Forte augmentation du nombre de nouveaux virus

Par Grégory Le Bras le Vendredi 01 Juillet 2005 à 20:40:55

Les experts de SophosLabs, le centre d'analyse des virus et spam de Sophos, viennent de publier le bilan des attaques virales des six premiers mois de 2005 qui révèle une augmentation importante du nombre de nouveaux virus.

Sophos aurait détecté et traité 7 944 nouveaux virus au cours de ces six premier mois, soit 59 % de plus qu'au cours de la même période de 2004. En parallèle de cette hausse, les experts de Sophos constate une baise du délai moyen d'infection des ordinateurs PC équipés d'un Windows non protégé (c'est-à-dire ne disposant pas des correctifs de sécurité). Un tel système a désormais 50% de risques d'être infecté par un ver 12 minutes après s'être connecté à l'Internet.

Selon les statistiques publiés par Sophos (voir communiqué de presse), le désormais ancien ver Zafi-D compte pour plus du quart de tous les virus signalés depuis le 1er janvier. Ce ver hongrois, qui a dominé les classements pendant les quatre premiers mois de l'année, se fait passer pour une carte de Noël afin d'inciter les utilisateurs à ouvrir la pièce jointe infectée.

"Le plus surprenant est que ce ver soit parvenu à survivre bien au-delà des Fêtes, et jusqu'au printemps", commente Annie Gay, Directeur Général de Sophos France. "Il n'a commencé à décroître que début mai, mais reste une menace significative."

Le ver bilingue Sober-N, qui occupe la troisième place du classement semestriel, est apparu en mai et s'est directement propulsé en tête du Top Ten, en délogeant Zafi-D. Se présentant comme une offre de billets pour la prochaine Coupe du Monde en Allemagne, Il a touché des milliers de PC dans 40 pays. Il est resté discrètement caché au plus profond des ordinateurs infectés, jusqu'à ce qu'il se transforme en une nouvelle variante destinée à diffuser largement du spam à contenu nationaliste allemand à partir de ces ordinateurs transformés en "zombies".

"La famille de vers Sober est un bon exemple des dégâts qui peuvent être générés à travers une machine zombie. Les efforts combinés des spammeurs, des auteurs de virus et de leurs armées de zombies constituent à coup sûr une force avec laquelle il faut compter. De plus en plus d'entreprises se trouvent en effet impliquées malgré elles dans ces attaques en étant étiquetées comme sources de spam", poursuit Annie Gay.

"Par ailleurs, les menaces ont tendance à converger. Il devient de plus en plus difficile de distinguer entre un spam, un spyware, une attaque par phishing et un virus classique. C'est pourquoi les entreprises doivent s'assurer qu'elles sont convenablement protégées contre toutes ces menaces. Plus encore, elles doivent envisager de s'adresser à un éditeur de solutions de sécurité disposant d'une véritable expertise dans l'ensemble de ces domaines."

Autre vieille connaissance, Netsky-P, déjà le virus le plus répandu de 2004, poursuit son très long règne en restant jusqu'à aujourd'hui présent dans les premières places du classement. Le jeune Allemand Sven Jaschan, qui a reconnu il y a plus d'un an avoir écrit les vers Netsky et Sasser, doit passer en jugement la semaine prochaine pour sabotage informatique, manipulation de données et dégradation de systèmes. Compte tenu de son jeune âge, il échappera probablement à une peine de prison.

2005 a déjà connu plusieurs arrestations très médiatisées liées aux crimes et délits informatiques : en mai, la police israélienne a identifié un couple vivant à Londres, qui a été arrêté pour avoir écrit un logiciel malicieux utilisé par des entreprises d'Israël pour espionner leurs concurrents. Le mois précédent, c'est un Chypriote qui a été arrêté car il avait espionné une jeune fille de dix-sept ans via sa webcam après avoir infecté son PC avec un cheval de Troie. Un étudiant espagnol a également été condamné dans une affaire similaire.

Sophos constate une progression géométrique du nombre de chevaux de Troie capables d'espionner les frappes au clavier. Ces derniers sont envoyés aux entreprises visées via des pièces jointes de courriels ou des liens vers des sites Web. Ils sont fréquemment exploités à distance par des pirates pour dérober des informations confidentielles et très souvent aussi pour lancer d'autres attaques. En juin notamment, une enquête des services de police britanniques (le NISCC) à laquelle a participé Sophos, a montré que près de 300 entreprises et institutions officielles anglaises ont été l'objet d'attaques par chevaux de Troie.

"Nous voyons apparaître chaque jour une véritable horde de nouveaux chevaux de Troie", déclare Annie Gay. "Bien que certains vers conservent une place solide dans les classements, cette croissance rapide des chevaux de Troie constitue sans doute l'évolution la plus marquante de l'écriture de codes malicieux. Ceux-ci n'atteignent en général pas le Top Ten parce qu'ils ne se rediffusent pas d'eux-mêmes, et qu'ils sont de plus en plus souvent utilisés pour des attaques ciblées destinées soit à gagner de l'argent, soit à voler des informations."

La prévalence du crime informatique organisé est plus importante que jamais. La récente tentative d'intrusion dans la banque Sumitomo Mitsui à Londres ou le piratage de MasterCard, concernant 40 millions de porteurs de cartes constituent des exemples majeurs de cette évolution vers une criminalité à objectif financier.

Des variantes du ver Mytob sont également présentes dans le classement, aux sixième et huitième places. Les variantes les plus récentes de ce ver utilisent une nouvelle méthode, en général caractéristique du phishing, qui consiste en un faux lien Internet pointant vers le code malicieux. Chacune d'elles est légèrement différente des précédentes, ce qui suggère que leurs auteurs sont à la recherche d'éléments qui leur permettraient de créer un "super-ver".

Sophos estime qu'il est peu probable que ce soit la fin de cette famille de virus.