Les infections informatiques : analogie avec le monde biologique

Transcription

1 Les infections informatiques : analogie avec le monde biologique Chef de bataillon Eric Filiol. efiliol@esat.terre.defense.gouv.fr Laboratoire de virologie et de cryptologie Ecole Supérieure et d Application des Transmissions p.1/22

2 Introduction p.2/22

3 Introduction Le risque infectieux informatique est récent : 30 ans d existence. p.2/22

4 Introduction Le risque infectieux informatique est récent : 30 ans d existence. Existence d une volonté maligne : les pirates informatiques. p.2/22

5 Introduction Le risque infectieux informatique est récent : 30 ans d existence. Existence d une volonté maligne : les pirates informatiques. La défense évolue moins vite que la menace. p.2/22

6 Introduction Le risque infectieux informatique est récent : 30 ans d existence. Existence d une volonté maligne : les pirates informatiques. La défense évolue moins vite que la menace. Faillite du monde logiciel : vulnérabilités, efficacité limitée des antivirus. p.2/22

7 Introduction Le risque infectieux informatique est récent : 30 ans d existence. Existence d une volonté maligne : les pirates informatiques. La défense évolue moins vite que la menace. Faillite du monde logiciel : vulnérabilités, efficacité limitée des antivirus. Problème général d hygiène informatique et de santé informatique. p.2/22

8 Plan p.3/22

9 Plan Introduction - Historique. p.3/22

10 Plan Introduction - Historique. Terminologie. p.3/22

11 Plan Introduction - Historique. Terminologie. Cycle de vie et modes d infection. p.3/22

12 Plan Introduction - Historique. Terminologie. Cycle de vie et modes d infection. Détection et éradication. Analogie biologique/informatique. p.3/22

13 Plan Introduction - Historique. Terminologie. Cycle de vie et modes d infection. Détection et éradication. Analogie biologique/informatique. Enjeux - Risques - Evolution du risque. p.3/22

14 Plan Introduction - Historique. Terminologie. Cycle de vie et modes d infection. Détection et éradication. Analogie biologique/informatique. Enjeux - Risques - Evolution du risque. Conclusion. p.3/22

15 Historique : les bases de la formalisation p.4/22

16 Historique : les bases de la formalisation A. M. Turing (1936) : formalisation de la notion de programmes. p.4/22

17 Historique : les bases de la formalisation S. C. Kleene (1938) : fonctions récursives. Théorème de récursion : Théorème 0 Pour toute fonction récursive totale f : N N, il existe un entier e tel que ϕ e (.) = ϕ f(e) (.). p.4/22

18 Historique : les bases de la formalisation John von Neumann (1966) : les automates auto-reproducteurs. Modélisation mathématique du vivant. Réalisation d un tel automate mais énorme complexité. p.4/22

19 Historique : les bases de la formalisation E. F. Codd (1968), C. G. Langton (1984), J. Byl (1989), M. Ludwig (1993)... ont construit des automates auto-reproducteurs plus simples. p.4/22

20 Historique : formalisation des virus Existence de résultats théoriques fondamentaux : p.5/22

21 Historique : formalisation des virus Existence de résultats théoriques fondamentaux : Travaux de Fred Cohen ( ) Travaux de formalisation des virus. Non-décidabilité de la détection virale Notion de virus évolutifs. Etudes de propagation. Modèles de sécurité : le seul modèle de protection efficace est le modèle isolationniste. p.5/22

22 Historique : formalisation des virus Existence de résultats théoriques fondamentaux : Travaux de Leonard Adleman (1989) : Définition et classification formelle des infections informatiques. Résultats de complexité sur la détection virale. L ensemble de tous les virus est NP NP -complet. Soit un virus v fixé. L ensemble des programmes infectés par v est NP -complet. p.5/22

23 Historique : formalisation des virus Existence de résultats théoriques fondamentaux : Chess - White (2000) : Non seulement, il n existe pas de programme permettant de détecter tous les virus sans fausse alarme mais il existe également des virus tels que, même disposant d une de leurs copies et l ayant analysée complètement, il reste toujours impossible d écrire un programme détectant ce virus particulier, ce sans fausses alarmes. p.5/22

24 Historique : formalisation des virus Existence de résultats théoriques fondamentaux : Z. Zuo & M. Zhou (2004) : détermination des complexités d ensembles viraux particuliers, preuve de l existence de virus polymorphes possédant un nombre infini de formes. p.5/22

25 Historique : apparition des virus p.6/22

26 Historique : apparition des virus Premier virus officiel : 1983 (machine VAX/PDP-11 sous Unix/VMS). Armée américaine : premières études pratiques (non publiées). p.6/22

27 Historique : apparition des virus Virus JERUSALEM : Virus palestinien (?) affectant les exécutables. Mise en évidence par les israëliens apres infection d ordinateurs de la défense israëlienne Ver Internet : 6000 machines touchées. p.6/22

28 Historique : apparition des virus Virus d exécutables : Alabama - AIDS - Cascade - Dark Avenger - Datacrime - JERUSALEM - Lehigh - Saturday the 14th... Virus de boot (apparition en 1986) : Brain - Disk Killer - Michelangelo, Stoned... p.6/22

29 Historique : apparition des virus 1990s - Apparition des moteurs de mutation (Dark Avenger Mutation Engine - Bulgarie) Apparition des générateurs de virus (Virus creation Lab) Apparition des virus de documents (Macro virus) Nouvelle génération de virus d exécutables. p.6/22

30 Historique : apparition des virus Macro ver Melissa Ver I LOVE YOU (ver d s) Année des vers et apparition de virus pour Palm pilot : les attaques par ver s intensifient Virus et vers pour téléphones portables (Cabir/Duts). p.6/22

31 Taxonomie - Terminologie Infections informatiques Simples Autoreproductrices Bombes logiques Chevaux de Troie Vers Virus Pas de vocabulaire normalisé. p.7/22

32 Taxonomie - Terminologie Virus.- Programme se propageant par recopie de son propre code dans des cibles préalablement choisies. Comporte des fonctions de recherche, de copie et de lutte anti-antivirale. p.7/22

33 Taxonomie - Terminologie Virus.- Programme se propageant par recopie de son propre code dans des cibles préalablement choisies. Comporte des fonctions de recherche, de copie et de lutte anti-antivirale. Vers.- Peut-être vu comme un virus orienté réseau. La différence éventuelle avec un virus réside dans le fait que le ver n est pas nécessairement attaché à un fichier (CodeRed) et peut être un simple processus se dupliquant (appels à fork() ou exec()). p.7/22

34 Taxonomie - Terminologie (2) p.8/22

35 Taxonomie - Terminologie (2) Bombe logique.- Programme résident dont la charge finale est activée en fonction d un ou plusieurs paramètres fournis par le système ou ses entrées/sorties. Effet à retardement plus ou moins grand. p.8/22

36 Taxonomie - Terminologie (2) Bombe logique.- Programme résident dont la charge finale est activée en fonction d un ou plusieurs paramètres fournis par le système ou ses entrées/sorties. Effet à retardement plus ou moins grand. Cheval de Troie.- programme composé de deux parties, le module serveur et le module client. Le module serveur, installé dans l ordinateur de la victime, donne discrètement accès à tout ou partie de ses ressources à l attaquant, qui en dispose via le réseau, grâce à un module client. p.8/22

37 Taxonomie - Terminologie (3) Fonctionnalités anti-antivirales : p.9/22

38 Taxonomie - Terminologie (3) Fonctionnalités anti-antivirales : Furtivité.- Capacité à leurrer toute surveillance du système (humaine ou logicielle) en vue de faire croire à l absence d infection. p.9/22

39 Taxonomie - Terminologie (3) Fonctionnalités anti-antivirales : Furtivité.- Capacité à leurrer toute surveillance du système (humaine ou logicielle) en vue de faire croire à l absence d infection. Polymorphisme.- Capacité à automodifier tout ou partie de son propre code (chiffrement, réécriture) afin de leurrer les tentatives de détection par analyse de forme. p.9/22

40 Taxonomie - Terminologie (3) Fonctionnalités anti-antivirales : Furtivité.- Capacité à leurrer toute surveillance du système (humaine ou logicielle) en vue de faire croire à l absence d infection. Polymorphisme.- Capacité à automodifier tout ou partie de son propre code (chiffrement, réécriture) afin de leurrer les tentatives de détection par analyse de forme. Blindage.- Capacité plus ou moins grande du code à résister à l analyse par désassemblage/debugging (Whale Bradley 2004). p.9/22

41 Cycle de vie p.10/22

42 Cycle de vie Phase de conception - Existence d un créateur. pas de génération spontanée, problème de bugs et d erreur de conception, dissémination selon différents moyens. Utilisation d ingénierie sociale. p.10/22

43 Cycle de vie Phase d infection - La transmission d un virus peut se produire de deux manières différentes : Passivement : le programme infecté est simplement transmis et/ou copié ( s, programmes, documents...). Activement : le programme hôte est lancé et le virus en profite pour se dupliquer vers d autres cibles. Notion d organe cible (fichiers exécutables, documents, zones particulières...). p.10/22

44 Cycle de vie Phase d incubation - Plus grande partie de la vie d un virus (sauf pour virus espion) dont la mission principale est d assurer sa survie tant qu il n est pas activé. Utilisation du camouflage, de la furtivité et du polymorphisme. Multiplication des copies. p.10/22

45 Cycle de vie Phase de maladie - Exécution d une charge finale. Son déclenchement dépendra de nombreux facteurs (date système, nombre d infections réalisées...). Effets variables. Effets non léthaux (message, musique, image...). Effets léthaux (formatage de disque, altérations sélectives de données...). Effets de masse ou insidieux et sélectifs. p.10/22

46 Cycle de vie Phase d éradication - Action antivirale. Première identification. Etude et analyse du code. Création d une signature ou équivalent (update/upgrade de l antivirus). Diffusion de la mise à jour. Sensibilisation. p.10/22

47 Diagramme fonctionnel p.11/22

48 Diagramme fonctionnel Un virus comprend toujours les trois parties suivantes : Routine de recherche des fichiers pouvant être infectés. Elle détermine l efficacité de reproduction du virus (vitesse, portée, précision...) p.11/22

49 Diagramme fonctionnel Un virus comprend toujours les trois parties suivantes : Routine de recherche des fichiers pouvant être infectés. Elle détermine l efficacité de reproduction du virus (vitesse, portée, précision...) Routine de copie. Doit être suffisamment sophistiquée pour que le virus ne soit pas détecté. p.11/22

50 Diagramme fonctionnel Un virus comprend toujours les trois parties suivantes : Routine de recherche des fichiers pouvant être infectés. Elle détermine l efficacité de reproduction du virus (vitesse, portée, précision...) Routine de copie. Doit être suffisamment sophistiquée pour que le virus ne soit pas détecté. Routine d antidétection. p.11/22

51 Diagramme fonctionnel Un virus comprend toujours les trois parties suivantes : Routine de recherche des fichiers pouvant être infectés. Elle détermine l efficacité de reproduction du virus (vitesse, portée, précision...) Routine de copie. Doit être suffisamment sophistiquée pour que le virus ne soit pas détecté. Routine d antidétection. La charge finale est accessoire et ne constitue pas fondamentalement une partie d un virus. p.11/22

52 Mécanismes d infection p.12/22

53 Mécanismes d infection Infection par écrasement d une partie du code de l hôte. En tete Code En tete Virus Virus Code + data Reliquat cible Programme cible Programme corrompu p.12/22

54 Mécanismes d infection Infection par ajout de code. Execution 1 Virus 2 Cible Cible+virus p.12/22

55 Mécanismes d infection Infection par accompagnement de code. Exec. 1 2 virus copie virale cible cible virus p.12/22

56 Mécanismes d infection Diverses autres techniques : Entrelacement de code (infecteur de PE). Infection de codes source. p.12/22

57 Modes d infection p.13/22

58 Modes d infection Très nombreux moyens de déclencher et de propager une infection : p.13/22

59 Modes d infection Très nombreux moyens de déclencher et de propager une infection : Echanges de fichiers : par support amovibles (CDROM, clefs USB, disquette...), échange via le réseau et le courrier ( s, ftp, partage de fichiers...), échange peer to peer, téléchargement sur sites à risques... p.13/22

60 Modes d infection Très nombreux moyens de déclencher et de propager une infection : Informatique mobile : Mise en connexion indirecte entre WAN et LAN, Connexion de palm, pocketpc, téléphone... Informatique embarquées (imprimantes, photocopieurs...). p.13/22

61 Modes d infection Très nombreux moyens de déclencher et de propager une infection : Utilisation forte et systématique de l ingénierie sociale : goûts et attirance des utilsateurs (jeu, sexe, humour...), comportements à risque des utilisateurs, laxisme et manque de conscience professionnelle p.13/22

62 Modes d infection Très nombreux moyens de déclencher et de propager une infection : Carences et vulnérabilités : Défaut d administration et de paramétrage. Nombreuses vulnérabilités. p.13/22

63 Modes d infection Très nombreux moyens de déclencher et de propager une infection : Problème général de : choix logiciels, hygiène informatique. p.13/22

64 La détection p.14/22

65 La détection Les antivirus ne peuvent détecter tous les virus. Situation de réaction. p.14/22

66 La détection Les antivirus ne peuvent détecter tous les virus. Situation de réaction. Corollaire : il est toujours possible de leurrer un antivirus. p.14/22

67 La détection Les antivirus ne peuvent détecter tous les virus. Situation de réaction. Corollaire : il est toujours possible de leurrer un antivirus. Notion de rétrovirus : utilisation des faiblesses ou des limitations des antivirus en vue de leur contournement. p.14/22

68 La détection Les antivirus ne peuvent détecter tous les virus. Situation de réaction. Corollaire : il est toujours possible de leurrer un antivirus. Notion de rétrovirus : utilisation des faiblesses ou des limitations des antivirus en vue de leur contournement. Utilisation de nouvelles techniques virales. p.14/22

69 Techniques antivirales Techniques statiques : p.15/22

70 Techniques antivirales Techniques statiques : Analyse de signatures. p.15/22

71 Techniques antivirales Techniques statiques : Analyse de signatures. Analyse spectrale. p.15/22

72 Techniques antivirales Techniques statiques : Analyse de signatures. Analyse spectrale. Contrôle d intégrité. p.15/22

73 Techniques antivirales Techniques statiques : Analyse de signatures. Analyse spectrale. Contrôle d intégrité. Analyse heuristique. p.15/22

74 Techniques antivirales Techniques statiques : Analyse de signatures. Analyse spectrale. Contrôle d intégrité. Analyse heuristique. Techniques dynamiques. p.15/22

75 Techniques antivirales Techniques statiques : Analyse de signatures. Analyse spectrale. Contrôle d intégrité. Analyse heuristique. Techniques dynamiques. Analyse comportementale. p.15/22

76 Techniques antivirales Techniques statiques : Analyse de signatures. Analyse spectrale. Contrôle d intégrité. Analyse heuristique. Techniques dynamiques. Analyse comportementale. Emulation de code. p.15/22

77 Prophylaxie et hygiène informatique Par des règles simples il est possible de se prémunir contre la plupart des risques d infection virales. p.16/22

78 Prophylaxie et hygiène informatique Prophylaxie : Choix raisonné des logiciels. Entretien des logiciels. Veille technologique indispensable. p.16/22

79 Prophylaxie et hygiène informatique Hygiène utilisateur : Eviter les conduites informatiques à risques. Ne pas mélanger informatique familiale et professionnelle. Se former. Sensibiliser autrui. p.16/22

80 Prophylaxie et hygiène informatique Créer un SAS entre le système à protéger et le monde extérieur. Imposer aux nouveaux logiciels une période de quarantaine (utilisation d une machine dédiée à la quarantaine). Sauvegarde fréquente des fichiers de données du système. p.16/22

81 Analogies biologique/informatique p.17/22

82 Analogies biologique/informatique Virus biologiques Attaques spécifiques de cellules Les cellules touchées produisent de nouveaux virus Modification de l information génétique de la cellule Virus informatiques Attaques spécifiques de format Le programme infecté génère d autres programmes viraux Modification des actions du programme p.17/22

83 Analogies biologique/informatique Virus biologiques Le virus utilise les structures de la cellule hôte pour se multiplier Interactions virales Multiplication uniquement dans des cellules vivantes Virus informatiques Multiplication uniquement via un programme infecté Virus binaires ou virus anti-virus Nécessité d une exécution pour la dissémination p.17/22

84 Analogies biologique/informatique Virus biologiques Une cellule infectée n est pas surinfectée par le même virus Rétrovirus Mutation virale Porteur sain Antigènes Virus informatiques Lutte contre la surinfection Virus luttant spécifiquement contre un antivirus - Virus de code source Polymorphisme viral Virus latents Signatures p.17/22

85 Enjeux - Etat de la menace Il n y a pas de technologies virales anciennes : toutes sont à considérer en permanence. p.18/22

86 Enjeux - Etat de la menace La menace majeure est représentée par les vers : Effet rapide (Sapphire, Blaster), effet de masse (Sobig), pas de frontières. Intègrent également d autres fonctionnalités (chevaux de Troie, bombe logique). Attaques de plus en plus évoluées (Klez, Bugbear). Difficultés de plus en plus grandes pour la désinfection. p.18/22

87 Enjeux - Etat de la menace Attaque du ver Sapphire (Janvier 2003) p.18/22

88 Enjeux - Etat de la menace Autre menace importante : les macro-virus et en général les virus dits de «documents». p.18/22

89 Enjeux - Etat de la menace Autre menace importante : les macro-virus et en général les virus dits de «documents». Nombreux cas d infections rapportés (administrations et sociétés). Nombreuses fonctionnalités «duales» dans les suites Office. Autres formats potentiellement utilisables : postscript, pdf... Une lutte relativement efficace passe par une limitation drastique de l ergonomie. p.18/22

90 Enjeux socio-économiques Enjeux économiques : Qui contrôle les antivirus? Problèmes de confiance. Quels sont les intérêts réels du monde antiviral? Pas de débat scientifique et technique sur la lutte antivirale. Possibles applications bénéfiques des virus. p.19/22

91 Enjeux socio-économiques Applications Militaires : Avérées et officielles pour certains pays : Chine, Taiwan... Omniprésence de l informatique dans les systèmes d armes (missiles, satellites, GPS, radars, chars...). Société civile ultra informatisée. Virus = Armes. Codes destructeurs, codes espions (mot de passe, données,...), virus anti-antivirus,... Attaques matérielles (panne de disque dur, microcode de processeur, défaillance de batterie CMOS,...). p.19/22

92 Enjeux socio-économiques p.19/22

93 Evolution du risque Amélioration des techniques actuelles ou utilisation de nouvelles techniques. La multiplication des vulnérabilités est un facteur aggravant du risque. Le problème du choix logiciel se pose avec force. Meilleur mimétisme avec les applications légitimes. Diversification des cibles (Palm Pilot, téléphones cellulaires...). L informatique est globale et mobile. p.20/22

94 Evolution du risque Meilleure compréhension des fonctionnalités antivirales. Utilisation optimale des primitives cryptologiques : génération d aléa, chiffrement... Les attaques ne sont plus seulement le fait d individus isolés (Sobig ). p.20/22

95 Evolution du risque Virus et vers : Prise en compte de nouveaux formats de documents : postscript, XML, pdf... P. Lagadec - SSTIC Implémentation de virus au niveau du hardware. Réalisation d un virus de Bios - ESAT/LVC Prise en compte des nouveaux périphériques et matériels. p.20/22

96 Evolution du risque Virus et vers : Limitation de la virulence : modification du comportement infectieux. Amélioration du blindage viral pour retarder ou empêcher la lutte - Bradley Développement des attaques actives contre les antivirus et pare-feux. p.20/22

97 Evolution du risque Les chevaux de Troie : Utilisation du polymorphisme viral (shellcodes polymorphes). Utilisation de techniques (actives et passives) empruntées à la guerre électronique. p.20/22

98 Conclusion Dans tous les cas, la lutte passe par une veille technologique permanente : La lutte informatique offensive devient une nécessité. Le développement de nouvelles technologies virales permet d envisager le futur et de se tenir prêt. p.21/22

99 Conclusion Nécessité de sensibilisation permanente des usagers et des décideurs. p.21/22

100 Conclusion Nécessité de sensibilisation permanente des usagers et des décideurs. Evolution dangereuse de la législation (loi en la confiance en l économie numérique). Risque de perte de contrôle des acteurs malfaisants. Risque d appauvrissement des connaissances. p.21/22

101 Références M. A. Ludwig - The little black book of computer viruses, American Eagle Pub., ISBN M. A. Ludwig - Du virus à l antivirus, traduction P. Lointier, éditions Dunod, ISBN M. A. Ludwig - Computer Viruses and Artificial Life and Evolution, American Eagle Pub., ISBN M. A. Ludwig - The little black book of viruses, American Eagle Pub., ISBN Journal MISC - Le journal de la sécurité informatique - ISSN E. Filiol - Les virus informatiques : théorie, pratique et applications, collection IRIS, Springer, ISBN p.22/22