Je viens de lire un article dans “Les Dossiers de la Recherche” paru ce mois ci intitulé “Les beaux jours des pirates informatiques”. Le constat qu’il fait est aussi intéressant qu’édifiant. Mais avant cela résumons un peu ce que l’article raconte.
Aujourd’hui les virus informatiques sont des codes plus ou moins sophistiqués reposants sur 3 “piliers” :[ul]
[li]la furtivité : les virus sont des petits Sam Fisher utilisant des astuces pour ne pas se faire repérer, par exemple ils peuvent faussement déclarer un secteur du disque dur comme étant endommagé, afin de s’y loger sans que l’OS ne vienne y fourrer son gros pif, ou s’effacer de la liste de processus[/li][li]le polymorphisme : le code “mute” en permanence afin de limiter le nombre d’éléments fixes et rendre la détection de sa signature plus ardue[/li][li]le blindage : le code est doté de fonctionnalités qui vont retarder son analyse par l’antivirus[/li][/ul]Les antivirus, quant à eux, repèrent les virus sur leur forme, et non pas sur leur fond : tous les virus ont une signature et l’antivirus cherche donc dans sa base de données afin de mettre à jour un code malfaisant. En revanche, il est incapable de repérer les virus par leurs actions. En conséquence, un virus inconnu ne pourra pas être repéré.
Jusque là tout va bien dans le meilleur des mondes : un virus apparait, les petits gars de Symantec & Co le repèrent, chopent sa signature, mettent à jour leur database, et tout rentre dans l’ordre avant que la bestiole n’ait trop foutu le dawa (dans la plupart des cas).
Là où on se dit qu’il y a un problème, c’est quand l’article nous apprend que “depuis 20 ans, aucune recherche de ce nom n’existe dans ce domaine. La communauté antivirale a directement oeuvré pour qu’elle (la recherche donc, faut suivre bourdiou !) reste l’apanage des sociétés éditrices de logiciels antivirus. Et ces dernières se sont contentées d’analyser les codes malveillants identifiés et de mettre à jour inlassablement leurs produits.” Pire, ces sociétés tirent à boulets rouges sur quiconque veut faire évoluer la situation : “Ainsi, en 2002, lorsque l’université de Calgary, au Canada, a tenté de créer un cours de virologie, la communauté antivirale a usé de tellement de pression qu ce cours n’a jamais vu le jour.”
Pourtant, la menace de virus autrement plus puissants et dotés d’algorithmes élaborés est réelle, car “les programmeurs adoptent de plus en plus une véritable démarche intellectuelle et font appel à des techniques algorithmiques et des résultats mathématiques parmis les plus élaborés.” On apprend que des virus tout à fait redoutables ont été crées par des chercheurs en laboratoire (puis détruits) et que de tels codes auraient plusieurs longueurs d’avance sur les vulgaires automates qui nous servent actuellement d’antivirus.
Pour ceux à qui ca parle, sont notament cités :[ul]
[li]les codes qui agissent en groupe : répartition de la fonction virale en plusieurs segments de code, permettant de contourner tous les antivirus[/li][li]les métamorphes : contrairement au polymorphisme, tout l’ensemble du code varie, y compris la procédure de mutation elle même, rendant ainsi caduque la détection par signature[/li][li]la furtivité à base de machine virtuelle : le code bascule carrément l’OS sur une achine virtuelle puis l’émule. Vous vous retrouvez donc sur WormOS X sans même vous en appercevoir[/li][li]le blindage total : technique permettant d’interdire l’analyse du code, et non plus de la retarder[/li][/ul]De telles techniques, en plus d’avoir des noms tout droit sortis de comics, dépassent de loin le savoir faire de l’apprenti hacker qui va bricoler des macros Excel parce qu’il trouve ça marrant. Mais si des chercheurs, aussi géniaux qu’ils soient, ont réussi à en créer, un programmeur doué le peut également. Si on ajoute à ça le fait que les sociétés antivirales censées nous protéger font l’autruche, et pire, nagent à contre courant, je pense qu’on est en droit de se poser des questions.
Source : Les dossiers de la recherche n°26 Février-Avril 2007 (Sciences à Risque)