Cette année marque le 40ème anniversaire de Creeper, le premier virus au monde infectant les ordinateurs. A cette occasion, FortiGuard Labs de Fortinet a fait une rétrospective en examinant l’évolution et l’importance des menaces liées à Internet au cours des 40 dernières années.

De Creeper à Stuxnet, les quatre dernières décennies ont vu le nombre de malwares exploser passant de 1300 en 1990, à 50000 en 2000, à plus de 200 millions en 2010.

Outre la quantité pure, l’autre évolution importante à souligner est que les virus, initialement utilisés comme une validation de concept théorique, se sont rapidement transformés en blagues de  geeks, puis ont lentement évolué en outils pour cybercriminels. Depuis 2005, pratiquement tous les virus ont été développés dans le seul but de gagner de l’argent via des modèles économiques plus ou moins complexes.

Plus récemment, les virus sont devenus de réelles armes de cyber-guerre, comme par exemple le cas de Stuxnet dont le but était de désactiver physiquement un système industriel pour des raisons stratégiques ou politiques.

Dans la chronologie qui suit, FortiGuard Labs se penche sur les virus informatiques les plus importants de ces 40 dernières années et explique leur importance historique.

1971: Creeper: attrape-moi si tu peux

Alors que les théories sur l’auto-réplication ont été développées par le mathématicien Von Neumann dans les années 50, le vrai premier virus informatique a été lancé “en laboratoire” en 1971 par un employé d’une société travaillant sur ARPANET, l’ancêtre de l’Internet.

Caractéristique intéressante : Creeper cherche une machine sur le réseau, s’y transfère, affiche le message “I’m the creeper, catch me if you can!” et recommence, en espérant ainsi passer de systèmes en systèmes. C’était une pure validation de concept.

1982: Elk Cloner

Créé par un jeune de 15 ans ayant pour but de piéger ses amis détenteurs d‘Apple II, Elk Cloner se propage via des disquettes. Les machines infectées affichent un poème, dédié à la gloire du virus.

Caractéristique intéressante: Elk Cloner a été le premier virus à se répandre à l’extérieur d’un laboratoire. Son impact mondial a été insignifiant et son intention clairement geek.

1987: Jerusalem

D’abord détecté à l’Université hébraïque de Jérusalem, le bien-nommé Jérusalem est quelque peu délétère. Chaque année, le vendredi 13, ce virus supprime les programmes qui sont sur le système infecté.

Caractéristique intéressante: Jérusalem est le premier exemple de virus destructeur à avoir un impact mondial. A noter cependant que le nombre d’ordinateurs à l’époque n’étaient par le même qu’aujourd’hui.

1992: Michelangelo: Le dormeur doit se réveiller

Le virus latent Michelangelo a été conçu pour se réveiller le 6 Mars (date d’anniversaire de Michel-Ange – Comme l’artiste de la Renaissance, pas la Tortue Ninja) et efface les parties importantes des disques durs des ordinateurs infectés.

Caractéristique intéressante: Les promesses de destruction ont engendré une impressionnante frénésie médiatique. Les semaines précédents le 6 Mars, les medias ont relayé (et certains pourraient dire amplifié) les prédictions des experts prévoyant que 5 millions d’ordinateurs  allaient être touchés. Pourtant, le 6 Mars, seulement quelques milliers de données perdues ont été signalés – et la confiance du grand public envers les entreprises d’anti-virus a été entachée pendant un certain temps.

1999: Mélissa

Mélissa est un virus astucieux qui s’est propagé via des documents Microsoft Word infectés et envoyé par mail aux contacts Outlook de l’utilisateur contaminé. Il a été suffisamment virulent pour paralyser certains systèmes de mailing sur l’Internet. Son auteur a créé le bug en l’honneur de Mélissa, une strip-teaseuse rencontrée en Floride. Qu’il ait conquis son cœur de cette façon est plutôt improbable, mais une chose est sure : le code malveillant lui a valu 20 mois de prison et une amende de 5000 dollars.

Caractéristique intéressante: Quelqu’un a créé une variante de Mélissa qui a encrypté les fichiers infectés et a demandé une rançon de 100 dollars pour pouvoir les décrypter. Bien qu’il soit un cas isolé, notons que quelqu’un avait déjà commencé à trouver comment se faire de l’argent avec les virus.

2000: I LOVE YOU

A l’aube du XXIème siècle, le ver I LOVE YOU a infecté des dizaines de millions d’ordinateurs. Comme un simple ver, I LOVE YOU se présente sous la forme d’un e-mail dont l’objet est “I love you” et  a infecté la machine des utilisateurs qui ont ouverts la pièce jointe. Il se propage ensuite à tous les contacts de l’utilisateur infecté.

Caractéristique intéressante: Bien que la motivation de l’auteur n’était manifestement pas une question d’argent, les dommages ont coûté aux entreprises entre 5 et 10 milliards de dollars. Une grande partie de ce coût peut être attribuée au temps passé à “nettoyer” les machines infectées.

2001: Code Red

Alors que I LOVE YOU ciblait les utilisateurs, Code Red s’attaque aux serveurs Web, où il se propageait en exploitant automatiquement une vulnérabilité dans les serveurs Microsoft IIS. En moins d’une semaine, près de 400 000 serveurs sont infectés, et la page d’accueil  des sites Web qu’ils hébergent remplacée par un gracieux “Hacked By Chinese!”

Caractéristique intéressante: Code Red possédait une fonctionnalité destinée à inonder de trafic le site Internet de la Maison Blanche (depuis les serveurs infectés), ce qui en fait sans doute le premier cas d’« hacktivisme » à si grande échelle.

2004 : Sasser

Comme Code Red, Sasser se propage sans l’aide de personne ; mais cette fois, le virus a exploité une vulnérabilité dans Windows de Microsoft pour se propager, ce qui le rend particulièrement  virulent. En raison d’un bug dans le code du ver, les systèmes infectés s’éteignent toutes les  deux minutes.

Caractéristique intéressante: Pour la première fois, les systèmes dont la nature n’est en principe pas liée à Internet (et qui existaient d’ailleurs avant ce dernier) sont sévèrement impactés. Plus d’un million de systèmes ont été infectés, les communications satellites de l’AFP ont été interrompues pendant des heures, Delta Airlines a été contrainte d’annuler des vols, les gardes côtes britanniques ressortent leurs cartes papier, et un hôpital doit rediriger ses urgences  parce que son service de radiologie a été complètement paralysé par le virus. L’étendue des dégâts se chiffre à plus de 18 milliards de dollars.

Microsoft a placé une récompense de 250 000 dollars sur la tête de l’auteur, qui s’est avéré être un étudiant allemand de 18 ans. Ce dernier dira qu’il voulait aider sa mère à retrouver un travail dans la sécurité informatique, grâce à son vers.

2005: MyTob, le basculement

En 2005 apparait MyTob, l’un des premiers  vers à combiner les fonctionnalités d’un Bot (les  fameux “Zombies,” contrôlés à distance par un Botmaster) et d’un mass-mailer.

Caractéristique intéressante: MyTob marque l’entrée dans l’ère des Botnets et de la cybercriminalité. Les modèles économiques destinés à  “monétiser” les nombreux réseaux d’ordinateurs Zombies fleurissent (dont certains compteront jusqu’à plus de 20 millions de machines): installation de logiciels espions (spyware), diffusion de spams, hébergement de contenu illicite, interception de coordonnées bancaires, chantage, etc. Les revenus générés par ces nouveaux botnets ont rapidement atteint plusieurs milliards de dollars par an; un chiffre en constante évolution jusqu’à aujourd’hui.

2007: le botnet Storm

2007, les cybercriminels ont déjà des modèles économiques lucratifs en place. Ils songent à protéger leurs vaches à lait (les ordinateurs infectés). Jusqu’en 2007, les botnets affichent un cruel manque de robustesse : en neutralisant son Centre de Contrôle unique, c’est tout un botnet qu’on neutralise, puisque que les Zombies ne savent plus à qui obéir.

Caractéristique intéressante: En implémentant une architecture peer-to-peer, Storm devient le premier  Botnet au commandement décentralisé… Il est donc beaucoup plus robuste.  Entre 1 et 50 millions de systèmes infectés, Storm représente jusqu’à 8% de tous les virus dans le monde au pic de l’épidémie.

2008: Koobface

Koobface (anagramme de Facebook) se propage en se faisant passer pour l’utilisateur infecté sur les réseaux sociaux, incitant ses amis à installer une mise à jour de leur player Flash afin de pouvoir visionner une vidéo. La mise à jour n’est, bien évidemment qu’une copie du virus.

Caractéristique intéressante: Koobface est le premier botnet à recruter ses ordinateurs Zombies via de multiples réseaux sociaux (Facebook, MySpace, hi5, Bebo, Friendster, etc). Aujourd’hui, on estime qu’à tout moment, plus de  500 000 zombies Koobface sont en ligne en même temps.

2009 : Conficker

Conficker est un virus particulièrement sophistiqué, car c’est à la fois un ver à la Sasser, et un botnet ultra-résilient, qui implémente des techniques de défense avant-gardistes. Curieusement, il semblerait pourtant que son algorithme de propagation soit mal calibré, l’amenant à se faire remarquer certainement plus que ses auteurs ne l’auraient voulu. Certains réseaux sont tellement saturés par Conficker, qu’une nouvelle fois des avions sont cloués au sol, dont une partie de la Chasse française, des hôpitaux et bases militaires sont touchés. Au total, environ 7 millions de systèmes sont infectés à travers le monde.

Caractéristique intéressante: Chose intéressante, le virus n’a pas infecté les IP ukrainiennes, ni les machines configurées dotées d’un clavier ukrainien. Il est probable que ses auteurs aient tout à fait intégré la règle d’or du cybercriminel : “Ne cible rien dans ton pays et tu ne risqueras rien”.

2010: Stuxnet, bienvenue dans la  Cyber-Guerre

De l’avis de tous les spécialistes, seuls les gouvernements ont les ressources nécessaires pour concevoir et implémenter un virus d’une telle complexité. Stuxnet a exploité plusieurs vulnérabilités de Windows, jusque-là inconnues, pour se propager, dont une garantissant son exécution dès  l’insertion d’une clé USB dans le système ciblé, même si l’autorun de ce dernier est désactivé. A partir du système infecté, Stuxnet était alors capable de se propager dans un réseau interne, jusqu’à ce qu’il atteigne sa cible : un système de gestion  de processus industriel édité par Siemens. Connaissant parfaitement le point faible du processus visé, il interfère avec un contrôleur précis –  peut être un système de refroidissement – vraisemblablement afin de détruire  ou de neutraliser le système industriel.

Caractéristique intéressante: Pour la première fois, la cible d’un virus est la destruction d’un système industriel (très probablement une centrale nucléaire en Iran).

Prochain virus ? Difficile de prédire ce qui arrivera l’année prochaine et encore moins pour les 40 prochaines. Toutefois, d’après les tendances que nous observons, la prochaine cible des cybercriminels pourrait être les Smartphones. Leur généralisation et le fait qu’ils intègrent un système de paiement (numéros surtaxés) en font des cibles facilement monétisables. En outre, ils embarquent un système de localisation, un micro, un GPS et une (ou plusieurs) cameras, ce qui permet potentiellement d’espionner leur propriétaire de façon particulièrement envahissante.

Glossaire des termes:

• Virus: Un programme malveillant qui s’auto-réplique
• Trojan: Un programme malveillant qui ne se réplique pas
• Worm/Ver: Un virus qui se propage via le réseau
• Botnet: Un réseau d’ordinateurs infectés  (“Bots”) qui répond à tous les ordres émis par un  “Botmaster” (la personne qui conçoit ou achète le  Botnet)
• L’ordinateur Zombie: Autre nom pour  “Bot”, qui met un peu en valeur le fait que ces machines n’ont pas de “volonté” propre, ils ne font qu’exécuter les ordres qui leur sont envoyés par le Botmaster.