15 ans après le virus « I love you », une nécessité encore plus absolue d’analyser la menace
Le lundi 4 mai est la date anniversaire du virus informatique « I love you ». Conçu comme un véritable piège, le virus prenait la forme d’une lettre d’amour envoyée par courrier électronique, dont il tira son nom, et dissimulant un code malicieux. Si le destinataire exécutait le fichier, il permettait de modifier la base de registre de Windows de façon à s’exécuter à chaque démarrage. En plus de modifier la page de démarrage du poste infecté, il masquait également l’extension de certains fichiers à l’instar de fichiers images (jpeg, jpg…) et sons (mp2, mp3, etc..) les rendant donc tout à fait inexploitables.
Il y a 15 ans, ce virus marquait profondément les esprits à trois égards :
– Par sa vitesse de propagation : Les analystes ont estimé que lancé depuis l’Asie, le virus est en moins d’une journée, parvenu à l’Europe puis aux Etats-Unis. Sa méthode de réplication, déjà utilisée par le virus Melissa, était en effet très efficace, puisque s’exécutant à chaque démarrage de poste, il s’auto-envoyait en outre à tout le carnet d’adresses Outlook du poste infecté et ainsi de suite…
– Par son mode opératoire avec cette fausse lettre d’amour, en jouant sur la crédulité et l’affectif, des points faibles très humains…;
– et enfin par ses dommages. Des chiffres de 3 millions de machines infectées et de 5 milliards de dollars de dommages ont été avancés à l’époque. Certains chercheurs ont souligné que la capacité destructrice technique avait été certainement sous-exploitée par ses auteurs et que ce virus aurait pu entraîner des pertes de machines et de données bien supérieures.
Ce résumé descriptif reprend à peu de choses près l’ensemble des analyses qui ont été faites sur ce virus.
Il en va de même si on retrace l’évolution dans son ensemble des virus depuis 1990. Si les analystes retracent assez bien les aspects techniques (mode opératoire, chemin d’attaque, outils) et les impacts, on peut s’interroger sur l’absence de rattachement à la menace même. Quid en effet des attaquants et de leurs motivations ?
L’analyse de l’évolution des virus à elle seule et telle qu’on la réalise, même si elle est le corollaire de l’analyse de l’évolution du panel de toutes les attaques qu’on connaît, ne suffit pas à comprendre cette évolution des attaques. Une analyse technologique ne servira qu’à produire une défense technologique et pour des cas d’attaques analogues. En aucun cas, elle ne suffira à évaluer la menace (par et pour qui ? pourquoi ? enjeux à long terme ? ) et donc à l’anticiper et l’endiguer au plus tôt.
« Pour contrecarrer les attaques, il est indispensable que nous analysions la menace dans sa dimension criminologique et pas seulement technique. C’est à mon sens le challenge de la cybersécurité aujourd’hui. » affirme Christophe Jolly, Responsable Sécurité Cisco France.
De l’exploit du hacker, nous sommes passés à l’ère de la cybercriminalité. Véritable commerce, créant de nouveaux crimes ou servant le crime traditionnel, l’espionnage, la recherche de l’avantage compétitif cotoîent l’appât du gain facile, les revendications ou encore des motifs de vengeance.
« L’absolue nécessité de se rattacher à la menace pour concevoir la sécurité de demain est d’autant plus capitale que l’industrialisation de la menace rend de plus en plus discrètes les motivations des attaquants et notamment les cibles ultimes ». Il a fallu en effet par exemple du temps pour comprendre qu’au-delà des automates auprès d’une marque très répandue d’automates, Stuxnet avait en réalité un but très précis, qu’était de rendre inopérante la centrale nucléaire Bouchehr en Iran.
« Anticiper la menace en analysant les signaux faibles et donc les intentions malveillantes, sera la clef pour protéger la société numérique surtout à l’heure du cloud, du big data, des objets connectés, de la robotique, de la technologie des paiements sans contact, en somme de la e-life qui va entraîner une confusion de plus en plus grande entre la vie réelle et la vie cyber et donc la nécessité de réponses communes ».
Tags:- AMP (Advanced Malware Protection)
- apt
- Attack Continuum
- Before During After
- Cyber attaques
- Cyber Sécurité
- Cybercriminalité
- menaces
