Passer au contenu

7. Et demain, quelles attaques ?

Le Web comme source d’infection, des robots plus intelligents, le retour en force de JavaScript et le phishing téléphonique : les attaques de demain décryptées par l’Oi dès aujourd’hui.

Comment serons-nous attaqués demain ? En sécurité comme ailleurs, la prédiction est un exercice périlleux. Mais les tendances majeures sont déjà bien visibles et elles permettent de dresser le portrait des attaques attendues pour 2008.

Le Web, source majeure d’infections

Fini les parasites reçus par e-mail. En 2007 déjà, les principaux éditeurs d’antivirus notaient que le Web avait détrôné le courrier électronique comme principale source d’infection. Et deux affaires majeures sont venues illustrer cette tendance lourde. En Italie, plus de 10 000 sites furent détournés l’an dernier par un groupe de pirates. En installant sur chaque site une copie du kit d’infection MPack (vendu 700 $ par correspondance), les pirates laissaient ces sites victimes infecter eux-mêmes leurs visiteurs. Cette attaque, qui exploitait une série de vulnérabilités afin d’installer des parasites publicitaires et autres bots destinés à détourner l’ordinateur, toucha des sites gouvernementaux, bancaires ou touristiques qui avaient tous pignon sur rue et auxquels tout le monde faisait confiance.Plus récemment encore, au début de l’année, plusieurs centaines de sites légitimes étaient mystérieusement détournés. Leurs administrateurs, et jusqu’à des experts dépêchés par plusieurs éditeurs de solutions de sécurité, se sont révélés incapables de déterminer initialement comment les serveurs avaient été compromis. Et, surtout, comment ils étaient à nouveau infectés après avoir été nettoyés. Ces serveurs déposaient sur l’ordinateur de leurs visiteurs un code malveillant en JavaScript, doté d’un nom aléatoire et totalement invisible. Et pour cause : les parasites n’existaient qu’en mémoire du serveur et étaient ajoutés à la volée sur les pages envoyées aux visiteurs. Aujourd’hui encore, le mystère n’est pas entièrement résolu, bien que l’on ait successivement soupçonné un module Apache vulnérable puis le vol massif de clés SSH chez l’hébergeur des sites concernés.La multiplication des sites communautaires façon Web 2.0 vient accentuer également cette tendance en favorisant les contenus contaminés publiés par des internautes et capables d’infecter le reste de la communauté, comme l’ont démontré les vers sur MySpace.

Les rootkits se banalisent

Terriblement efficaces pour dissimuler un code parasite sur l’ordinateur, les rootkits étaient l’année dernière encore (relativement) exotiques. Ils sont en passe de devenir l’équipement standard installé par défaut dès la première infection, avant d’aller télécharger les codes malveillants eux-mêmes.Avec la montée en puissance des infections via les pages Web, JavaScript était déjà très présent comme support d’infection. La multiplication des sites Web 2.0, et donc d’Ajax, va probablement rendre ce langage incontournable pour les auteurs de virus. Ajax cache de nombreuses interactions entre la partie visible du navigateur et le serveur, permettant de jouer de multiples tours tels que le vol de cookies, le détournement de sessions, etc.

Des bots encore plus résistants

Les bots, ces programmes chargés de détourner les PC afin de les contrôler, sont encore assez simplistes : leur architecture très centralisée permet de neutraliser un réseau de bots (botnet) aisément. Mais la communauté pirate planche depuis quelques années sur des bots décentralisés, à l’image du peer-to-peer. Le parasite Peacomm, apparu en 2007, exploite, lui, le réseau P2P Overnet pour être plus résistant. Et il ne sera probablement pas le dernier.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Jérôme Granger, José Roda et Jérôme Saiz