Malwares 2.0 : laissez venir les victimes
Mercredi dernier, Dancho Danchev se lançait dans une longue et minutieuse analyse des techniques d'infection contemporaines. Le temps n'est dit-il, bientôt plus aux contaminations par courriel. L'on a pu croire un instant que croisse le risque des « zero day » partant à l'assaut des réseaux sociaux, technique qui risquerait de s'avérer foudroyante, compte tenu de la rapidité des échanges et de la « capillarité » des liens unissant les membres de ces weberies deuzéroesques. Mais dans ces deux cas, les ZDE chèrement acquis seraient rapidement détectés par les chasseurs de virus et autres éditeurs de boucliers logiciels : le succès de toute guerre de mouvement repose sur un élément de surprise, qui disparait dès les premiers instants de l'attaque. Or, les gardiens de botnets et « industriels » exploitant les services desdits gardiens cherchent de plus en plus à rentabiliser leurs opérations, voir à strictement respecter une logique d'économie d'échelle de plus en plus drastique. Si « bouger » implique de se faire remarquer, il devient donc nécessaire de rester immobile pour demeurer efficace sur de plus longues périodes. Nous entrons donc, nous prédit Danchev, dans une ère de guerre d'embuscade, dans une période ou les auteurs de malwares pratiquent la chasse à l'affut. En pratique, cette approche consiste à attirer la victime sur un site web qui sera lui-même infecté. Les techniques pour appâter le chaland sont nombreuses, à commencer par les « googlebombing » qui falsifient le google ranking et positionnent les pages web douteuses en tête de recherches. Les courriels d'incitation employés dans le cadre d'attaque en phishing constituent également un moyen patique, et, précise Danchev, même si la victime est assez intelligente pour ne pas donner ses coordonnées bancaires compte tenu des campagnes de sensibilisation, rien n'interdit de tenter d'injecter lors de la première -et bien souvent unique- visite un troyen discret et de bon goût. Reste enfin la technique du « web dormant » qui, dès qu'une proie s'approche à sa portée, émet une multitude d'attaque, y compris de vieux classiques du genre, en partant du principe qu'une vieille vulnérabilité connue est aussi efficace que le plus redoutable des ZDE sur une machine mal entretenue... et ils ne sont pas rares, ces systèmes mal mis à jour ou qui sont sortis des cycles de maintenance préventive. S'ajoute à ces considérations une multitude d'autres arguments techniques plaidant en faveur des « malwares embedded web sites ». A commencer par les carences des outils de défense périmétriques destinés à protéger les sites en question... A ceci s'ajoute -Mpack en est l'une des plus brillantes preuves- la généralisation des « infections en kit », ou outils de fabrication personnalisée de malwares. Plus les variantes se multiplient, plus il est difficile de prévoir sous quelle forme se présentera le vecteur d'attaque. Un grande majorité de systèmes de défense reposant encore -malgré les dénégations de leurs éditeurs- sur une analyse de signature, la multiplication des infections atypiques « passe » au travers des défenses périmétriques. Enfin, même les cybertruands passent au modèle Open Source. Une tendance qui « démocratise » encore plus le port d'armes prohibées, mais encore qui favorise les modifications de code originel et multiplie l'échange d'informations portant précisément sur ces modifications de code. Une très grande majorité d'Internautes, des particuliers comme des usagers professionnels des réseaux Wan, sont encore persuadé de l'invulnérabilité offerte par le couple antivvirus/firewall. Certes, ces protection sont nécessaires... mais insuffisantes, un défaut que ne manqueront pas de remarquer tôt ou tard les victimes. En prenant conscience que « surfer peut tuer », les utilisateurs d'outils Web pourraient perdre confiance en l'ensemble des services Web, portant par là un sérieux coup au e-commerce dans son ensemble.