Marc Blanchard Virus Docteur

Le 7 février 2009 : Kaspersky subit une attaque sur son site USA, et les bases antivirales innaccessibles pendant plus de 1h30

Le 9 février 2009 : BitDefender subit également une attaque.

Le 11 février 2009, c'est le tour de F-Secure.

Tout cela me laisse penser qu'il s'agit d'une guerre que commencent les cyber delinquants contre les seuls freins : les éditeurs d'antivirus.

Il faut dire que ces derniers temps, les cyber-délinquants n'y vont pas de main morte. Si on prend quelques exemples dont on ne parle pas en presse, car les alertes virus semblent ne plus interesser personne, ceci dit, elles continuent de plus en plus.

Nous subissons la guerre du numérique, et personne ne semble réagir, ormis notre gouvernement qui a quand même mis la main à la poche pour lutter contre ce cyber-terrorisme.

En exemple, on nommera le Confiker (Autorunner.5555), les DNS changers (vous croyez etre sur un site, vous êtes sur un autre, et un pirate vous espionne), Poison.51 qui met en marche la webcam et le microphone de ses victimes en y ajoutant un key logger sophistiqué qui prend les abscisses et les ordonnées des clicks de souris que l'internaute effectue et audite tout ce que la victime tape au clavier (et si un clavier virtuel est lancé, la code malicieux prend une image), Virut qui lui fait son petit chemin de propagation pour afecter ses victimes dans un reseau zombie de grande ampleur, etc, bref de petites vermines qui font bien des déboires, pour au final, un seul résultat : l'appat du gain ! C'est bien connu, celui qui a le gain et la maitrise peut provoquer ce qu'il souhaite....

Il est clair que la réactivité des antivirus sur les mises a disposition des antidotes inquiétent les cyber-delinquants. Il leurs faut développer des freins.

Alors que certains éditeurs d'antivirus optent leurs technologies et leurs publicités sur le 'CLOUDING' (envoi des fichiers des utilisateurs sur des serveurs antivirus sur internet pour les analyser en temps réel), les dernieres attaques des editeurs antivirus démontrent bel et bien que le clouding ou le management des flux internet déportés chez un tier, qui n'est que ni plus ni moins l'editeur antivirus, est très dangereux.

C'est ce que j'expliquais dans un de mes posts sur le bon choix d'un antivirus

Bref, les freins dont je parle, sont relativement simples :

a. Les codes malicieux qui déroutent les DNS soit sur le 127.0.0.1 soit sur un serveur internet qui ne contient que des données notamment des fichiers très anciens des antidotes des editeurs antivirus

Résultat : pas de mise a jour

Conséquence : liberté pour le cyber-délinquant de publier ses malwares qui ne seront détectés que bien plus tard.

b. Utilisant la même technique, éviter que les systèmes Windows, linux ou autre ne se mettent a jour pour palier aux failles de sécurités de l'OS.

c. S'attaquer à la source : c'est à dire mettre un cyber-désordre chez les éditeurs antivirus, firewall, antispam, etc, afin de rendre innaccessible les sites de mises à jour.

A ce niveau, il faut s'inquiéter.

C'est pourquoi, certains éditeurs, qui utilisent des techniques de mises a jours moins sophistiquées que par exemple le clouding ou les services managés, se retrouvent beaucoup moins vulnérables, car il démultiplient leurs serveurs de mises à jour, changent les adresses IPs plus que régulièrement, ainsi que les noms DNS, permettant ainsi un risque bien moins grand.

Ce graphique est tres intéressant, car il montre la perception des infections stormworm par les utilisateurs.

En effet, en mars 2008, 4,357 millions d'utilisateurs d'ordinateurs repèrent des comportements étranges de leurs ordinateurs : Les storm worms arrivent avec de nouvelles technologies.

En Avril 2008, les réseaux zombies commencent a s'implanter dans les ordinateurs d'utilisateurs. 4,296 millions utilisateurs essaient de vérifier les présences de codes malveillants.

En Mai 2008, les reseaux zombies arrivent dans les entreprises et 5,761 millions d'utilisateurs prennent conscience d'un probleme recurrent. N'oublions pas que les stormworms changent leurs codes toutes les 30 minutes environ...et donc revient avec un code malicieux tout neuf!

En Juin 2008, les editeurs d'antivirus commencent enfin a prendre conscience des infections actives et commencent alors une guerre avec les cyber-delinquants. Total 1,631 millions d'utilisateurs continuent de suspecter leurs machines.

En Juillet 2008, 1,685 millions d'utilisateurs prennent conscience de risques engeandres par les infections actives, car les infections reviennent encore et encore.

En Aout 2008, les developpeurs de stormworms reagissent : 1,992 millions d'utilisateurs analysent leurs machines car les nettoyages de la majorité des editeurs d'antivirus s'avèrent non efficace.

En Septembre 2008 : Les editeurs d'antivirus rétorquent : 1,400 millions d'utilisateurs continuent de suspecter leurs machines et lancent des analyses multi antiviraux.

En Octobre 2008 : Les zombies changent de tactiques et mettent en telechargement http des exploits sur de nombreux serveurs sur internet qui sont en fait des ordinateurs des utilisateurs....le doute chez 1,815 millions d'utilisateurs.

En Novembre 2008 et Decembre 2008 : Arrivée de Autorunner.5555 alias Confiker/Kido : plus de 4 millions d'utilisateurs sont en panique.

Janvier 2009 : alors que tous les editeurs d'antivirus détectent ce stormworm, il y a encore beaucoup de lacunes quant a l'eradication de ce stormworm : 2,564 millions d'utilisateurs nettoyent leurs parcs informatiques.

En conclusion de ce type de graphe et de stats :

On comprendra mieux qu'en ce qui concerne les infections actives, qu'un antivirus efficace est nécessaire...et pas seulement avec un simple scanner ou temps reel qui bloque les attaques, mais egalement le nettoye, et ce de facon automatique sans cleaner ou nettoyeur.

Les antivirus proposant des cleaners indépendant ou a un temps reel de mauvaise qualite, verra la machine se reinfecter ..... avec un nouveau code du stormworm...celui la ....non détecté par ces antivirus médiocres!!!!