En savoir plus

Dossier Virus

Le site

L'étude Honeynets

Les bots font partie de la nouvelle vague des menaces de sécurité, silencieuse et à propagation rapide. Les bots, dérivés de robots, désignent tout programme s'exécutant de manière automatique sur un poste. Ils deviennent malveillants lorsque le programme s'installe sans l'accord de l'internaute et livre des informations sur la machine sur laquelle il s'est installé.

"Le but, c'est de faire de l'argent, en louant des réseaux de bots pour relayer du spam par exemple. Les machines infectées contiennent aussi des données personnelles qui peuvent se vendre", affirme Guillaume Lovet, responsable de la lutte antivirale chez Fortinet. Pour rentabiliser son programme, l'auteur limite donc au maximum la visibilité du bot, au contraire des premiers virus.

Mais le processus de détection des bots sur le poste client a fait aujourd'hui ses preuves. Dès lors, pour gagner en efficacité, les créateurs de virus travaillent surtout à limiter la détection de leur création par les laboratoires antivirus (délai appelé fenêtre d'opportunité par les éditeurs). Cela passe par la multiplication des variantes de virus mais aussi par l'exploitation industrialisée de failles logicielles.

"Une des techniques pour allonger artificiellement la fenêtre d'opportunité consiste pour les créateurs à tenter de ralentir l'analyse, par exemple en évitant d'envoyer des mails aux éditeurs d'antivirus. Ils jouent aussi sur la multiplication des variantes. Une technique commence d'ailleurs à revenir, celle du polymorphisme qui modifie le virus en se déployant, empêchant la détection par checksum [NDLR : signature du virus obtenue par une analyse des octets du fichiers]", ajoute Guillaume Lovet.

Les dernières variantes du ver Mytob combinaient ainsi le facteur de propagation d'un virus mass mailer avec les caractéristiques d'un bot et ajoutait des octets arbitrairement en fin de fichier pour changer sa signature. Toujours dans l'optique d'allonger leur durée de vie, ces bots peuvent stopper les processus correspondant à un antivirus ou un pare-feu. "Pour empêcher que cela se produise, il suffit souvent de renommer son logiciel", explique le responsable de Fortinet.

Dernière technique, les virus empêchent parfois l'internaute d'accéder au site des éditeurs d'antivirus. Comme parade à ce blocage, il suffit de modifier le fichier host présent au sein des divers systèmes d'exploitation (Linux, Unix, Windows). Fragiles, car rapidement détruits par les antivirus du marché, ces réseaux de bots ne survivent qu'en contaminant sans cesse de nouvelles victimes.

D'où la nécessité de la prévention de la contamination, prévention d'autant plus importante qu'une fois réunis, les réseaux de PC zombies ne peuvent presque plus être arrêtés. "Au niveau du spam, un moyen assez répandu de lutte passe par l'utilisation d'une liste noire RTB. A chaque fois qu'un relai de spam est identifié, l'IP se trouve bloquée. Les attaques en déni de service en revanche sont très difficiles à enrayer. Il faut avoir des politiques efficaces au niveau des routeurs. Mais, quoi qu'il arrive, c'est un problème complexe. Pendant un moment, l'hypothèse était de bloquer les paquets en provenance d'une adresse mais celle-ci peut être légitime", souligne Guillaume Lovet.

Pour faciliter leur éradication, les spécialistes de la sécurité multiplient les analyses de ces réseaux. Ainsi, selon le directeur de la sécurité de Microsoft France, Bernard Ourghanlian, la taille moyenne des réseaux de bots se situent entre 3 000 et 10 000 machines aujourd'hui (lire l'interview du 15/04/2005). Des chiffres confirmés par Symantec et par la dernière étude Honeynets.

La méthode utilisée par les professionnels de la sécurité pour s'infiltrer dans ses réseaux, appelée pot de miel, se calque sur celles de détection des virus. Elle consiste à placer un réseau de machines volontairement vulnérable sur Internet et à se laisser infecter pour découvrir le code source du virus. Une fois décortiqué, les éditeurs obtiennent les paramètres nécessaires pour se connecter au réseau de bots.

Aujourd'hui, la forme la plus simple et la plus exploitée pour mettre les machines en réseau passe par les canaux web IRC (Internet Relay Chat). L'étude Honeynets souligne les avantages d'un tel mode d'accès : les serveurs IRC sont librement disponibles et aisément configurables. Etudiés pendant plusieurs mois, ces réseaux montrent un certains nombre de points communs.

Tout d'abord, la plupart d'entre eux infectent des postes sous Windows 2000 ou XP, vulnérables c'est à dire non mis à jour. Pour ce faire, le bot scanne sur le réseau IRC à la recherche de postes préalablement infectés par un virus doté d'une porte dérobée. Les postes infectés communiquent la plupart du temps par les ports TCP 445, 135 et 139 ainsi que par le port 137 UDP, pointe l'étude.

Les vulnérabilités les plus couramment exploitées par les bots pour s'installer et se répandre touche les serveurs Web (IIS et Apache), la procédure d'appel à distance de Windows (RPC), SQL server et MySQL, WINS et les portes ouvertes utilisées par les variantes de Bagle et Mydoom. Pendant quatre mois, Honeynets a scanné plus de 100 botnets et observé 226 attaques en déni de service.

Ces méthodes pourraient à l'avenir servir à découvrir et arrêter les administrateurs de ces réseaux illégaux mais aussi à prévenir des attaques massives. Reste à harmoniser les juridictions internationales.

En savoir plus

Dossier Virus

Le site

L'étude Honeynets

"Les problèmes sont moins techniques que juridiques. Les serveurs IRC sont facilement identifiables, il suffit de sniffer le trafic pour remonter la piste. Mais si le serveur en lui-même se trouve dans un pays difficile d'accès juridiquement, il faut se mettre en accord avec les pays locaux. C'est un juste équilibre à trouver entre les moyens à mettre en œuvre et les dégâts infligés", résume Guillaume Lovet.