Propagation par failles : « blended threat »

cr  01.04.2012      r+  01.06.2024      r-  15.07.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Les virus dits quelquefois « Blended threat » (attaques combinées) sont des virus n'ayant pas besoin d'un véhicule (un hôte, un vecteur) pour se propager, au même titre que les vers. Ils se propagent d'une manière fulgurante en utilisant les serveurs dont ils recherchent les failles de sécurité pour pouvoir y pénétrer. De là, ils ont accès à la totalité des machines connectées : si un fournisseur d'accès Internet est pénétré, c'est la totalité de ses clients qui sont attaquables. Si un serveur d'entreprise est pénétré, c'est la totalité des machines connectées (toute l'entreprise y compris ses travailleurs nomades) qui est attaquable. En ce sens, les "Blended threat" ne sont qu'une forme particulière de virus liée à leur mode de propagation.

Ce mode de propagation est particulièrement technique. Ce genre de virus est donc le fruit de personnes ayant une très haute technicité de la sécurité (et de l'insécurité) des réseaux. La recherche de failles de sécurité est une "vieille" discipline qui était plutôt cantonnée au monde des pirates cherchant à pénétrer un système pour le visiter ou l'exploiter en y déposant un backdoor ou la partie serveur d'un Remote Administration Tool (RAT). La convergence de ces techniques (découverte et exploitation de failles et écriture de virus) est plutôt l'œuvre de professionnels appartenant (ou commandités) à des gangs maffieux polluant le Net et prenant la Planète pour leur aire de jeux. Des guerres entre ces gangs on même lieu (virus attaquant les virus des gangs concurrents dits Virus Chevalier Blanc...). Ce mélange de genres à fait appeler ces virus « Blended threat ».

1. Il ne s'agit pas toujours de virus mais plutôt de dispositifs autres tendant à :

   
   

   1. écouter ce qui traverse le serveur infecté afin d'y capturer une information, par exemple un mot de passe servant à se connecter sur un autre réseau.

   2. rebondir à grande échelle du serveur vers les machines connectées au serveur afin de les infecter, par exemple pour détourner la navigation des internautes vers des sites profitant à des gangs (Hijack vers des sites de e-commerce...) ou pour exploiter nos machines pénétrées au profit de spammeurs (zombiification de nos machines détournées en serveurs de Spam...)

   3. exploiter commercialement à grande échelle nos machines en y déposant un outil de prise de contrôle à distance (Backdoor et RAT) afin de louer la puissance de calcul de nos machines et notre bande passante, sans que nous en ayons connaissance, à des groupes politiques, industriels ou subversifs souhaitant disposer de centaines de milliers de machines durant un certain temps (pour lancer des attaques vers des serveurs (DDoS...) etc. ...). Voir Prix de la Cybercriminalité

   4. ...

2. Lorsqu'il s'agit de virus, déployer une telle technicité pour ce faire n'est pas anodin et ces virus ont une force de pénétration et une charge active particulièrement "sévère". Des virus promus par des "Blended threat" ont déjà attaqué le Net planétaire dans sa totalité (attaque de tous les serveurs DNS) ou l'économie d'un pays ou une ressource énergétique d'un pays (attaque des systèmes informatiques des centrales électriques...).

Comme tous les "Blended" le résultat est catastrophique : on en a la démonstration quotidienne avec les Whisky « Blended » qui pénètrent tous les foyers (on devrait proposer des anti-mal bouffe gratuits comme on propose des antivirus gratuits) et donnent des résultats immondes.