Le bilan pour 2001 est mitigé : les éditeurs de logiciels antivirus ont fait d’énormes progrès mais cela n’a pas empêché le nombre d’attaques de virus d’augmenter. L’effacement des virus classiques au profit des vers se poursuit en raison de l’explosion de l’utilisation d’Internet. Les auteurs de virus marquent leur préférence pour un code malicieux qui se propage en envoyant ces fichiers via les réseaux locaux ou Internet.

Des épidémies conséquentes

L’année 2001 est marquée par de sérieuses épidémies causées par des programmes malicieux qui exploitent les vulnérabilités des applications et des systèmes d’exploitation :  CodeRedNimdaAliz et BadtransII. L’ampleur de ces épidémies va changer la sécurité informatique et dicter la tendance pour l’évolution des programmes malveillants dans les années à venir.

Un nombre infini de variantes de LoveLetter (connu également sous le nom de ILoveYou),  Magistr et SirCam ajoute également du piment à la situation et force les utilisateurs et les éditeurs de logiciel antivirus à rester sur leur garde.

Vulnérabilités

Une vulnérabilité est une faille dans une application ou un système d’exploitation qui peut être exploitée par un auteur de virus : les codes malicieux s’introduisent dans le système via ces failles.

Les virus et les vers qui exploitent les vulnérabilités sont particulièrement dangereux car ils sont installés et activés automatiquement quelle que soit l’action de l’utilisateur. Ainsi, Nimda est capable d’infecter les ordinateurs même lorsque le message infecté est simplement vu dans la fenêtre de préaffichage de MS Outlook. CodeRed franchit un pas supplémentaire : il balaye Internet à la recherche de machines vulnérables et les infecte. D’après les statistiques de Kaspersky Lab, les programmes malveillants qui exploitent les vulnérabilités ont représenté près de 55% de tous les programmes malicieux détectés en 2001.

L’intérêt affiché par les auteurs de virus pour les vulnérabilités est justifié. Les méthodes d’infection utilisées par les virus de fichier classique (l’utilisateur lance le cycle d’infection) avaient perdu en efficacité. Les auteurs de virus donc adopté avec entrain cette nouvelle technique.

Courrier électronique et Internet : sources principales d’infection

Les statistiques tenues par le laboratoire antivirus de Kaspersky montrent que le nombre d’attaques par courrier électronique a connu une croissance de 5% en 2001 par rapport à 2000 et que celles-ci ont constitué près de 90% du nombre d’incidents relevé en 2001.

2001 est une année décisive dans l’évolution des attaques de virus via Internet. Auparavant, la majorité des infections impliquant Internet se produisaient lorsque l’utilisateur téléchargeait et exécutait des fichiers depuis un site douteux. 2001 voit l’apparition d’une nouvelle technique d’infection : il n’est plus nécessaire de télécharger des fichiers. Une simple visite sur le site infecté suffit. Les auteurs de virus ont commencé à remplacer des pages saines par des pages infectées. La majorité des utilisateurs ont été infectés par des programmes malveillants qui exploitent les vulnérabilités de MS Internet Explorer. Dans certain cas, les sites offraient des programmes gratuits qui en réalité étaient des programmes malveillants.

Attaques à l’aide d’autres de technologies non liées à Internet

C’est en 2001 également que les services de messagerie instantanée comme ICQ et MS Instant Messenger sont utilisés pour la première fois en vue de propager des codes malicieux. Une série d’infections causées par des vers confirme le piège que peut représenter ces services pour les utilisateurs qui ne prêtent pas attention. Le ver Internet Mandragore attaque le réseau de partage de fichiers Gnutella. L’année 2001 est également marquée par la prolifération de vers programmés pour se diffuser via les canaux IRC.

Augmentation des attaques sur Linux

Un certain nombre de programmes malicieux attaquent Linux en 2001. Ramenouvre le bal le 19 janvier et infecte un grand nombre de réseaux d’entreprise en l’espace de quelques jours. Parmi les victimes, citons la NASA (Etats-Unis), l’université A&M (Etats-Unis) et le fabricant de matériel Supermicro (Taiwan).

Ces attaques se multiplient à une vitesse effrénée grâce à la succession de clones de Ramen et de nouveaux vers Linux. La majorité de ces codes malicieux exploitent des vulnérabilités du système d’exploitation. La multiplication de ces menaces montre le manque total de préparation des développeurs Linux, convaincus jusqu’à présent que Linux était un environnement tout à fait sûr. De nombreux utilisateurs de Linux n’avaient même pas pris la peine d’installer les correctifs diffusés pour remédier à certaines des vulnérabilités exploitées, ce qui facilita la tâche des vers.

Les vers sans fichier présentent un nouveau défi

Ce qu’on appelle les vers sans fichiers sont sans conteste la plus mauvaise surprise de 2001. Ces vers sont capables de se reproduire et de fonctionner sur les machines infectées sans utiliser de fichiers. Ces vers existent uniquement dans la mémoire RAM et se propagent sous la forme de paquets de données spécialement configurés.

Cette nouvelle technique va être à l’origine de nombreux maux de têtes chez les spécialistes de la lutte contre les virus. Les outils existants (scanneurs et moniteurs antivirus) sont parfaitement inefficaces vu que les moteurs antivirus détectent le code malicieux uniquement pendant les opérations réalisées sur les fichiers. Kaspersky Lab est le premier éditeur à développer un nouveau filtre antivirus capable d’analyser en arrière-plan les paquets de données entrant et de supprimer les vers sans fichiers.

Augmentation du nombre de vers sur Windows

Alors que 1999 et 2000 avaient été dominés par les virus classiques (surtout les virus de macro et de script), l’année 2001 est l’année des vers pour Windows. A l’automne, ces vers sont responsables de près de 90% de toutes les infections enregistrées.

Cette tendance s’explique en deux parties : tout d’abord, les nouvelles technologies permettent aux auteurs de virus de créer des vers plus sophistiqués et ensuite, les éditeurs de logiciels antivirus sont en mesure d’assurer une protection efficace contre les virus de macro et les virus de script.

Canulars

Les canulars sont très populaires en 2001 : dix nouvelles alertes relatives à un nouveau virus dangereux sont enregistrées au mois de mars. Les utilisateurs nerveux, toujours sous le choc des grandes épidémies de 2000, se pressent de transmettre ces messages à leurs amis et aux membres de leurs familles. California IBM et Girl Thing sont particulièrement efficaces. Tout comme un message prévoyant une nouvelle épidémie de ILoveYou pour la Saint Valentin.

Certains de ces canulars ont été tellement bien rédigés qu’ils sont toujours en circulation plusieurs années plus tard.

L’année 2001 en résumé

  • Le courrier électronique et Internet deviennent les cibles privilégiées des nouvelles attaques ;
  • D’autres vecteurs comme ICQ, IRC, MSN Messenger et les réseaux de partage de fichiers sont également de plus en plus utilisés :
  • Les vers sans fichiers font leur entrée en scène;
  • Les vers pour Windows constituent la majorité des nouvelles menaces à la mi-2001 tandis que les virus de macro et les virus de script perdent de plus en plus de terrain.