, de mettre les ordinateurs à sac ou d’imposer un message humoristique sur les panneaux d’autoroute. Pour les antivirus, cette visibilité était un atout, elle permettait de les repérer et les traiter à temps.
Désormais, les attaques se font de plus en plus ciblées. « Les hackers ne recherchent plus des millions de cibles mais quelques centaines. On ne peut donc facilement récupérer les codes pour en tirer les antidotes. L’année dernière, on a même retrouvé sur le poste d’une banque un cheval de Troie conçu uniquement pour lui et chargé de relever les transactions financières », explique Eugène Kaspersky. Le rapport d’IBM évalue à deux ou trois le nombre d’attaques e-mail ciblées contre des entreprises ou de grandes organisations dans le domaine spatial, pétrolier et même humanitaire. Elles étaient inexistantes un an avant.
Marc Blanchard dirige le Centre de recherche européen de Kaspersky. Les chercheurs comme lui traquent les sites « underground » d’Internet pour flairer et anticiper les grandes tendances technologiques cuisinées par les hackers. « Il faut deux à trois ans pour qu’une idée proposée par quelqu’un soit mise en application à grande échelle », confie-t-il. Les pirates créent des communautés sur tel projet de code et discutent pendant des mois sur les problèmes à résoudre, sur les formats communs, etc. Puis les premiers prototypes sont passés à travers les antivirus du marché pour être éprouvés. Les meilleurs sont ensuite injectés dans Internet via une ou quelques attaques. Une fois toutes ces étapes franchies, le code est généralisé par cette communauté.
Codes modulaires
La mode actuelle est aux codes modulaires, et elle pourrait durer. « Je suis persuadé qu’il n’y aura plus que ça dans quelques années. C’est la meilleure façon de faire exécuter un programme à distance », estime Marc Blanchard. Comme son nom l’indique, ce type de code tire sa force de sa fragmentation.
Un fichier informatique exécutable classique est partitionné en
trois : son entête indique au système d’exploitation quel est son type, sa taille, etc. Au milieu, le code programme contient les instructions à effectuer par l’ordinateur. La dernière partie permet au système d’exploitation de revenir à son état initial. L’astuce du code modulaire consiste à contaminer la cible avec un fichier ne contenant que l’entête et la terminaison. Il n’est donc pas reconnu par les antivirus. Le pirate envoie ensuite le code programme par les failles de l’ordinateur ou du réseau qui passe incognito les barrières informatiques. Une fois dans sa proie, le code rejoint la structure vide du fichier et reconstitue le code malveillant.
trois : son entête indique au système d’exploitation quel est son type, sa taille, etc. Au milieu, le code programme contient les instructions à effectuer par l’ordinateur. La dernière partie permet au système d’exploitation de revenir à son état initial. L’astuce du code modulaire consiste à contaminer la cible avec un fichier ne contenant que l’entête et la terminaison. Il n’est donc pas reconnu par les antivirus. Le pirate envoie ensuite le code programme par les failles de l’ordinateur ou du réseau qui passe incognito les barrières informatiques. Une fois dans sa proie, le code rejoint la structure vide du fichier et reconstitue le code malveillant.
Des versions bien plus sophistiquées sont en préparation, indique Marc Blanchard. C’est le cas des codes géniteurs mâles et femelles qui constituent des blocs du code de programmation. Des séries entières de blocs mâles et femelles seront lancées sur Internet et chercheront à se rencontrer pour se reproduire au sein de la structure des fichiers vides. A Moscou, ces nouvelles générations de codes épargnent encore l’homme de la rue, mais celui-ci prépare en masse la prochaine cybercontagion. Téléphones intelligents et systèmes nomades pullulent dans la capitale russe à des prix inédits. Ce sont les prochaines proies.
MATTHIEU QUIRET
