Modélisation du virus informatique Conficker

Mini Projet Calcul Scientifique Modélisation du virus informatique Conficker Worm Defender Engineering Bellot Guillaume Cornil Yoann Courty Arnaud Goldenbaum David Pascal Louis ESILV S4

Introduction : Définition d un ver informatique : Un ver informatique est un programme autonome qui s installe sur le disque dur d un ordinateur (disque dur externe, disque amovible). Le ver informatique a besoin d un hôte pour se reproduire, pour cela il se dissimule et se cache dans des fichiers et des codes exécutables contenus dans l ordinateur cible. Les vers écrits sous forme de script peuvent être intégrés dans un courriel ou sur une page HTML. Le ver a aussi, mise à part sa reproduction, certains objectifs malveillants : Espionner l'ordinateur qu il a pour hôte, Détruire des données sur l'ordinateur où il se trouve ou y faire d'autres dégâts, Installer d'autres programmes nocifs : spywares, ou cheval de Troie, dans le but de capturer des mots de passe, des numéros de cartes bancaires Prendre le contrôle de l ordinateur à distance afin d en faire une passerelle, un relais pour envoyer de multiples requêtes vers un serveur internet dans le but de le saturer. (=PC zombie) Diffère d un virus : Un ver informatique a besoin d un hôte pour se reproduire. Les particularités de Conficker : Modes opération : Le ver informatique utilise des failles contenues dans des logiciels pour s installer et se reproduire. Pour Conficker il s agit du logiciel svchost.exe. Conficker ne peut fonctionner que sous Windows. On peut retenir que le 16 janvier 2009, un vendeur de logiciel antivirus F-Secure déclarait que Conficker avait infecté presque 9 000 000 ordinateur ce qui en fait une des infections les plus largement répandues des années 2000 (à l heure actuelle on estime à 10 millions le nombre d ordinateurs infectés). On recense 5 versions du ver : 1. Version A : Conficker se propage via un périphérique amovible, comme une clef USB déjà infectée ou par le réseau local en passant outre les mots de passe d un utilisateur via un dictionnaire intégré. Une fois installé sur un PC, le ver met hors service certaines fonctions de Windows comme Windows Update et Windows Defender. 2. Version B : il tente de se reproduire lui-même, empêchant l'accès à des sites tels que Windows Update et d autres sites d'antivirus qui pourraient le détecter grâce à des mises à jour du logiciel par exemple. Conficker tente également de se connecter à des serveurs pseudo-aléatoires afin de recevoir des ordres supplémentaires pour se propager, 1

récolter des informations personnelles, télécharger et installer des logiciels malveillants additionnels sur les ordinateurs hôtes. 3. Version C : le ver intègre un module peer to peer, c'est-à-dire qu il permet à plusieurs ordinateurs de communiquer via un réseau, de partager simplement des objets comme des fichiers le plus souvent, mais également des flux multimédia continus (streaming) ou des services Internet afin de se mettre a jour. 4. Version D : similaire à la version précédente. 5. Version E : il tente d'installer le spam bot Waledac. Il récolte, entre autres, des adresses électroniques et installe le scareware Spy-Protect 2009. il s agit d un faux antispywares qui fait penser à la victime qu elle est massivement infectée dans le but de récolter de l argent. Mode de destruction : Si un ordinateur est infecté, il faut télécharger, à partir d'un ordinateur non infecté, un outil spécial de suppression de Conficker. Cet outil est disponible à l'adresse : http://www.symantec.com/security_response/writeup.jsp?docid=2010-011316-0247-99 par exemple. Cependant, le plus important pour se protéger est : Ne pas cliquer sur des offres d analyses gratuites apparentes sur des fenêtres de pub. En téléchargeant régulièrement les derniers correctifs disponibles via un logiciel d antivirus fiable. En changeant de mot de passe régulièrement En utilisant des mots de passe complexes : pas de noms ou de mots simples, utilisez des caractères spéciaux et des chiffres, différent pour chaque site et long de préférence. Nous avons décidé de modéliser la propagation du ver Conficker au sein du parc informatique de 30 ordinateurs d une entreprise de publicité. 2

Sommaire Introduction :... 1 I. Modélisation... 4 a) Hypothèse du modèle... 4 b) Modèle initial... 4 c) Modèle final... 5 II. Simulation... 8 a) Comment fonctionne la simulation?... 8 b) Résultats et explications de la simulation avec Excel... 8 c) Avec Simulink... 12 III. Les limites de notre modèle... 14 Conclusions... 16 Sources... 17 3

I. Modélisation a) Hypothèse du modèle Les hypothèses de modélisation sont : Une seule entreprise en jeu avec son propre parc informatique de N ordinateurs Un unique réseau au sein de l entreprise. Les ordinateurs sont connectés entre eux et disposent tous d une connexion à internet. Les ordinateurs ont tous les mêmes droits d administration. Un ordinateur infecté par Conficker tente d infecté les autres ordinateurs du réseau informatique avec une certaine probabilité. Il y a un unique vecteur d infection. Le virus Conficker n est pas détecté par l anti-virus de l entreprise. Certain ordinateurs obtiennent un correctif de sécurité au bout d un certain nombre de heures. Seul le correctif de sécurité permet d éradiquer le virus d un ordinateur. Le correctif ne permet de vacciner qu un seul ordinateur à la fois. Un ordinateur vacciné à l aide du correctif de sécurité ne peut être réinfecté par Conficker. Le temps est exprimé en heures. On suppose qu il n y a pas d évolution du virus Conficker. b) Modèle initial Ordinateurs infectés Clefs USBs infectées S(t) Ordinateurs Infectés I(t) Ordinateurs Vaccinés On veut modéliser la quantité d ordinateurs infectés au cours du temps au sein du parc informatique d une entreprise de publicité. 4

Vecteur d infection du virus Conficker : Infection par la connexion d un ordinateur infecté aux autres ordinateurs de l entreprise sain Infection via l insertion d une clé USB infecté sur un ordinateur sain Constante du modèle choisi : Proportion d une clé USB soit infectée : a Proportion d une clé USB soit infectée par un ordi infecté : b Proportion qu un correctif de sécurité soit mis en place : c (en fonction du temps) Equation du modèle : Pour modéliser ce modèle simple, nous avons considéré que I(t=0)=0 et que le nombre d ordinateur infecté en fonction du temps I(t) est au temps t+h : Le nombre d ordinateur infecté en t : I(t) + Le nombre probable d ordinateurs infectés à partir d un ordinateur et/ou d une clef USB : h*a* (b*i(t)) *I(t) h*(1-i(t)) _ Le nombre d ordinateurs affectés par le correctif de sécurité t*h*c*i(t) On obtient alors : I(t+h) =I(t) + h*a* b*i²(t) h*(1-i(t)) t*h*c*i(t) qui donne le nombre d ordinateurs au temps t+h c) Modèle final Pour affiner notre recherche quand à l évolution de la propagation du vers Conficker dans réseau entreprise on prend en compte les trois compartiments suivants : S(t) ordinateurs Sains I(t) ordinateurs Infectés V(t) ordinateurs Vaccinés 5

Vecteur d infection du virus Conficker Dans ce modèle, l unique vecteur d infection utilisé par Conficker est la connexion d un ordinateur à un réseau d entreprise comportant d autres ordinateurs non infectés. Le virus tente de se connecter à un autre ordinateur avec une probabilité «a» afin de télécharger sur celui-ci une réplique de lui-même. Cette infection du poste de travail est totalement transparente pour un utilisateur lambda cependant elle est visible d un administrateur réseau. Un correctif de sécurité déployé par Microsoft peut être mis sur les ordinateurs infectés afin d éradiquer le virus Conficker. Ce correctif est mis en place sur les postes de travail de l entreprise avec une probabilité «b». Une fois le correctif mis en place, le virus Conficker ne peut plus infecter ce poste. Constantes du modèle choisi : Coefficient «a» : il définit le taux d ordinateur infectés chaque heure par le virus Conficker. Ce coefficient ne dépend pas du temps. Nous avons fixé que 7 ordinateurs sur 10 sont infectés par heures. Coefficient «b» : il définit le taux d ordinateur vaccinés chaque heures par le correctif de sécurité de Microsoft. Ce coefficient dépend du temps, en effet le correctif n étant pas directement disponible dès le début de l infection du réseau de l entreprise, il est légitime qu il soit dépendant du temps. Ainsi nous avons fixé que 1 ordinateur sur 1000 était vacciné au temps t = 1 h. Equation du modèle : Pour améliorer notre modélisation, on utilise un nouveau compartiment pour obtenir les trois équations suivantes : Avec S(t), le nombre d ordinateur sain au temps t et S(t=0) = N le nombre d ordinateurs initial dans l entreprise sachant que S(t) dépend du nombre d ordinateurs infectés on a : S(t+h)= S(t) - a*h*s(t) Le nombre d ordinateurs sains dans l entreprise au temps t+h est égal au nombre d ordinateurs sains au temps t soustrait au nombre probable d ordinateurs infectés au temps t+h (i.e. a*h*s(t)) 6

Avec I(t), le nombre d ordinateurs infectés au temps t, et I(t=0)=0, et sachant que I(t) dépend du nombre d ordinateurs sains et du nombre d ordinateurs infectés au temps t, on a : I(t+h)= I(t)+a*h*S(t) Le nombre d ordinateurs infectés dans l entreprise au temps t+h est égal au nombre d ordinateurs infectés au temps t ajouté au nombre probable d ordinateurs infectés au temps t+h (i.e. a*h*s(t)) Avec V(t), le nombre d ordinateurs vaccinés au temps t et sachant que V(t) dépend du nombre d ordinateurs sains et du nombre d ordinateurs infectés au temps t+h et du nombre d ordinateurs vaccinés au temps t on a : V(t+h) = V(t)+h*b*t*I(t)+h*b*t*S(t) Le nombre d ordinateurs vaccinés au temps t+h dans l entreprise est le nombre d ordinateurs vaccinés au temps t ajouté au nombre probable d ordinateurs infectés au temps t qui seront vaccinés au temps t+h (i.e. h*b*t*i(t)), ainsi qu au nombre probable d ordinateurs sains au temps t et qui seront vaccinés au temps t+h (i.e. h*b*t*s(t)). 7

II. Simulation a) Comment fonctionne la simulation? Nous avons, dans un premier temps, simulé notre modèle avec le logiciel Excel. Pour réaliser la simulation, nous devons calculer les valeurs correspondantes aux fonctions trouvées : S(t) avec S(t+h) = S(t) h*a*s(t) I(t) avec I(t+h) = I(t) + h*a*s(t) V(t) avec V(t+h) = V(t) + h*b*t*i(t) + h*b*t*s(t) Il nous suffit de rentrer des valeurs de t (dans notre cas de 0 à 300) puis de sélectionner la valeur du pas h et des constantes a et b vues lors de la modélisation. Ces valeurs ainsi données, nous pouvons entrer les équations que l ordinateur nous calculera. Nous obtenons les valeurs de S, I et V pour t allant de 0 à 300. Les courbes tracées nous permettent de visualiser le phénomène et de vérifier sa conformité par rapport à nos attentes. b) Résultats et explications de la simulation avec Excel Nous avons modélisé le système en prenant différentes valeurs de h, a et b. Les courbes et résultats que nous allons analyser sont obtenus pour les valeurs suivantes : h 0,05 internet a 0,7 pc vacciné b 0,001 8

Courbe représentative de l évolution du nombre d ordinateurs sains au cours du temps : Comme nous avons pris une quantité fixée d ordinateurs sains, lorsque le virus va commencer son infection, la proportion de PC sains va diminuer. La formule de la dérivée de la fonction S(t) nous permet de prévoir que la courbe sera une exponentielle négative. La quantité d ordinateurs sains va donc diminuer de manière très rapide pour tendre vers la valeur 0 en partant de la valeur 30 en ordonnée comme étant la quantité de PC initiale. Courbe représentative de l évolution du nombre d ordinateurs infectés au cours du temps : De même que pour la fonction S(t), nous pouvons prévoir que cette courbe sera une exponentielle positive mais cette fois qui débutera à la valeur 0 en ordonnée. En effet lors d une infection, la quantité de malade augmente très rapidement. La quantité d infectée va donc tendre vers la valeur maximale de 30. 9

Courbe représentative du nombre d ordinateurs vaccinés au cours du temps : La quantité de PC vacciné doit, bien sûr, avec notre modélisation augmenter au cours du temps. Dans notre cas, la faible proportion de patch de sécurité permettant au PC d être vacciné nous permet d évaluer la faible pente de la courbe. Courbe représentative de l évolution de l état des ordinateurs au cours du temps : La courbe obtenue simule notre modèle et l évolution de la quantité de PC infectés au cours du temps. La quantité d infectés augmente très rapidement puis cette progression diminue pour basculer vers une pente négative. Sans vaccin, l infection augmente rapidement, puis l arrivée progressive des patchs de sécurité fait tendre cette courbe jusqu à la valeur de 23 à 24 environ. Les patchs s installant progressivement sur les ordinateurs, la quantité de PC infectés diminue jusqu à atteindre 0. 10

Ce qui revient à : Nous pouvons ainsi observer que la quantité de PC infectée ne dépasse pas 25 sur le parc de 30 machines. La courbe située sous le 0 en ordonnée n est pas utile car nous voulons connaître le nombre de heures (t : nombre de heures) à partir duquel tous les PC sont vaccinés. A t = 200 heures, les PC sont tous vaccinés, l infection a été stoppée. Nous pouvons aussi visualiser toutes les courbes sur un même schéma : On observe bien les deux fonctions exponentielles qui sont «opposées». De même, L écart entre la courbe de I(t) (rouge) et celle de V(t) (verte) correspond à la courbe V(t)-I(t). Comme la courbe verte continue à augmenter alors que I(t) tend vers une valeur fixe de 30, 11

la courbe qui caractérise V(t)-I(t) dépasse le 0 en ordonnée et continue à descendre jusqu à une valeur de -35. c) Avec Simulink Pour programmer avec Simulink, nous devons utiliser les dérivées des fonctions trouvées dans le modèle : S (t) = - a*s(t) (en bleu) Nous créons donc la constante a qui sera multipliée par S(t) (valeur qui sort de l intégrateur). Cette multiplication faite correspond à l entrée de l intégrateur puisque la fonction différentielle est ici «une boucle». Toute fonction différentielle doit posséder un intégrateur. Nous avons défini le paramètre initial de l intégrateur sur 30 (pour le nombre de PC sains à t=0). I (t) = a*s(t) (en rouge) On utilise ensuite le résultat précèdent (S(t)) pour programmer la fonction différentielle I (t). Pour cela, nous utilisons une constante a que nous multiplions par la fonction précédente. Un intégrateur vient cloturer cela. Nous avons défini le paramètre initial de l intégrateur sur 0 (pour le nombre de PC infectés à t=0). 12

V (t) = t*b*i(t) +t*b*s(t) Nous utilisons ici les résultats obtenus auparavant (I(t) et S(t)) afin de programmer cette fonction. Le fonctionnement est similaire pour t*b*s(t) et t*b*i(t). Nous multiplions le résultat précédent par un «clock» qui correspond au «t» puis par la constante b. La fonction différentielle étant la somme de t*b*i(t) et t*b*s(t), nous ajoutons l outil «somme». L intégrateur final permet d obtenir la valeur de la fonction. Nous avons défini le paramètre initial de l intégrateur sur 0 (pour le nombre de PC vaccinés à t=0). V(t) - I(t) (en vert) Pour obtenir une visualisation de la courbe qui caractérise notre modèle, nous devons visualiser V(t) I(t). Nous avons donc multiplié I(t) par la constante -1, ce qui donne I(t). On somme ensuite avec V(t) pour obtenir sur le scope lorsque l on simule la courbe suivante qui correspond bien à ce que nous avons obtenu avec Excel. Nous avons dans Mapple définit la valeur des constantes a et b avec a = 0.7 et b = 0.005. 13

III. Les limites de notre modèle Notre modélisation de l expansion du virus Conficker au sein du réseau informatique d une entreprise lambda ne peut pas être prise comme modèle de référence car il manque de nombreux éléments pour que ce modèle soit considéré comme complet. En effet, pour rendre la modélisation de ce virus possible dans le court laps de temps que nous avions et dans la mesure de nos capacités, nous avons été contraints de ne pas tenir compte de certains paramètres/facteurs. Ces facteurs sont aussi bien internes à l entreprise qu externes. Le principal facteur externe que nous n avons pas pris en compte dans notre modélisation est le fait qu un virus informatique est en permanente évolution. Il ne cesse de se modifier au cours du temps. De ce fait, un unique correctif ne peut éradiquer ce virus qu à moyen terme du réseau de l entreprise. Le virus ayant été modifié, il ne disparaît pas totalement du réseau. Or, dans notre modèle, nous prenons comme hypothèse que le virus n évolue pas au cours du temps, et donc, qu un correctif de sécurité mis en place au temps t permet de vacciné définitivement le poste de travail contre le virus Conficker. Nous n avons donc pas tenu compte de l évolution du virus mais nous n avons également pas tenu compte des différents moyens que le virus a pour se propager. Dans notre modèle, nous avons établis le fait que le virus ne pouvait se répandre qu à travers le réseau interne de l entreprise. Or, il peut également se transmettre, par le biais d une connexion au réseau de l entreprise par un ordinateur externe mais infecté par le virus, ou bien, par clé USB. En effet, si un ordinateur externe, mais infecté par le virus, se connecte au réseau de l entreprise, cela augmentera de façon considérable la probabilité qu un ordinateur sain de l entreprise soit infecté. Quand à l insertion d une clé USB, si l ordinateur, sur lequel elle est insérée, est infecté, elle le sera aussi ; et si elle est infectée, l ordinateur sur lequel elle sera branchée le sera aussi. Ce qui implique une propagation exponentielle du virus. Pour finaliser notre modélisation, nous avons également dû négliger quelques facteurs internes tels que le fait que le virus ne soit pas détecté par l Anti-virus de l entreprise. Dans le cas inverse, une mise à jour régulière du logiciel Anti-virus permettrait de ralentir la propagation du virus Conficker au sein du réseau interne de l entreprise. Tandis que dans notre modèle, le virus Conficker est considéré comme un faux négatif. Autre facteur interne dont notre modèle ne tient pas compte est l inégalité des droits d administration pour chaque ordinateur au sein de l entreprise.en effet, certains ordinateur tels que les postes serveur ou les postes d administration ont des privilèges plus important que les postes utilisateurs, et ils influent donc directement sur le nombre d ordinateurs pouvant être potentiellement infectés au temps t. 14

Mais les droits d administration pour chaque ordinateur n est pas la seule inégalité dont notre modèle ne tient pas compte, il y a également l inégalité de taille de chaque entreprise. Dans une entreprise de taille importante, la mise en place d un correctif de sécurité sur l ensemble des postes est une tache relativement délicate. Ainsi ce modèle ne peut s appliquer aux entreprises de grande taille sans en changer les modalités de vaccination des postes. Au final, le modèle que nous avons réalisé s applique uniquement au réseau interne de l entreprise étudié. Il n est pas représentatif des modalités d extension de celui-ci a travers le monde. En effet aujourd hui les entreprises sont de plus en plus tournées vers l extérieur grâce à des systèmes de communications de plus en plus perfectionnés. Un modèle intégrant celles-ci permettrait d avoir une vision d ensemble de la propagation du virus Conficker à l échelle mondiale. 15

Conclusions A travers ce mini-projet, nous avons voulu modéliser l épidémie d un virus informatique (dans le cas présent il s agit du virus Conficker) au sein du réseau interne d une entreprise lambda. Nous avons choisi ce sujet du virus informatique car ils nous semblaient intéressant d étudier ce type d épidémie qui se différencie par de nombreux domaines, et notamment par ses moyens de propagation. Cela nous promettait donc de réaliser une modélisation riche en paramètres. Seulement, nous avons vite découvert que de modéliser une épidémie informatique par nos propres moyens n était pas si évident. Nous avons réalisé notre modèle initiale très rapidement, mais la vrai difficulté c est trouver dans la finition de notre modèle. En effectuant ce mini-projet, nous avons ouvert les yeux sur la complexité de la modélisation. Au commencement, nous avions d innombrables idées de paramètres à ajouter mais qui se sont finalement révélés trop compliquées à modéliser dans l équation finale. Ces idées apparaissent donc comme les limites de notre modèle. Nous nous sommes donc limités à une modélisation de l épidémie avec trois compartiments : les ordinateurs sains, les ordinateurs infectés et les ordinateurs vaccinés. Cette modélisation représente bien l épidémie informatique au sein d une société. Elle comporte néanmoins certaines limites. En effet, afin de mener à bien notre projet dans les temps nous avons été dans l obligation de négliger certains facteurs internes et externes à l entreprise traitée. Finalement, nous garderons un bon souvenir de ce travail de groupe qui nous a non seulement permis de réaliser notre première modélisation et donc d en découvrir d avantages sur le domaine du calcul scientifique. Mais également sur le plan personnel avec tous les avantages et les inconvénients qu il y a de travailler en groupe. A nos yeux, ce miniprojet restera une expérience positive. 16

Sources Pour l introduction : http://www.symantec.com/fr/fr/norton/theme.jsp?themeid=conficker_worm http://www.futura-sciences.com/fr/definition/t/informatique-3/d/verinformatique_2435/ http://fr.wikipedia.org/wiki/ver_informatique http://fr.wikipedia.org/wiki/conficker http://www.zataz.com/news/18583/conficker--downadup--downad--kido.html http://fr.wikipedia.org/wiki/p2p http://forum.malekal.com/est-que-les-rogues-scareware-t589.html 17