Les vers informatiques – 5 exemples et contre-mesures
En sécurité informatique, il n’est pas toujours évident de s’en sortir avec les définitions. Certains mots sont empruntés à l’anglais, d’autres traduits, parfois les deux sont utilisés en même temps ou il existe plusieurs termes pour une même définition.
Nous allons aujourd’hui parler des vers informatiques et nous allons donc commencer par définir ce que c’est. Ensuite, nous verrons des exemples de vers et comment s’en protéger.
Qu’est-ce qu’un ver informatique ?
Le mot ver informatique est une traduction de l’anglais « computer worm ». Il s’agit d’un programme malveillant qui s’autoréplique (qui se recopie par ses propres moyens) et qui se propage la plupart du temps via le réseau. Ce ver se répand de système en système en exploitant des failles informatiques (attaque zéro day) ou tout simplement des failles humaines (ingénierie sociale).
Un ver va donc essayer de se répandre sur un maximum d’ordinateurs, et bien que beaucoup d’entre eux ne font que de se répandre, certains contiennent des charges utiles, c’est-à-dire des autres programmes malveillants qui vont s’exécuter sur les systèmes infectés. Ces programmes malveillants peuvent voler des données, chiffrer des fichiers, permettre un accès à distance (backdoor)…etc.
Comment fonctionnent-ils ?
On a vu qu’il y a deux types principaux de vers informatiques : ceux qui se répandent via une faille dans le système, et ceux qui se répandent en comptant sur la crédulité des utilisateurs infectés.
Les premiers vont typiquement exécuter du code exploitant une faille précise dans un système afin de s’y introduire et de se répandre. La faille est très spécifique au système ciblé.
Les seconds vont compter sur la crédulité des internautes pour que ces derniers cliquent, téléchargent et exécutent le ver sur leur ordinateur, pour infecter à leur tour d’autres utilisateurs.
Exemples de vers informatiques
Le ver Samy, un ver XSS
On va commencer par le ver le plus populaire. Il s’agit du ver Samy créé en 2005 par Samy Kamkar, un chercheur un sécurité informatique, qui a infecté plus d’un million d’utilisateurs sur MySpace en 20 heures. Le ver affichait « but most of all, samy is my hero » (« mais par dessus tout, samy est mon héros ») sur le profil des victimes et chaque personne visitant un profil infecté se faisait infecter à son tour. Il s’agit d’un ver XSS (Cross-Site Scripting) qui utilisait une faille dans les pages de profil des utilisateurs.
Je cite Samy :
04/10, 0:34 : Vous avez 73 amis.
Je décide de lancer mon programme de popularité. Je vais être célèbre…parmi mes amis.1 heure après, 1:30 : Vous avez 73 amis et 1 demande d’amis.
Une amie de ma copine regarde mon profil. Elle est forcément intéressée par ce que je fais. J’approuve sa demande d’amitié par inadvertance et vais au lit en grimaçant.7 heures après, 8:35 : Vous avez 74 amis et 221 demandes d’amis.
Woah. Je ne pensais pas en avoir autant. Je suis surpris parce que ça fonctionne.. 200 personnes ont été infectées en 8 heures. Cela veut dire que j’aurais 600 nouveaux amis par jour. Woah.1 heure après, 9:30 : Vous avez 74 amis et 480 demandes d’amis.
Oh attends, c’est exponentiel, non ? M*rde.1 heure après, 10:30 : Vous avez 518 amis et 561 demandes d’amis.
Oh m*rde. Je reçois des messages de personnes en colère qui sont dans mes amis alors qu’ils n’ont rien demandé. Je reçois aussi des e-mails disant « Hey, comment es-tu arrivé dans mon myspace….c’est pas que ça me dérange, tu es beau gosse ». De la part de certains gars. Mais plus de la part de filles que de garçon. Ce qui n’est pas si mal. À propos des filles.3 heures après, 13:30: Vous avez 2503 amis et 6373 demandes d’amis.
J’annule mon compte. C’est devenu hors de contrôle. Des personnes m’envoient des messages me disant qu’ils me signalent pour être un « hacker ». Mec, je gère. […] Apparemment, certaines personnes me suppriment de leur liste d’amis, mais visitent la page de quelqu’un d’autre ou même leur propre page et redeviennent immédiatement infectés. […]
5 heures après, 18:20 : Je vais timidement sur mon profil pour observer les demandes d’amis. 2503 amis. 917 084 demandes d’amis.
Je rafraichis trois secondes plus tard. 918 268. Je rafraîchis trois secondes plus tard. 919 664. Je rafraîchis quelques minutes après. 1 005 831.C’est officiel. Je suis populaire.
J’ai atteint plus de 1 million d’utilisateurs. En moins de 20 heures, j’ai atteint plus de 1/35ème des utilisateurs de MySpace.
Plus d’infos sur le site de samy.
« J'ai atteint 1 million d'utilisateurs en moins de 20h »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedInLe ver Skype (anciennement MSN)
Il s’agit probablement des vers informatiques parmi les plus célèbres. Une personne infectée va automatiquement envoyer un message à tous ses contacts avec un lien vers un site permettant de télécharger le ver.
Voici un exemple réel :
Le ver Facebook
Tous les moyens de toucher beaucoup de personnes facilement et directement sont bons. Facebook est donc régulièrement ciblé par des vers informatiques de toutes formes. Voici un autre exemple réel de ver qui envoie automatiquement un message aux amis de la victime avec un lien de téléchargement :
Le ver informatique Stuxnet
Stuxnet est un ver informatique découvert en 2010 et conçu pour s’attaquer aux centrifugeuses de la centrale iranienne de Natanz. Il perturbait leur fonctionnement, entraînant la destruction de plusieurs centaines d’entre elles.
Il se répandait sur les systèmes Windows à l’aide de clé USB infectées et s’attaquait aux systèmes à l’aide de trois failles zéro day. 45 000 systèmes informatiques, dont 30 000 situés en Iran ont été infectés.
Le ver Autorun
Il s’agit d’un ver qui se propage via des clés USB infectées, en exploitant notamment ce que l’on appelle l’Autorun : un fichier de configuration permettant de lancer automatiquement un programme dès que la clé est branchée dans un ordinateur.
Comment savoir si je suis infecté ?
Habituellement, c’est un contact qui nous répond et qui nous informe par la même occasion que notre PC a été infecté.
De façon plus générale, un ver informatique est un programme malveillant comme tant d’autres et qui se supprime de la même façon (soit via un anti-malware, soit via un anti-virus, soit en l’ayant repéré nous-mêmes).
Dans le cas où le ver infecte un compte (Facebook, Skype…etc), changer simplement son mot de passe ne suffit pas, mais il faut bien supprimer le ver. Car le ver n’a pas forcément connaissance du mot de passe, il peut très bien profiter de la session authentifiée (typiquement lorsque vous êtes connecté(e)) pour dialoguer à votre place.
Comment se protéger contre les vers informatiques ?
Pour se protéger des vers exploitant des failles informatiques, il n’y a pas de secrets : il faut mettre à jour son système et ses programmes régulièrement.
Pour se protéger des vers exploitant la crédulité des personnes, il faut rester méfiant et essayer de détecter ces attaques dans la mesure du possible.
Pour cela, il s’agit notamment de savoir si l’affirmation venant d’une personne infectée pourrait être réelle ou non. Typiquement, sur Facebook, savoir qui visite votre profil n’est pas possible.
Les messages en anglais ou les expressions irréalistes par rapport au caractère de la personne infectée sont également des signes évidents.
Et enfin, les liens raccourcis permettant de cacher un autre lien (et/ou de répertorier les clics) sont également suspects dans ce contexte (goo.gl, bit.ly…etc).
Voici des messages typiques qui ressemblent aux messages envoyés par des vers :
hahaha 😀 :’D c’est toi sur la video ???? www.videololxd454.com/video.php?id=572271
regarde qui visite ton profil sur : www.quivisitemonprofilAZ42.eu/bonnearnaque/profil.html
tu m’donne kel note sur cette foto??? www.1arnaquebidonsansphotos.tk/photos.JPG
Bien entendu, avoir un antivirus à jour et scanner un fichier suspect avant de le lancer est également requis et constitue une barrière supplémentaire.