Ce nouveau rapport trimestriel n'évoque pratiquement pas les programmes malveillants mais est consacré au domaine plus large de la sécurité des données, aux problèmes liés à Internet, aux nouvelles technologies et aux vulnérabilités. C'est dans ces secteurs que doivent désormais travailler les éditeurs de logiciels antivirus.

Sans aucun doute, les événements qui se sont produit en Estonie vont marquer l'année 2007. Fin avril, début mai, des dizaines de serveurs estoniens subissaient des attaques. Tout a commencé mi-avril lorsque le gouvernement estonien prit la décision d'enlever un monument dressé sur une des places centrales de Tallin à la mémoire des soldats soviétiques morts pendant la libération de l'Estonie, durant la seconde guerre mondiale. Cette décision suscita une vive réaction de la Russie, et entraîna une dégradation des relations politiques entre les deux pays. Les sites Internet de la présidence, du Premier ministre, du Parlement, de la police et d'autres ministères estoniens ont été pris d'assaut par un nombre gigantesque de requêtes émanant de milliers d'ordinateurs répartis dans le monde entier. Au cours de celle-ci, plus d'une dizaine de sites Internet estoniens furent victimes d'attaques par déni de service.

Les politiques estoniens déclarèrent que les cyber-criminels agissaient depuis la Russie et notamment à l'aide d'ordinateurs d'organisations gouvernementales. Pour la première fois, le terme cyber-guerre était prononcé à un très haut niveau. L’Estonie a proposé à l’OTAN de résoudre prochainement la question liée à la reconnaissance des attaques cybernétiques en tant qu'actes de guerre.

Que s'est-il passé sur le réseau Internet russophone durant ces quelques jours ? Dès que les confrontations avec la police commencèrent à Tallin, de nombreux internautes russes qui n'avaient pas les moyens d'exprimer en personne leur opposition décidèrent d'utiliser la seule méthode qui s'offrait à eux, à savoir une protestation via le réseau. Ils allaient participer à des attaques par déni de service. Divers forums et sites commencèrent à proposer une variété de programmes qui envoyaient un nombre infini de requêtes vers les sites estoniens. N'importe qui pouvait télécharger ce genre de programme et l'installer sur son ordinateur. Du point de vue technologique, il s'agit d'un réseau de zombies. La seule différence étant ici le caractère volontaire du réseau, créé avec l'accord des utilisateurs des ordinateurs qui savaient ce qu'ils faisaient. Bien entendu, un pourcentage des attaques a été mené depuis des réseaux zombies « authentiques » composés de machines préalablement infectées, mais il ne faut pas sous-estimer la puissance de l'attaque « manuelle ».

Rien ne permet de prouver que les structures gouvernementales russes soit derrière tout cela. Toutefois La communauté informatique internationale joue désormais avec les mots « cyber-guerre » et « cyber-terrorisme » et pour la première fois de l'histoire, des hommes politiques, des militaires et des experts informatiques du monde entier ont abordé un sujet qui n'était que virtuel jusqu'à ce jour : la cyberguerre.

Alors que les moteurs de recherche et les gouvernements du monde tentent de limiter de différentes manières l'accès aux informations sur Internet sur la fabrication de bombes, les questions liées au cyber-terrorisme ne sont pas traitées comme il le faudrait au vu de la situation réelle. Kaspersky Lab estime depuis toujours que la publication d'articles et les débats sur les méthodes permettant de mettre des objets vitaux hors service n'est pas une pratique acceptable. Il ne fait aucun doute que les informations de ce genre peuvent pousser divers groupes extrémistes à réaliser des expériences sur la réalisation de tels scénarios. La boîte de Pandore est ouverte.

iPhone. L'événement le plus marquant du deuxième trimestre 2007 fut l'arrivée sur le marché de l'iPhone, le téléphone portable d'Apple. En fait, iPhone est déjà très populaire alors que les chiffres de vente absolus ne sont pas encore élevés (270 000 exemplaires ont été vendus depuis son lancement le 29 juin 2007). Selon les analystes, ce chiffre devrait atteindre 13,5 millions d'iPhone vendus d'ici un an et demi. Il est évident que les 13,5 millions d'iPhone prévus d'ici la fin 2008 peuvent être comparés aux 15 millions d'appareils Symbian de 2004. Sur la base de ces informations, nous pouvons en déduire que c'est en 2008 que les virus deviendront une réalité pour l'iPhone mais il ne s'agira pas de vers. Il est plus probable de voir des virus de fichiers traditionnels ainsi que divers types de chevaux de Troie. Mais, la principale menace pour les utilisateurs de l'iPhone portera sur les différentes vulnérabilités qui peuvent être utilisées par les cyber-criminels pour accéder aux données sur le téléphone.

Mpack. Vers la mi-juin, les magazines spécialisés ont publié des informations troublantes en provenance d'Italie. Quelques milliers de sites italiens étaient à l'origine de la propagation de programmes malveillants. En l'espace de quelques jours, plus de 6 000 serveurs dont les pages contenaient quelques lignes de code HTML qui n'avaient pas été introduites par les propriétaires de ces sites furent découverts. Ces lignes ressemblaient à peu près à ceci (il existe différentes variantes où la taille de la fenêtre iframe (widht\height) est égale à zéro, un et ainsi de suite) :

Les experts de Kaspersky Lab connaissent ces lignes depuis quelques années déjà : il s'agit d'une construction typique pour l'utilisation de divers codes d'exploitation des vulnérabilités dans les navigateurs. L'individu mal intentionné place la sélection de codes d'exploitation sur son propre site. Sa principale tâche ensuite consiste à attirer les victimes. Pour résoudre ce problème, il utilise d'autres sites. Le cyber-criminel parvient, d'une manière ou d'une autre à accéder à d'autres sites. Il utilise généralement des comptes d'accès volés antérieurement par un cheval de Troie. Ensuite, il ajoute à toutes les pages de ce site la balise iframe qui conduira l'internaute vers le site infecté. En général, c'est un programme du type Trojan-Downloader qui est installé. Il sera ainsi possible à l'avenir de télécharger des virus et des vers jusqu'aux logiciels espions en passant par les portes dérobées, etc.

Ce qui pour nous fut une surprise est le fait que Mpack dépassa les frontières de la Russie et fut utilisé en Italie. En voici les raisons :

• Mpack fut créé en Russie et était vendu par des pirates russes à des pirates russes ;
• Ses auteurs sont les mêmes personnes qui ont participé activement à la création et au soutien d'un autre cheval de Troie répandu : LdPinch ;
• Il existe sur le marché noir quelques autres codes d'exploitation aux fonctions similaires : Q406 Roll-up package, MDAC, WebAttacker, etc. Ils ont tous une « pénétration » supérieure à celle de Mpack.

Le principal problème, selon nous, est que les auteurs de Mpack ne peuvent pas être tenus légalement responsables. Officiellement Ils se contentent de prendre des codes d'exploitation, découverts par d'autres personnes, dans des sources ouvertes que sont les centaines de sites consacrés à la sécurité des données. Ils ne font que rassembler ces codes d'exploitation au sein d'une sélection et ne sont pas responsables de l'utilisation qui en est faite. Nous sommes confrontés ici à un problème ancien: la publication de vulnérabilités est-elle un acte utile ou nuisible ? Nous présenterons prochainement notre position sur tout ce qui se passe actuellement autour des concepts de « chapeaux blancs » et « chapeaux noirs ».

Au milieu du mois de mai, nous avons découvert 3 versions d'un nouveau cheval de Troie pour téléphones portables, Trojan-SMS.SymbOS.Viver qui envoie des SMS payants vers un numéro à tarif élevé. Suite à ces opérations, une certaine somme d'argent est débitée du compte du propriétaire du téléphone et transférée à l'individu mal intentionné. Nous avons enregistré trois nouveaux incidents au mois de mai. Cela montre une fois de plus que les technologies modernes appliquées aux appareils nomades attirent de plus en plus l'attention des cyber-criminels. Nous ne disposons malheureusement pas de statistiques identiques pour la majorité des pays étrangers et les éditeurs de logiciels antivirus étrangers n'ont signalé aucun cas de ce genre. Nous pouvons difficilement croire que ce problème touche exclusivement la Russie.

Les événements les plus marquants du deuxième trimestre présentés dans ce rapport vont alimenter de nombreuses réflexions mais ils n'apporteront pas la réponse à la question portant sur la direction que vont prendre les virus et les menaces informatiques. Malgré l'introduction de nouveaux systèmes d'exploitation (Vista), de nouveaux services (contenu pour appareils nomades) ou de nouveaux appareils (iPhone), les cybercriminels manquent d'initiatives et continuent à utiliser des méthodes éprouvées pour porter atteinte aux utilisateurs. De plus, nous remarquons également un retour « aux sources » plus marqué : les attaques par déni de service et l'introduction dans les systèmes via les failles de navigateurs connaissent une recrudescence. La seule différence entre la période actuelle et celle que nous avons connue il y a trois ans est peut-être le fait que le courrier électronique, en tant que vecteur de diffusion des virus, cède de plus en plus de terrain face au système de messagerie instantanée. Il convient de citer également la croissance explosive des chevaux de Troie qui attaquent les utilisateurs de jeux en ligne. Les menaces ne deviennent pas plus intelligentes. Il y a eu un développement et nous ne pouvons pas encore identifier ce qui va jouer le rôle de catalyseur pour une modification globale des virus dans un avenir proche,

Les éditeurs de logiciels antivirus ont considérablement améliorés leurs technologies, en ont développé de nouvelles et ils continuent leurs recherches. Les utilisateurs actuels de logiciels antivirus sont mieux protégés qu'il y a deux ans. La durée de vie moyenne « dans la nature » de la majorité des programmes malveillants se compte en heures, rarement en jour.

Ceci étant dit, nous allons tenter de présenter un pronostic à court terme. Les individus mal intentionnés vont tenter de quitter les sentiers battus en matière de lutte contre les solutions antivirus. Ils vont délaisser le contournement du logiciel antivirus au profit d'une activité dans les domaines qui ne sont pas encore couverts par les logiciels antivirus de qualité ou pour lesquelles aucune protection n'est possible pour une raison quelconque. Nous estimons que le nouveau front de cette bataille va comprendre les services de jeux en ligne, les blogs, les systèmes de messagerie instantanée et les réseaux d'échange de fichier.