Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  18.06.2004      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Pour l'utilisation d'une protection par strates contre les vers informatiques

Le document original est un document en anglais de 46 pages au format pdf

Version anglaise PDF (dans les archives du WEB)

NSA - Papier de vers
NSA - Papier de vers

David J. Albanese
Michael J. Wiacek
Christo pher M. Salter
Jeffrey A. Six

Rapport non classifié

18 juin 2004
version 1.0

National Security Agency
9800 Savage Rd. STE 6704
Ft. Meade, MD 20755-6704



Les vers informatiques sont perçus comme étant une des premières menaces à l'encontre de l'infrastructure technologique de l'information d'une nation. Ils sont un sujet d'inquiétude significatif ausi bien en termes financiers qu'en termes de sécurité des réseaux. D'après le centre d'information des vers informatiques, on estime que Sobig et Blaster, arrivés simultanément, ont occasionné des pertes supérieures à 2 billions de dollars (deux mille milliards de dollars).

Dans cet article, nous avons étudié les stratégies actuelles de propagation des vers informatiques et avons essayé de déterminer si la tendance pourrait être à l'aggravation de ce mal dans un futur proche. Les méthodes de propagation des vers informatiques s'améliorent-elles ? Les attaques deviennent-elles plus sophistiquées ? Nous nous sommes aussi intéressés aux techniques de protection qui peuvent être utilisées afin de combattre cette plaie. Dans quels secteurs ces techniques sont-elles les plus efficaces ? Doit-on développer d'autres moyens pour se prémunir mieux encore ?

En dernier ressort, l'on a cherché à savoir si une attaque particulièrement « sophistiquée » pouvait être évitée et si les mécanismes actuels de protection étaient suffisants.



Répondre à ces questions réclame de comprendre de manière approfondie la technologie des vers informatiques actuels ainsi que leurs modes d'évolution.

Nous avons choisi de nous concentrer sur l'aspect purement technique plutôt que sur les méthodes de tromperie et de manipulation (1) employées par leurs auteurs, méthodes pour lesquelles il n'existe pas de remède (sic).

Dans le paragraphe 4 de cet article « Technologie des vers informatiques », nous illustrerons notre propos en employant une métaphore, celle des « fonctions vitales » du ver informatique, fonctions que l'on observe couramment.

Par la suite en les décomposant, nous isolerons les conditions fondamentales nécessaires à leur « réussite », ce que nous appellerons leurs « modes d'infection ».

En les détaillant dans le paragraphe 5, nous bâtirons un système permettant de classer les vers informatiques.

Le paragraphe 6 « Mécanismes de Défense et Techniques » examinera les méthodes existantes de protection contre les vers ainsi que pour tout autre type de code malveillant.

Dans le paragraphe 7, nous mettrons sous forme de tableau les « modes d'infection » et leurs vaccins associés, ce que nous appelons une « matrice de défense ». A partir de celle-ci, nous tirerons les enseignements sur la manière dont on peut efficacement lutter et prévenir une infection par vers informatiques.

Nous présentons un résumé de nos résultats dans le paragraphe 3 intitulé « Solutions » (ci-dessous).

Enfin dans le paragraphe 8 « Appliquer une Méthodologie de Protection », nous discuterons de la façon dont cinq vers particulièrement néfastes auraient pu être facilement éliminés si une solution de protection complète avait été mise en place, solution, vous l'aurez compris dont nous nous faisons les ardents avocats.



Plusieurs technologies préventives ont été développées afin d'enrayer la propagation des vers informatiques. Malheureusement, il n'existe pas de technique unique permettant de se prémunir contre toutes les formes de codes malveillants, multiples par essence.

Afin de mettre à l'abri leurs données sensibles, bon nombre d'entreprises s'en remettent à un arsenal somme toute très « léger » en matière de technologies protectrices, tel que pare-feu(2) ou antivirus.

Notre recherche en la matière suggère plutôt qu'un système de protection « par strates » serait bien plus efficient à la fois pour se protéger des vers connus, mais aussi virtuellement, de ceux encore inconnus.

Cette conclusion, nous la tirons à la lumière de notre étude portant sur un vaste échantillon de vers informatiques ainsi que sur les mécanismes de protection associés.

Au coeur même de nos travaux se trouve l'élaboration d'un système descriptif des vers complété par une évaluation des mécanismes de protection.

Nous pensons que cette méthode délimite bien les caractéristiques essentielles des vers actuels de même que celles qui seront présentes à l'avenir.

Notre système a montré qu'aucun mécanisme de protection unique n'est en mesure de combattre efficacement tous les vers informatiques et qu'une approche « par strates » fournit une bien meilleure riposte.

Cette approche permet de se prémunir non seulement contre les vers, mais aussi contre toutes les autres formes de menaces telles que les « Chevaux de Troie », les « taupes » (3) ou encore contre des pirates qui ont découvert les mots de passe ou se sont déjà introduits dans les systèmes par l'intermédiaire de failles de code.

Cela renforce la sécurité en autorisant des solutions efficaces, ceci sans avoir même connaissance d'une attaque imminente.

De telles solutions anticipent aussi les infections dites de « type 0 » dont le but est de tirer profit de failles inconnues jusqu'ici.

Les protections réactives classiques telles qu'antivirus (à base de signatures) et systèmes automatiques d'application de correctifs sont certes encore nécessaires, mais elles sont inutiles dans le cas de vers à propagation rapide ou d'infection de « type 0 ».

De plus en plus, les vers sont devenus des « menaces multilatérales » : ils utilisent différentes méthodes de contamination. En effet, ils se dotent de stratégies complètes de propagation ceci leur permettant de mener à bien leur sinistre mission.

Les systèmes unilatéraux peuvent bloquer telles ou telles cibles d'infection, mais ne pourront pas toutes les endiguer.



Notre méthodologie a exigé d'étudier quelques un des vers informatiques les plus répandus, dévastateurs et technologiquement avancés de ces dernières années.

Nous avons développé une méthode de classification basée sur leurs caractéristiques propres que nous appelons les « fonctions vitales ». A partir de ces caractéristiques, nous avons identifié un socle commun de « modes d'infection », socle utilisé par les vers pour s'assurer de la « réussite » de leur infestation, de leur pérennité et de leur propagation.

Ces « modes d'infection » sont présentés sous forme de tableau (dits « matrice de défense « ) avec les techniques de protection (vaccins) associées.

Ce tableau montre que certaines de ces techniques sont réellement efficaces en ce qui concerne des fonctions vitales précises d'un ver informatique.

Cependant, pour s'assurer de la plus large et de la meilleure protection possible, il convient d'opter pour une solution complète de protection.

En la matière, les barrières traditionnelles périmétriques, tel que les pare-feu (2) doivent être épaulés par des systèmes de protection basés sur serveur.

Notre étude a disséqué les vers jusque dans les entrailles mêmes de leur code. Nous en avons passé en revue pas moins de 30 et relevé ainsi quelles étaient les conditions et formes indispensables à la réussite de leurs sinistres méfaits.

En tout dans notre échantillon, nous avons observé plus de 200 conditions distinctes.

Nous avons pu regrouper ces conditions dans 14 catégories, catégories que nous appelons les « modes d'infection ».

Nous pensons que si on arrive à bloquer ces 14 catégories, on neutralise un vers informatique.

Dans notre « matrice de défense », nous mettons face à face l'infection et son vaccin et nous montrons comment 11 techniques courantes de protection permettent de combattre efficacement un ver.

Cette matrice comporte le « modes d'infection » en ordonnée et le vaccin en abscisse et indique si celui-ci est capable d'identifier ou d'empêcher l'infestation.

Une croix signale son efficacité.

Sur ce tableau, les 4 premiers modes d'infection correspondent à la première étape du cycle de vie d'un ver, ce que nous appelons la fonction vitale d'infection.

C'est à ce moment que celui-ci monte en puissance dans sa prise de contrôle du système et exécute son code. Les modes restants peuvent, eux, s'appliquer à n'importe quel autre moment du cycle de vie du ver que ce soit pendant ses phases de pérennisation, de propagation ou de déploiement de sa charge active (4).

La matrice montre que certaines protections sont beaucoup plus efficaces pour empêcher une infection précise tandis que d'autres sont meilleures à des stades ultérieurs de la vie du ver.

La plupart des mécanismes de protection utilisés actuellement se concentrent sur la prévention de la contamination. Un pare-feu bien configuré et bien chaîné représente une méthode efficace dans ce cas de figure.

Malheureusement, comme on peut le constater dans la matrice, ce n'est pas suffisant.

La majorité des vers, dans notre échantillon, sont déclenchés par l'utilisateur lui-même en cliquant le fichier (5).

Les pare-feu (2) seuls ne peuvent pas identifier ce mécanisme d'infection du fait qu'à ce moment précis, ils n'ont aucun moyen d'interdire au ver l'accès au système.

Et il est irréaliste de croire que l'utilisateur lambda deviendra assez prudent pour ne pas lancer des fichiers inconnus.

On doit dès lors supposer que les vers pourront toujours contourner le périmètre de protection et continuer à prendre le contrôle d'un système, chose d'ailleurs qu'ils font déjà allègrement depuis 15 ans (sic).

Pour cette raison, des garde-fous doivent être installés de telle sorte qu'ils puissent neutraliser le ver dès le début de son activité.

Durant les phases de survie, de propagation et de déploiement de sa charge active (4), les vers ont généralement besoin de réaliser certaines tâches directement sur le serveur contaminé.

Des protections imbriquées au coeur même du serveur sont efficaces pour empêcher ce type d'actions nuisibles menées par les vers.

Seules ces protections sont assez « intelligentes » pour comprendre que les ressources du système sont utilisées par un ver.

La matrice montre que les dispositifs de protection contre l'intrusion basés sur un serveur doublés d'une configuration solide peuvent détecter et empêcher 12 des 14 « modes d'infection ».

Ces derniers offrent la meilleure protection durant les toutes premières phases du cycle de vie du ver.

Cette « politique coercitive » est une composante capitale de notre système de protection, car presque tous les vers trahissent un comportement anormal au regard d'un système sain.

Par exemple, les vers accaparent des ressources qui, en temps normal, ne sont utilisées que lors de l'installation d'un programme ou se trahissent en sollicitant ces mêmes ressources alors qu'elles doivent être réservées pour la communication du réseau.

Les outils offrant une protection durant les toutes premières phases du cycle de vie d'un ver conjugués à ceux prévenant une première infection représentent le meilleur arsenal de défense possible.



Cette étude nous a fourni un aperçu de la technologie déployée par les vers informatiques. Au cours de cette étude, nous en avons beaucoup examiné et nous avons ausculté leurs comportements. à partir de là, nous espérions être en mesure d'évaluer leur degré de sophistication et ainsi dégager une tendance pour les années à venir. à la vitesse à laquelle apparaissent les vers informatiques de par le monde et à la couverture médiatique dont ils font l'objet, on pourrait être enclin à croire que ce fléau est incontrôlable et que nous sommes totalement désarmés. Puisque beaucoup d'entre eux connaissent un « succès » mondial, l'on en a conclu qu'ils cachaient bien leur jeu. Trop souvent (et malheureusement), les administrateurs de réseau mettent en place des protections qui ne sont que réactives et qui ne couvrent pas toutes les données du problème.

Nous avons observé une certaine avance technologique des vers informatiques. Nous en avons vu à propagation rapide, à haut pouvoir destructeur, à cible déterminée, à contrôle distant et enfin à forte résistance (très difficile à vaincre) (6). à première vue, ces caractéristiques semblent être très poussées, mais en y regardant de plus près, cette sophistication n'a pas fait de bond considérable. Elle ne fait que suivre la technologie disponible actuelle. Dès qu'une nouvelle apparaît, comme les réseaux d'échange de fichiers, les concepteurs de vers informatiques l'utilisent à leurs fins pour mieux propager et contrôler leurs « progénitures ».

Si des concepteurs réellement novateurs écrivaient le code des vers, on pourrait s'attendre à voir ceux-ci exploiter des failles jusqu'ici inconnues de la communauté informatique. Le petit nombre de tels vers suggèrent plutôt que ces concepteurs profitent simplement des vulnérabilités inhérentes à Internet pour en assurer l'expansion. Nos résultats de recherche confirment cette thèse.

Les vers qui sont couramment réputés pour être les plus perfectionnés ne sont pas ceux qui embarquent le plus de technologie comme le contrôle distant, mais préférablement ceux qui possèdent toutes les propriétés d'un « bon ver informatique » (c'est-à-dire le pilotage à distance, le caractère pandémique, le ciblage, etc.). Le ver « Leave », par exemple, utilise plusieurs poches de contamination, est difficile à analyser, se sert de lignes de commandes et de canaux de contrôle avancé qui court-circuitent les pare-feu (2) et active un pilotage à distance pour chacune de ses cibles. Nos études de cas montrent que les différentes phases du cycle de vie de « Leave » ou d'autres vers peuvent être neutralisées au moyen de protections par strates.



Plusieurs sortes de vers sont apparues sur Internet (7) au cours des dernières années. Il est impossible de tous les étudier et nous avons donc sélectionné un échantillon qui, nous l'espérons, est représentatif de ce type de malveillance. Grâce à ce dernier, nous avons développé une méthode descriptive poussée de leurs caractéristiques communes, ce que nous appelons leurs « fonctions vitales ». Cette méthode n »est pas qu'utile pour décrire les vers actuels, elle l'est aussi pour ceux à venir.

Nous définissons les types de données collectées pour réaliser cette étude dans le paragraphe « Analyse du Ver » ci-dessous. L'échantillon de vers que nous avons choisi est répertorié dans le paragraphe « Vers Sélectionnés » et notre système descriptif est expliqué dans les paragraphes « Classification des Vers » et « Fonctions Vitales ».



Notre analyse ne porte que sur des vers tels que définis par Nazario [28] plutôt que sur d'autres types de codes viraux. La distinction entre vers et virus est rapidement devenue floue, et pour notre part, nous estimons qu'un programme ayant la capacité d'infecter d'autres systèmes de manière automatisée mérite le qualificatif de ver informatique. Mais nous admettons que des vers peuvent aussi être déclenchés par des moyens non automatiques. Dans chaque cas, nos mesures de protection permettent de s'en prémunir et il en est de même des virus ou comme de tout autre type de codes malveillants.

Nous avons collecté des informations portant sur 30 vers différents ayant sévi sur l'Internet (7) au cours des 2 dernières années. La plupart de ces données proviennent de fournisseurs de logiciels d'antivirus (8) et de notes descriptives proposées dans leurs sites. La partie restante a été glanée à partir d'études portant sur des virus bien particuliers et dans nos travaux.

Nous nous sommes attachés à rassembler des données répondant aux interrogations suivantes :

  • Quels types de vulnérabilités un ver exploite-t-il ?

  • à quelle vitesse se répand-il ?

  • Comment évite-t-il les détections ?

  • Possède-t-il un mécanisme de pilotage et de contrôle à distance ?

  • Quelles sont les spécifications et conditions requises de son « succès » ?

  • Est-il difficile à analyser ?

  • A-t-il un code complexe ?

  • Quelles traces laisse-t-il après avoir infecté un système ?

  • Possède-t-il de sévères effets secondaires ?



A partir de notre échantillon, nous avons choisi des exemples qui nous semblent être représentatifs de l'univers, toujours en mutation, des codes malveillants.

Nous avons sélectionné des vers à fort pouvoir de propagation, techniquement novateurs et perfectionnés, ou des vers considérés comme étant les plus destructeurs d'infrastructures de réseau.

En optant pour un tel échantillon, représentatif de ce qui se fait actuellement, nous croyons pouvoir prédire les avancées technologiques que les futurs vers informatiques contiendront.

Ci-dessous, vous trouverez une liste de vers sélectionnés accompagnée d'une brève description justifiant leur acceptation :

  • BADRANTS : Ver de type Win32 se propageant grâce au protocole MAPI. Il divulgue les données d'utilisateur, les mots de passe ainsi qu'un journal contenant les frappes sur clavier.

  • BLASTER/LOVSAN/MSBLAST [16] - Ver de type Win32 exploitant le débordement de mémoire tampon du RPC DCOM de Microsoft. Il tenta une attaque par déni de service (DDOS) contre le site Internet de Microsoft (windowsupdate.com), site fournissant des correctifs pour failles logicielles.

  • BUGBEAR/TANATOS [17] - Similaire à BADTRANS, mais avec quelques fonctionnalités supplémentaires. Il désactive les logiciels d'antivirus, se propage grâce aux réseaux de partage et surcharge les imprimantes en réseau. Il contient aussi des mécanismes de protection tels que la compression UPX et un fichier infectieux polymorphique.

  • CODERED [13,15] – Ver de type Win32 attaquant les serveurs IIS de Microsoft Windows. Il fut l'un des tout premiers vers à sortir hors du cercle très fermé des spécialistes en sécurité informatique du fait de sa vitesse et de son efficacité à se propager.

  • DUMARU – Ver de type Win32 infectant tous les exécutables présents à la racine du disque dur du système contaminé, et ce grâce à des flux de données alternatives (9) lui permettant de morceller et masquer sa charge active. Il contient son propre moteur SMTP et se présente à l'utilisateur comme un simple correctif émanant de Microsoft.

  • ETAP/SIMILE [18] – Ver multiplateforme contaminant à la fois les exécutables de type Windows (PE), Linux et Linkable Format (LE). Il utilise une technique furtive comme point d'entrée ainsi qu'un fichier infectieux polymorphique sophistiqué pour leurrer les logiciels d'antivirus.

  • FRETHEM – Ver de type Win32 téléchargeant des lignes de commandes à partir d'un site Internet en vue de modifier son comportement. Il se sert de son propre moteur SMTP et utilise des méthodes de tromperie et de manipulation (1) lui permettant de voler les noms d'utilisateurs et les mots de passe.

  • GIBE/SWEN [19] – Ver de type Win32 transitant par l'intermédiaire des courrielleurs et qui se présente à l'utilisateur comme un correctif de sécurité de Microsoft.

  • HLLW.CAKE – Ver de type Win32 se propageant au travers de différents réseaux de partage comme KaZaA, Grokster et iMesh. Protégé par une compression antitampon - Elock.

  • JONBARR/PEPEX - Ver d'envoi de courrier en masse utilisant son propre moteur SMTP et se présentant comme un correctif de sécurité de Microsoft. Il se propage au travers de différents réseaux de partage comme KaZaA, eDonkey 2000, Morpheus et mIRC.

  • KLEZ [20] – Un ver de type Win32 très répandu qui usurpe des adresses de courriel réelles, désactive les logiciels d'antivirus et infecte les fichiers compressés. Se fait passer pour un correctif d'antivirus.

  • LION [21] — Virus Linuxien qui se propage en utilisant une faille connue dans BIND.

  • LEAVE - Ver de type Win32 qui utilise une porte dérobée préexistante pour infecter un système. Se sert de diverses lignes de commandes et canaux de contrôle cryptés.

  • LOVELETTER/ILOVEYOU – Ver de courriel écrit en Visual Basic qui utilise une méthode de tromperie particulièrement efficace.

  • MAGISTR – Ver de type Win 32 dont la charge active efface le BIOS et les secteurs du disque dur. Il intègre une protection sophistiquée, un système d'antidébogage et désactive le pare-feu Zone Alarm.

  • MIMAIL - Ver d'envoi de courrier en masse très puissant qui recherche des fichiers d'utilisateurs comme cibles potentielles et utilise différentes techniques de piratage comme charge active.

  • MEXER.D – Ver de type Win32 se propageant par l'intermédiaire de différents réseaux de partage comme KaZaA et iMesh. Il tente aussi de télécharger sa charge active à partir d'un site Internet désigné dans son code.

  • MYPARTY – Ver d'envoi de courrier en masse de type Win32 qui ouvre une porte dérobée à l'intérieur du système infecté.

  • NIMDA - Ver de type Win32 sophistiqué, à fort pouvoir de propagation et qui utilise des agents infectieux à la fois chez le client et sur le serveur.

  • NACHI - Virus de type Win32 qui utilise la même technique de piratage que Blaster pour supprimer les infections (celles de Blaster) et colmater les systèmes vulnérables.

  • NEROMA - Ver encodé en VisualBasic qui se sert d'OutLook pour s'envoyer en faisant référence aux attentats du 11 septembre (il utilise cette date dans les en-têtes des ses messages infectés).

  • RECOVERY - Ver de type Win32 qui s'installe automatiquement dans le système de fichier local et se propage en se faisant passer pour un outil d'antivirus.

  • RAMEN [22] - Ver Linuxien qui rassemble un nombre de failles connues des services Linux comme le Wuftp, le LPRng et le rpc.statd.

  • REPAD - Ver de type Win32 se propageant au travers du réseau KaZaA.

  • SOBIG.F - Ver de type Win32 qui récolte des adresses de courriel dans les machines contaminées et qui est connu pour utiliser l'envoi massif de pourriels comme moyen de propagation grâce à son propre moteur SMTP. Il tente de télécharger son code à partir d'un parc de machine à heures prédéterminées.

  • SLAMMER [31] - Ver de type Win32 qui exploite une faille du Serveur SQL de Microsoft pour se propager. Il se répand très rapidement et infecte 90 % des machines vulnérables en 10 minutes.

  • SPIDA - Ver écrit en Javascript qui utilise des noms d'utilisateurs et des mots de passe par défaut nettement trop communs.

  • STRANO - Code malveillant se propageant au travers des canaux d'IRC et contaminant les documents Word.

  • VOTE.K - Ver d'envoi de courrier en masse particulièrement destructeur écrit en VisualBasic. Utilise le carnet d'adresses d'Outlook Express et KaZaA pour se propager.

  • YAHA - Un ver prolifique d'envoi de courrier en masse qui désactive les antivirus et les pare-feu.



  • "Papier de vers" ("Papier de verre"), est un jeu de mots d'Assiste.com - il n'a pas d'équivalant en anglais.
    Papier de verre se dirait "Sandpaper".
    WormPaper se traduirait, normalement, par " Note sur les vers informatiques ".

  • (1) Note du traducteur
    Le terme de « social engineering » signifie chez nous « tromperie par manipulation » au sens de manipulation de l'esprit : on parle par exemple de « charity engineering technique » pour désigner ceux qui trompent leurs donateurs en détournant l'argent pour leur propre compte, le terme est ici un dérivé. L'expression courante est " Ingénierie sociale " ou " élicitation ".

  • (2) Note du traducteur
    J'ai découvert que les 2 orthographes au pluriel étaient admises, celle que j'ai employé étant même recommandée.

  • (3) Note du traducteur
    Ici, c'est dans le sens d'agent double, personne qui trahis son camp. Je vous laisse le choix du néologisme.

  • (4) Note du traducteur
    « Payload » en anglais veut dire « charge explosive d'un engin ». On dit aussi par exemple d'un super concert de rock « that was a payload !!! » pour dire « c'était de la bombe !!! ». Pour éviter la confusion avec les virus, distinction que font les auteurs, nous avons utilisé le terme militaire français équivalent, « charge active » déjà employé à travers tout le site Assiste.com, plutôt que celui de « charge virale ».

  • (5) Note du traducteur
    J'ai découvert que le Français admettait les 2 formes transitives : on peut donc dire au choix « cliquer le fichier » ou « cliquer sur le fichier ». La première me semble plus française.

  • (6) Note du traducteur
    Ici, le sens de « heavily armored » doit être pris par analogie médicale, comme un microbe on dit qu'il est « résistant », etc.

  • (7) Note du traducteur
    Une ambiguïté classique de syntaxe. Chez nous, on ne peut dire que « To surf on the Internet » alors qu'en français on accepte « naviguer dans (sur) (l') Internet » (ce qui est faux, d'ailleurs, car on ne navigue jamais sur l'Internet mais sur le Web, qui n'est que l'un des usages de l'Internet).

  • (8) Note du traducteur
    Encore une faute de syntaxe qui me surprend toujours. Il y a une manie à vouloir copier la forme anglaise et supprimer le « de ». Comme on ne dit pas, un « logiciel comptabilité » mais un « logiciel de comptabilité », et bien ici c'est pareil.

  • (9) ADS - Alternate Data Stream - Metadata
    Pour en savoir plus, voir cette page
    ADS - Alternate_Data_Stream

  • Révision - 04.05.05



  • Papier de vers