Quinze ans "I love you", une nécessité encore plus absolue d'analyser la menace des virus

3 millions
On estime que trois millions d'ordinateurs ont été contaminés par le
virus "I Love You".

Le 4 mai 2000 est lancé le virus "I love you". Il marque les mémoires par sa vitesse de propagation, ses capacités destructrices et son mode opératoire qui jouant sur la crédulité des utilisateurs n’est pas sans rappeler le phishing.

Après avoir resitué « I love you » dans l’évolution des virus depuis 1990, nous montrerons que l’analyse des virus et plus généralement des attaques informatiques se concentre sur des aspects techniques comme les modes opératoires, les objectifs techniques et les dommages, et moins sur les attaquants et leurs motivations. Il est cependant essentiel d’aller vers des analyses criminologiques, condition sine qua none pour anticiper la menace.

I love you, un virus très épris de la messagerie

Le lundi 4 mai est la date anniversaire du virus informatique I love you. Conçu comme un véritable piège, le virus prenait la forme d’une lettre d’amour dont il tira son nom, envoyée en fichier joint par courrier électronique et dissimulant un code malicieux de type vbs. En ouvrant la lettre, le destinataire permettait au virus de modifier la base de registre de Windows de façon à s’exécuter à chaque démarrage. En plus de modifier la page de démarrage du poste infecté, il changeait également l’extension de certains fichiers à l’instar de fichiers images (jpeg, jpg,…) et sons (mp2, mp3,...) les rendant donc inexploitables.

Il y a quinze ans, ce virus marquait profondément les esprits à trois égards :

- D’abord, par sa vitesse de propagation : Les analystes ont estimé que lancé depuis l’Asie, le virus est en moins d’une journée, parvenu à l’Europe puis aux Etats-Unis. Sa méthode de réplication, déjà utilisée par le virus Melissa (1999) était en effet très efficace, puisque il s’auto-envoyait à tout le carnet d’adresses Outlook du poste infecté et ainsi de suite…;

- Par son mode opératoire, ensuite, avec cette fausse lettre d’amour jouant sur la crédulité et l’affectif des utilisateurs…;

- et enfin, par les dommages causés. Des chiffres de trois millions de machines infectées et de cinq milliards de dollars de dommages ont été avancés. Certains chercheurs ont affirmé que sa capacité destructrice avait été sous-paramétrée par ses auteurs et que ce virus aurait pu entraîner des pertes de machines et de données bien supérieures, en s’attaquant à l’ensemble du contenu.

« I love you », parmi les plus marquants dans l’histoire des virus

Dans toutes les listes dressées des virus les plus marquants, « I love you » fait l’unanimité. Mais quelle est sa place et quelle leçon en tirer sur la menace en général ? Voilà presque trente ans qu’il existe des virus, et le moins que l’on puisse dire c’est qu’ils n’ont pas cessé de croître, mais également de muter et ce, rapidement.

On peut situer le premier virus en 1986. Il s’appelle Brain et c’est le premier à s’être attaqué massivement à des micro-ordinateurs et dont la réplication n’était possible que par disquettes. Le virus Jérusalem, en 1987, infectait lui tous les fichiers de commande et fichiers exécutables les rendant à chaque démarrage de plus en plus volumineux pour enfin les écraser à date régulière. Le virus Morris Worm marque un tournant en 1988, puisqu’il est le premier à se propager via Internet, à grande vitesse et causant de fortes perturbations sur les systèmes sur lesquels il s’installe. C’est un des rares virus pour lequel on connaît la motivation de l’auteur. Etudiant au MIT, R. Morris voulait connaître le nombre de machines connectées à Internet, ne reliant alors que l’armée américaine et les grandes universités américaines.

Les virus n’apparaissent à cette époque que comme des moyens de hacking ne servant qu’à explorer les limites des systèmes. Après la recherche d’exploits, on change complètement de dimension à partir des années 90. On ne s’arrête pas à contaminer les systèmes et donc à empêcher l’utilisation des machines mais les virus comme Datacrime, Michelangelo, Tchernobyl vont détruire les données présentes dans les volumes de stockage et s’en prendre donc directement aux disques durs. Le plus célèbre, Michelangelo, apparu en 1991, réécrivait le début des pistes du disque dur rendant donc les fichiers inutilisables et détruisant définitivement les fichiers à date. Tchernobyl, lui, avait la particularité de détruire aussi la carte-mère empêchant la récupération de la machine.

En plein boom de la micro-informatique et de la position monopolistique de Microsoft, des virus comme Boza en 1996, Win-wir ou encore Cabanas se mirent à attaquer successivement Windows 95, Windows NT ou Windows Update quelques années plus tard avec le célèbre virus Blaster. Ouvrant la voie à notre virus du jour en 2000, le virus Melissa né en 1999, est le premier à avoir pensé sa réplication via la messagerie électronique et en l’occurrence Outlook. Suite à I love you, en 2000, c’est à des virus combinés que l’informatique fait face. Les virus Nimda ou encore Code Red en 2000 et en 2001 grâce à une faille Windows infectaient des sites web tout en lançant une attaque par déni de service sur des serveurs web et se propageaient grâce aux messageries et par les lecteurs réseaux.

Après une année 2002 relativement calme, survint Blaster évoqué plus haut, qui par ailleurs doit détenir un record en terme de viralité. A partir de 2004, alors que la société s’équipe de plus en plus en smartphones, émergent des virus comme Cabir qui n’avait d’autre finalité que de se multiplier et utilisait à cette fin la connexion Bluetooth pour se répliquer dans d’autres téléphones mobiles.

Après 2004, c’est un autre moment charnière qui s’opère au profit de codes malveillants susceptibles de rapporter gros et facilement. Conficker, découvert plusieurs mois après son lancement est un virus de 2008 qui une fois installé sur un PC, désactive les fonctions de Windows Update mais aussi des centres de sécurité Windows pour laisser libre champ aux connexions avec des serveurs avec lesquels le virus pouvait recevoir des requêtes soit de propagation, de captation d’informations personnelles ou encore de téléchargement de logiciels malveillants.

Ce tour d’horizon n’aurait pas sa raison d’être si nous n’évoquions pas Stuxnet découvert en 2010 s’attaquant au SCADA des réseaux industriels ayant la capacité de reprogrammer des automates programmables tout en en cachant la réalisation. Son autre particularité était d’avoir été conçu pour une cible très spécifique. En touchant une marque d’automates très répandue, le virus rendit indisponibles plusieurs centrifugeuses de la centrale nucléaire de Bouchehr en Iran et dont les analystes pensent aujourd’hui que c’était la seule et unique cible de ce virus, créé par des Etats.

Le virus Regin, enfin, découvert en 2013 lors de sa seconde percée alors qu’il espionnait l’UE, l’opérateur Belgacom, des centres de recherches et des organisations gouvernementales, mais dont la naissance est estimée à plusieurs années en amont. Il subtilise des mots de passe, surveille de près les utilisateurs jusqu’à faire des captures d’écran à leur insu.

Une coévolution des virus et des technologies, vers une industrialisation de la menace

En parcourant cette évolution, plusieurs conclusions liminaires s’imposent. D’abord, on peut remarquer l’extraordinaire coévolution des technologies et des habitudes de la société numérique d’une part, des virus d’autre part. Les virus semblent suivre pas à pas les évolutions technologiques. Après les disquettes, les systèmes d’exploitation, en passant par Windows, sans oublier les terminaux mobiles de plus en plus ciblés, chaque évolution subit son lot de tests viraux. Jusqu’aux années 1990 et c’est encore vrai pour certains virus jusqu’au début des années 2000, on y décèle l’empreinte du hacking dévolu à des profils plutôt passionnés. Les auteurs des virus jouent les « lanceurs d’alerte » sur des failles de type réseau, système et logiciel sans forcément d’ailleurs prendre conscience des dégâts engendrés et du degré de responsabilité qui leur incombe. C’est le cas au moins pour les quelques auteurs identifiés voire condamnés.

Le second enseignement tient en la course folle que se mènent les hackers cherchant les failles et les éditeurs de logiciels et fournisseurs d’antivirus toujours en quête de parades. Pure conséquence exponentielle à l’instar de la loi de Moore, ou véritable cause à effet, les systèmes et logiciels n’ont donc cessé de devenir plus en plus performants et les virus ont suivi la même progression. Les recettes sont parfois les mêmes mais juste plus performantes. C’est exactement le cas avec Melissa et I love you. L’année 2002 est par exemple pour certains analystes une année de renversement pour les fournisseurs d’anti-virus forts d’un très haut niveau de performance.

Le dernier constat traduit la façon dont les objectifs techniques des virus ont évolué. D’abord alertant sur des failles, ils sont devenus à partir de 1990 de plus en plus destructeurs, avec des performances de viralité toujours plus importantes et des dommages non négligeables. A partir de la seconde moitié des années 2000, le virus est davantage devenu un outil parfois très complexe bien plus qu’une démonstration ou une preuve de failles. Les virus sont désormais conçus pour infecter des machines de la façon la plus discrète possible pour collecter de la donnée.

L’analyse de l’évolution virale et des attaques en général, un reflet incomplet de la menace

Les enseignements sur l’évolution des virus nous permettent de constater qu’elle peut être une extrapolation de celle des attaques en général, notamment quand il s’agit de prouver un phénomène d’industrialisation du hacking. En effet, que ce soit à titre de vengeance, de revendication, de vocation criminelle, de recherche d’informations stratégiques pour bénéficier d’un avantage compétitif ou encore d’espionnage, les virus font aujourd’hui partie du panel des attaquants.

Ce qui frappe néanmoins dans les analyses réalisées sur les virus mais également sur la plupart de celles concernant les attaques en général, elles sont fidèles à peu de choses près à celle menée plus haut ici-même. Revient inlassablement le même compte-rendu d’autopsie virale.

Si les analystes en effet retracent assez bien la description technique des virus, leur mode opératoire, leur technique de réplication, et une estimation des dommages en terme d’infection et financiers, on peut s’interroger en effet sur l’absence de rattachement à la menace même. Quid en effet des attaquants et de leurs motivations ? Pourquoi, exceptés les rares cas où les attaques ont donné lieu à des condamnations, ne parle t-on jamais des auteurs ? Ces éléments à dimension d’investigation technique suffisent-ils - qui plus est aujourd’hui face à la multiplication de profils des acteurs - à analyser la menace, et donc à avancer sur le front de la protection ?

Cette question est d’autant plus légitime que depuis quinze ans, on assiste de plus en plus en terme technique à une montée en performance des exploits déjà connus, à une combinaison de ceux-ci, ce qui a tendance à en brouiller considérablement la lisibilité. En outre, comme on a pu le voir avec Conficker, Stuxnet ou encore Regin, les virus sont passés de « visibles, fortement répliquants et destructeurs » à « discrets, personnalisés et curieux » ce qui revient à dire que les objectifs réels des virus et des attaques en général ne sont pas forcément les objectifs soi-disant affichés. Les virus sont faits de façon à passer sous silence - et de façon de plus en plus ingénue - les motivations sous-jacentes de leurs créateurs. C’est d’autant plus vrai que l’appât du gain facile rend attrayantes des activités cybercriminelles à des personnes parfois peu qualifiées en matière informatique et encore moins en cybersécurité. Si le nombre d’apprentis cybercriminels capables ou presque d’exécuter des attaques ne cesse de croître, ce n’est pas forcément vrai de ceux capables de les concevoir. Faut-il encore savoir remonter les réseaux cybercriminels pour distinguer ces différents profils et leur implication réelle à chacun.

La recherche d’exploit à l’aide d’un virus s’apparentant presque parfois à de véritables signatures de leur auteur a laissé place à des motivations nettement moins informatiques, mais plus business voire stratégiques. Pour la plupart illégales, la résonance des attaques est aujourd’hui davantage « in the real life » que « cyber ». Que son mobile soit pécuniaire, stratégique, ou revendicatif, l’attaquant, à l’œuvre d’un nouveau cybercrime ou ne rendant que « cyber » le crime traditionnel, fait partie le plus souvent d’une nébuleuse d’attaquants plutôt indépendants, ou bien appartient à des organisations plus complexes, structurées comme des organisations criminelles, du mercenariat ou encore à la solde d’Etats se livrant à des guerres de l’information.

Ces informations sur les auteurs et leurs motivations restent génériques. Quasiment jamais relayées, il est rare de les voir détaillées attaque par attaque. Concernant par exemple I love you seuls quelques chercheurs se sont osés à émettre des hypothèses sur les motivations des attaquants. Sans que cela ne soit en effet étayé, certains chercheurs avaient souligné combien l’apparition de I love you tombait bien en pleine bataille de l’industrie du disque contre le Peer to Peer et les plaintes pour contrefaçons.

Hors, une analyse technique servira au mieux à produire une défense technique réactive, à la rigueur préventive pour des cas d’attaques analogues. En aucun cas, une telle analyse ne peut suffire à en comprendre les raisons, à en détecter un certain nombre de signaux faibles et encore moins à connaître et évaluer la menace (par et pour qui ? pourquoi ? enjeux cachés ?) et donc à l’anticiper et l’endiguer au plus tôt.

Bien qu’ils soient souvent décriés et accusés d’enjoliver la vérité, alors même qu’ils fournissent un étalonnement bien utile quand il s’agit de comparer les attaques, les fournisseurs d’antivirus font partie des rares à se pencher sur la menace. On a pu voir notamment un travail de recherche sur les victimes pour connaître des paramètres tels que les dommages réellement subis, le temps passé à un retour à la normale ou encore passé à déposer plainte. Néanmoins, la recherche sur les auteurs, leurs motivations, leurs réseaux, les rattachements avec le crime traditionnel, etc. restent des domaines difficilement abordables, exceptions faites de quelques analyses de fond. On se souviendra notamment des éléments de Mandiant, Symantec et d’autres de février 2013 mettant à jour une équipe chinoise reine de l’APT.

En effet, au même titre que la criminologie a mis du temps et commence à peine à se pencher sur la cyber délinquance alors même que les nouvelles technologies sont omniprésentes, innervées à notre quotidien, on peut aussi s’émouvoir a contrario que des champs de recherche propres à l’informatique et à la cybersécurité se lancent dans des analyses de la menace dénuées de toute approche criminologique. La criminologie étant l’étude des causes et des facteurs du crime ainsi que de sa maîtrise que ce soit du point de vue de l’individu ou de la société, est d’autant plus importante qu’elle permet non seulement d’analyser l’acte, de le reconnaître, d’en dresser la réponse sociale mais aussi judiciaire et institutionnelle.

Ce serait un booster non négligeable pour les acteurs de la cybersécurité de s’appuyer, tant en terme de recherche et développement, pour repenser leurs solutions, qu’en terme de marché, sur des ressources pluridisciplinaires au premier rang desquelles se trouveraient des criminologues, des analystes en géopolitique, économie, psychologie et des veilleurs et cartographes pour aider non seulement à la reconnaissance de la menace et pour savoir quoi protéger, de qui et quand, toujours dans une optique d’anticipation.

A l’heure du cloud, du big data, des objets connectés, de la robotique, de la technologie des paiements sans contact, en somme de la multiplication des surfaces d’attaques, et alors que se façonne une nouvelle vie économique et sociale, où le cyber n’est que le prolongement du réel et vice versa, nous n’aurons d’autre choix que d’apprendre à avoir un coup d’avance sur la menace, anticiper les mobiles des individus autant dans la vie réelle que numérique, détecter des signaux faibles, savoir détecter des comportements déviants et cela ne passera que par la croisée des compétences et par un travail collaboratif certainement public-privé. 


A découvrir