Le dernier article publié par Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroqueries, botnet, spams, phishing, etc.), est intitulé : « Les menaces évoluent, les solutions aussi ». Son auteur, David Emm, Consultant Technique en technologies de sécurité de Kaspersky Lab, s'adresse dans cet article aux utilisateurs et aux décideurs intéressés par l'évolution historique des logiciels malveillants et le développement parallèle des solutions antivirus.

L'article présente une vue d'ensemble de l'évolution des menaces depuis la fin des années 80, avec la première apparition des virus pour PC, jusqu'à la première décennie du XXIe siècle et le développement des menaces contre les mobiles. Il explique également comment les solutions antivirus ont progressé en même temps que le code malveillant, avec la mise en place de nouvelles technologies.

Les premiers virus s'attaquaient aux secteurs d'amorçage et aux fichiers DOS, puis ils ont été rattrapés vers la fin des années 80 par quelques vers et les premiers chevaux de Troie. Les auteurs de virus avaient recours à une panoplie de techniques de dissimulation, pour allonger la durée de vie du code malveillant en contournant les analyseurs antivirus. Certaines de ces techniques, telles que la suppression des messages d'erreur ou le polymorphisme (qui génère un code viral différent à chaque tentative d'infection d'une machine) sont encore employées aujourd'hui par les auteurs de virus.

Au départ, les solutions antivirus se présentaient comme des utilitaires de détection et d'éradication de virus au cas par cas. Mais avec l'augmentation du nombre de virus, des « toolkits » antivirus ont été publiés. Ces trousses à outils comprenaient un module de balayage à la demande chargé de détecter la présence de virus et, dans certains cas, un utilitaire de nettoyage. Vers la fin de 1990, l'augmentation du nombre de virus (environ 300) a poussé les fabricants d'antivirus à mettre en place un système de protection en temps réel, puis à compléter l'analyse des signatures virales par d'autres méthodes : technologies heuristiques, analyse comportementale, simulation et d'autres méthodes encore.

L'apparition en 1995 du premier virus de macro marque une avancée importante des menaces, et les quatre années suivantes seront dominées par ce type de virus. Pour la première fois, les virus s'attaquaient délibérément à des fichiers de données ; de plus, ils ne dépendaient ni de la plate-forme, ni du système d'exploitation. L'attention de la communauté d'auteurs de virus, jusque là centrée sur les exécutables, se déplaça vers les données. Les virus de macros étant faciles à modifier, ils favorisèrent l'élargissement du cercle d'auteurs et, par conséquent, du nombre de virus, qui passa d'environ 6000 en juin 1995, à plus de 25 000 en décembre 1998.

L'élargissement du champ d'action des menaces allait de pair avec l'évolution des pratiques commerciales : les solutions antivirus se devaient, elles aussi, d'évoluer. Il était clair que des solutions pour les passerelles et les serveurs de courrier, en plus des serveurs de fichiers et des postes de travail, étaient désormais nécessaires afin de sécuriser l'intégralité des réseaux.

L'apparition du virus Melissa en mars 1999 marque un nouveau progrès du code malveillant. La capacité de propagation de Melissa signale le début de l'ère des vers de messagerie, grâce à leurs multiples méthodes de propagation et, plus précisément, au recours à l'ingénierie sociale, qui vise à duper l'utilisateur pour qu'il exécute lui-même le code malveillant. Les vers Internet, qui se propagent souvent en « exploitant » des vulnérabilités (et en combinant cette approche avec d'autres techniques pour renforcer leur efficacité), firent leur réapparition en 2001, et dominèrent le paysage viral des années suivantes.

Pour répondre à ces nouvelles menaces, les fabricants d'antivirus commencèrent à offrir des solutions d'une portée chaque fois plus grande : ils ajoutèrent des fonctions de pare-feu personnel, des systèmes anti-effraction pour la protection des réseaux, des moniteurs d'activité des applications et même, dans certains cas, des fonctions de restauration du système permettant d'annuler les modifications introduites par des programmes malveillants.

Le déclin du nombre d'épidémies généralisées, depuis 2003, est le reflet d'un déplacement des centres d'intérêts des auteurs de virus : de la simple écriture et propagation de code malveillant provocateur de dommages, ils sont passés à la quête illégale d'argent. Cela s'est traduit par la création sur mesure de chevaux de Troie ciblant des systèmes spécifiques, ainsi que de programmes malveillants conçus pour dérober des données confidentielles, comme par exemple les paramètres et mots de passe de comptes bancaires ou de jeux en ligne. Ces chevaux de Trois servent ainsi à créer des réseaux robotisés (« botnets »), constitués de machines infectées, utilisés ensuite pour l'envoi de pollupostages pouvant contenir à leur tour du code malveillant. Les offensives d'hameçonnage (« phishing ») sont également devenues monnaie courante : contrôlées par des cyber-délinquants, elles invitent les utilisateurs crédules à saisir les coordonnées de leur compte bancaire sur des sites Web contrefaits.

Dans cette même perspective, les auteurs de virus commencent également à cibler les périphériques mobiles, de plus en plus utilisés dans le monde des affaires. Depuis la détection du premier ver pour Smartphone, en 2004, les virus, les vers et les chevaux de Troie pour mobiles ont également fait leur apparition. En l'espace de quelques années, les menaces pour mobiles ont fait le même chemin que les programmes malveillants pour PC avaient mis 20 ans à parcourir.

Dans sa conclusion, l'auteur souligne que les menaces ont évolué au point d'être méconnaissables, c'est pourquoi la protection efficace des utilisateurs est plus nécessaire que jamais. Les solutions de sécurité doivent assurer une protection de tous les instants contre les près de 200 nouvelles menaces journalières, et mettre en œuvre des technologies capables d'affronter les menaces inconnues au fur et à mesure de leur apparition.

Confidentialité |Contactez-nous