Norton Cell : Double Agent ?

Je viens de lire un article dans “Les Dossiers de la Recherche” paru ce mois ci intitulé “Les beaux jours des pirates informatiques”. Le constat qu’il fait est aussi intéressant qu’édifiant. Mais avant cela résumons un peu ce que l’article raconte.

Aujourd’hui les virus informatiques sont des codes plus ou moins sophistiqués reposants sur 3 “piliers” :[ul]
[li]la furtivité : les virus sont des petits Sam Fisher utilisant des astuces pour ne pas se faire repérer, par exemple ils peuvent faussement déclarer un secteur du disque dur comme étant endommagé, afin de s’y loger sans que l’OS ne vienne y fourrer son gros pif, ou s’effacer de la liste de processus[/li][li]le polymorphisme : le code “mute” en permanence afin de limiter le nombre d’éléments fixes et rendre la détection de sa signature plus ardue[/li][li]le blindage : le code est doté de fonctionnalités qui vont retarder son analyse par l’antivirus[/li][/ul]Les antivirus, quant à eux, repèrent les virus sur leur forme, et non pas sur leur fond : tous les virus ont une signature et l’antivirus cherche donc dans sa base de données afin de mettre à jour un code malfaisant. En revanche, il est incapable de repérer les virus par leurs actions. En conséquence, un virus inconnu ne pourra pas être repéré.

Jusque là tout va bien dans le meilleur des mondes : un virus apparait, les petits gars de Symantec & Co le repèrent, chopent sa signature, mettent à jour leur database, et tout rentre dans l’ordre avant que la bestiole n’ait trop foutu le dawa (dans la plupart des cas).

Là où on se dit qu’il y a un problème, c’est quand l’article nous apprend que “depuis 20 ans, aucune recherche de ce nom n’existe dans ce domaine. La communauté antivirale a directement oeuvré pour qu’elle (la recherche donc, faut suivre bourdiou !) reste l’apanage des sociétés éditrices de logiciels antivirus. Et ces dernières se sont contentées d’analyser les codes malveillants identifiés et de mettre à jour inlassablement leurs produits.” Pire, ces sociétés tirent à boulets rouges sur quiconque veut faire évoluer la situation : “Ainsi, en 2002, lorsque l’université de Calgary, au Canada, a tenté de créer un cours de virologie, la communauté antivirale a usé de tellement de pression qu ce cours n’a jamais vu le jour.

Pourtant, la menace de virus autrement plus puissants et dotés d’algorithmes élaborés est réelle, car “les programmeurs adoptent de plus en plus une véritable démarche intellectuelle et font appel à des techniques algorithmiques et des résultats mathématiques parmis les plus élaborés.” On apprend que des virus tout à fait redoutables ont été crées par des chercheurs en laboratoire (puis détruits) et que de tels codes auraient plusieurs longueurs d’avance sur les vulgaires automates qui nous servent actuellement d’antivirus.

Pour ceux à qui ca parle, sont notament cités :[ul]
[li]les codes qui agissent en groupe : répartition de la fonction virale en plusieurs segments de code, permettant de contourner tous les antivirus[/li][li]les métamorphes : contrairement au polymorphisme, tout l’ensemble du code varie, y compris la procédure de mutation elle même, rendant ainsi caduque la détection par signature[/li][li]la furtivité à base de machine virtuelle : le code bascule carrément l’OS sur une achine virtuelle puis l’émule. Vous vous retrouvez donc sur WormOS X sans même vous en appercevoir[/li][li]le blindage total : technique permettant d’interdire l’analyse du code, et non plus de la retarder[/li][/ul]De telles techniques, en plus d’avoir des noms tout droit sortis de comics, dépassent de loin le savoir faire de l’apprenti hacker qui va bricoler des macros Excel parce qu’il trouve ça marrant. Mais si des chercheurs, aussi géniaux qu’ils soient, ont réussi à en créer, un programmeur doué le peut également. Si on ajoute à ça le fait que les sociétés antivirales censées nous protéger font l’autruche, et pire, nagent à contre courant, je pense qu’on est en droit de se poser des questions.

Source : Les dossiers de la recherche n°26 Février-Avril 2007 (Sciences à Risque)

Très intéressant et bien expliqué.

Belle news B)

Et sinon, l’analyse heuristique que l’on voit dans la plupart des dernières versions des antivirus n’est pas censée (sensée ? je ne sais jamais) justement limiter au moins le risque des virus polymorphes (attention, je dis ca d’après ce que j’en ai lu, je ne sais pas du tout si c’est ca ou pas).

Et cette revue, les Dossiers de la Recherche, c’est une revue spécialisée ou on la trouve dans tout les kiosques ?

Flippant …
Le coup de la machine virtuelle ça doit bouffer à peine de la ressource LOL

Super news PinkPanzer, merci bien. Pas évident comme sujet pour les chercheurs quand çà touche aux gros sous.

Oui, en tout cas elle est chez mon buraliste et t’en trouve souvent dans les bibliothèques. Très intéressant comme revue, mieux que Science & vie (c’est pas difficile d’ailleurs, avis perso inside). Mais la revue c’est “la Recherche” et les dossiers c’est des HS.

[quote=“eka808, post:4, topic: 33191”]Flippant …
Le coup de la machine virtuelle ça doit bouffer à peine de la ressource LOL[/quote]

D’ailleurs, es-que quelqu’un, peut expliquer plus en détailles, cet histoire de machine virtuel, car j’ai pas tous compris ?
Merci bien.

Mais grâce à Windows Vista on ne craint plus rien ! B)

Hyper intéressant, merci. Dit est ce que je peux reprendre ton article (en citant auteur, source, tout le toutim) pour essayer de sensibilisé une communauté de mon côté?

Et aucune action possible pour contrer ce genre d’attitude? ou pour faire que ça change?

Bein ca sera surement mieux si tu prends l’article de la revue, en restant dans ce qui légalement faisable.
J’ai cité les passages qui me semblaient les plus importants mais l’article est bien plus complet et détaillé.
Un résumé à ma sauce ne vaut pas un article d’une revue scientifique de référence.

En tout cas merci pour vos remarques. Ca fait plaisir !

Que faire ? En France, rien. La LCEN a élargi le périmètre de la loi Godfrain en interdisant toute possession de virus, même à fins d’études. Dans un MISC d’il y a quelques années, il y avait une entrevue d’un gendarme spécialisé dans la recherche de cybercriminels (des cyberninjas avec des étoiles en assembleur et un costume d’invisibilité intégralement recouvert de kevlar reproduisant du texte “à la matrix”), qui expliquait très bien le problème.

Donc continuons à regarder les éditeurs d’antivirus se faire des cojones en or en nous vendant des trucs qui clignotent.

(j’en profite pour signaler que unreal et Coldfire sont les clients les plus assidus de Norton, et qu’ils utilisent exclusivement ces solutions pour leur utilisation personnelle. Surtout unreal, en fait) B)

B)

Juste pour rappeler que le probleme que pose les antivirus, et l’etude des virus, n’est pas nouveau et on a eu une affaire assez celebre dans le petit monde de la securite, Tegam VS Guillermito

Un vrai roman policier.

Les plus courageux feront une recherche sur geekzone, y a quelques threads sur le sujet

LoneWolf
Et ca risque pas de s’ameliorer…

Moi je trouve que les virus qui se promènent actuellement sont moins couillus que ceux qu’on avait y’a 15 ans. Maintenant j’ai bien l’impression que les virus c’est des bidules d’assez haut niveau qui exploitent des failles, et c’est tout. Le coup des super techniques de ninja du virus qui fake des cluster morts, qui change de forme, se subdivise et va se coller dans le bootstrap, ça se fait plus trop. Théoriquement oui, mais en pratique bof. Ah c’est dommage, c’était chouette à l’époque. Quand on chopait une saloperie, pas d’internet, pas de forums, c’était tout nu dans la jungle avec sa bite et son couteau et on essayait de choper la bestiole avant qu’elle bousille tout. Généralement on foirait. Moi en tous cas je foirais et je m’en sortais à coup de format c:

Tout se perd… Quand je pense que j’ai un mac à côté de moi, je vais jamais réussir à choper un truc avec ça. Qu’est-ce qu’on s’emmerde.

Vi… mouais…

Ca me rappelle le coup des Virus (les vrais) genre Ebola qui devaient polluer la planète ou encore les abeilles tueuses qui devaient envaillir les USA. Bref, c’est du gros alarmisme a mon avis B)

Intéressant. Par contre, j’ignorais que Cisco faisait aussi dans l’antivirus… Je croyais qu’ils étaient équipementiers réseaux professionnels moi.

Ouais moi aussi. Maintenant, 50% des virus, c’est des trucs qui exploitent la faille qui vient d’etre divulguee une heure plus tot par l’editeur de l’OS ou du logiciel, profitant du fait que les gens mettent plusieurs jours, voire semaines, a se mettre a jour. L’autre 50%, c’est juste un executable sans rien de special qui profite du fait que l’utilisateur moyen il va cliquer sur n’importe quel lien ou bouton qu’on lui presente.
En plus, maintenant, les virus, ils ont plus aucune originalite. Y’a ceux qui chopent les mots de passe, ceux qui attaquent des serveurs, et ceux qui foutent de la pub. C’est vide, y’a pas de personalite, rien. Y’a 15 ans, on avait des virus rigolos qui bouffaient le MBR, qui cherchaient a eclater la tete de lecture du disque dur, qui reorganisaient au hasard les touches du clavier, ou qui formattaient toutes les partitions le jour d’anniversaire de Michelange. Ca c’etait groovy! Pfff, les jeunes, maintenant…

C’est clair que maintenant, pour choper, il faut une grosse voiture qui coute cher, des jeans moulants, et des tablettes de chocolats (les muscles, pas la nourriture).

[quote=“steph___leto, post:13, topic: 33191”]Vi… mouais…

Ca me rappelle le coup des Virus (les vrais) genre Ebola qui devaient polluer la planète ou encore les abeilles tueuses qui devaient envaillir les USA. Bref, c’est du gros alarmisme a mon avis B)[/quote]

Si des virus comme Ebola ou autres ne se propagent pas sur toute la planète c’est parce que des gens à haut niveau prennent des mesures pour minimiser le risque. Si tout le monde réagissait comme toi par “c’est du gros alarmisme” (et dieu sait que “vous” êtes nombreux), on serait probablement tous morts depuis longtemps B)

La raison c’est parceque les virus ca sert a faire de la thune maintenant, c’est un logiciel comme les autres, c’est pas fait “pour le fun”. Et les donnees demontrent que le crime organise est clairement derriere beaucoup de ces actions pour qui c’est juste devenu un “nouveau domaine”. Faut pas se leurer ils s’en foutent que “paye pour ton magasin dans mon quartier ou je te fais les rotules a la batte de baseball” est demodé et pas fun B) ils font juste pareil sur le net. Hehe.

Je croyait que c’était le cas (surement à cause du sponsoring Cisco dans 24), mais non, au temps pour moi (pour tout débat concernant au temps / autant pour moi, se référer au Joystick de y a pas longtemps).
Du coup j’ai changé le titre.

Je suis d’accord que ca peut parraitre alarmiste, mais même en mettant de côté la puissance de ces virus de laboratoires, le fait que les sociétés antivirales freinent la recherche antivirus est un fait grave et malheureusement avéré. Dans ces conditions on voit mal comment le premier virus un peu plus fin que les saloperies actuelles et n’ayant pas de signature fixe pourrait être inquiété dans sa prolifération.

Ah mais je suis tout à fait d’accord et conscient de ça, mais c’est quand même triste. Et puis c’est pas parce qu’on ecrit un virus pour le compte de la mafia Russe qu’on a pas le droit à un peu de facécie quand même! Du temps des battes de baseball dans les rotules, certains gangsters avaient le bon goût d’avoir un gimmick, genre ils chantent du Sinatra pendant qu’ils violent ta femme, ou ils coupent les pouces des gens avec un sécateur. Mais non, maintenant il faut aller au pratique, au formatté, à la rentabilité. Pffff.

Très bonne news PinkPanzer, bravo