vendredi 22 janvier 2010

Le Top 5 des virus célèbres

Chaque fin de mois, différents éditeurs d'antivirus publient un compte-rendu de l'activité virale.

Je ne vais donc pas les concurrencer car ils ont plus de moyens et de compétences que moi (notamment en marketing ;-) ).

J'ai par contre eu l'idée de publier un palmarès des codes malveillants les plus célèbres.

1-Conficker
Apparu il y a un an environ, ce ver est un programme malveillant très sophistiqué. Une partie importante de son code est chiffrée pour en interdire l’étude. Son système de mise à jour utilise plusieurs algorithmes de cryptographie. Chaque version se distingue de la précédente par de nouvelles fonctions ou par l’optimisation de fonctions existantes. Ainsi, ce ver est capable de désactiver le moniteur de fichiers des antivirus, de ne pas être repéré par les logiciels antirootkits et d'empêcher les mises à jour de Windows.

Malgré le discours rassurant (ou le silence gêné) des éditeurs, ce code malveillant les embête plus qu'autre chose car ils ne savent pas le repérer et encore moins le supprimer. Un responsable de la sécurité informatique d'une grande entreprise française m'a d'ailleurs avoué : "l'incapacité de notre antivirus McAfee a correctement traiter le ver conficker ne nous a pas permis de réussir à passer une année de plus sans contamination. La version 8.0 qui était encore massivement déployée n’était pas capable de bloquer la contamination en mémoire mais seulement sur le disque".

Un bel exemple de non professionnalisme d'un éditeur. McAfee se répand partout dans la presse (grâce à ses communiqués de presse élogieux) à propos de l'affaire Google China. Son discours est bien rôdé (précisons qu'il n'est pas le seul éditeur dans ce cas, il y a aussi F-Secure) : "faites-nous confiance car nous sommes capables de vous protéger contre cette faille touchant Internet Explorer."
Au passage, l'éditeur se garde bien de dire que son antivirus ne détecte pas Conficker et qu'il est désactivable en quelques secondes comme l'a démontré le concours iAwacs...

2-Psyb0t
Découvert en janvier 2009, il est considéré comme étant le seul ver ayant la capacité d'infecter les routeurs (basés sur le système GNU/Linux) et modems haut-débit (box). Plus de 100 000 appareils étaient infectés par Psyb0t. Lors de l'infection, il ferme les services d'administration via réseau. Il se propage car les appareils visés sont protégés par un mot de passe par défaut très facile à trouver (du genre « 1234 »)...

3-Tchernobyl
Ce virus a été l'un des plus destructeurs. Il a sévi de 1998 à 2002. Il détruisait l'ensemble des informations du système attaqué et parfois il rendait la machine quasiment inutilisable en bloquant le BIOS.

4-W32/Sobig-F
Au mois d'août 2003, le ver a infecté quelque cent millions de machines. La charge infectée était cachée dans une pièce jointe au titre anodin (par exemple « your document »). Une fois ce fichier joint exécuté (l'utilisateur l'a ouvert), le code malveillant se copie dans le répertoire Windows, modifie la base de registres afin de s'exécuter automatiquement à chaque démarrage de l'ordinateur, puis s'envoie à tous les correspondants présents dans les carnets d'adresses.

5-IloveYou
En 1999, ce ver a infecté plus de 45 millions d'ordinateurs dans le monde. Il s'est propagé via une pièce jointe contenant une fausse déclaration d'amour. C'est le cas typique « d'ingénierie sociale » (ensemble de techniques jouant sur les « faiblesses » psychologiques de l'utilisateur comme l'argent, l'amour, la curiosité...). Simple mais redoutable...

Certains experts me diront que ce n'est peut-être pas le "vrai" Top 5 des codes malveillants les plus célèbres. Qu'ils n'hésitent pas à me le faire savoir...

Aucun commentaire:

Enregistrer un commentaire