Retour sur la conférence « 100 % malware » donnée par l’entreprise F-Secure à l’EPITA

Le mercredi 27 avril 2017, l’EPITA invitait l’entreprise F-Secure pour une conférence dédiée à l’industrialisation de l’analyse des malware. L’occasion pour Fennel Aurora, Regional Lead Presales Consultant chez le géant de la sécurité informatique pour le Benelux, la France, l’Irlande et le Royaume-Uni, de revenir sur l’histoire de ces virus informatiques et de leurs mutations au fil des années.

Fennel Aurora

L’histoire des virus est quasiment aussi vieille que celle de l’informatique. Déjà en 1948, John von Neumann, l’un des pères fondateurs de l’informatique, anticipait une partie de cette problématique à travers sa « theory of self-reproducing automata ». Il faudra attendre 1971 avant de voir l’arrivée de Creeper, le premier virus expérimental, alors présent sur l’Arpanet, l’ancêtre militaire de notre Internet actuel. Une dizaine d’années plus tard, les virus muteront à nouveau et se propageront alors sur les fameux floppy disks utilisés sur les Mac de l’époque. Ironie du sort : Brain, l’un des plus célèbres virus des années 1980, né en 1986 et considéré comme le premier virus sérieux pour MS-DOS, avait été pensé à la base pour aider les développeurs…

À l’origine du bug était la blague
Ce n’est qu’à la fin des années 1990 que le terme « malware » apparaît. Durant cette décennie, la plupart des malware aperçus sont plus considérés comme de mauvaises blagues, toujours ennuyantes pour l’utilisateur, occasionnellement destructrices. Bon nombre de ces virus gênants sont d’ailleurs aujourd’hui répertoriés dans un musée dédié, The Malware Museum, hébergé sur archive.org. Pour autant, ce ne sont pas ces mauvais plaisantins qui vont faire prendre conscience aux acteurs de l’informatique de l’importance de la sécurité. C’est davantage la démocratisation d’Internet, l’intrusion des agences de renseignement et l’arrivée de sites marchands qui vont véritablement changer la donne.

Deux dates sont à retenir : la première est 1993, année où la désormais (trop) célèbre National Security Agency (NSA) révélait son intention d’implémenter dans tous les équipements informatiques américains sa Clipper chip permettant d’espionner le trafic de tous les utilisateurs. Un projet non sans faille technologique qui, après plusieurs années de protestation (portée par l’Electronic Privacy Information Center et l’Electronic Frontier Foundation) et de résistance (symbolisée par ce fameux t-shirt), sera finalement abandonné. Autre période majeure, le milieu des années 1990 qui vit le lancement de deux futurs mastodontes du « shopping en ligne » : Amazon (1994) et eBay (1995). Dès lors, ces deux plateformes vont rapidement servir de figure de proue pour la sauvegarde des données sensibles diffusées sur le Net… et permettre le développement d’entreprises spécialisées sur la question de la cybersécurité comme F-Secure. Ces derniers doivent désormais faire face à une explosion des malware de plus en plus diversifiés. Le temps des blagues potaches est révolu : il a été remplacé par un registre d’agressions bien plus large (fishing, arnaques, vol de données, espionnage économique, usurpation d’identité…).

Une révolution qui a demandé une refonte des acteurs
Chez F-Secure, la lutte contre les malware se construit selon trois principales activités : la recherche (pour comprendre comment les virus fonctionnent et la façon dont se compose l’écosystème du cybercrime), les endpoint technologies (soit la création de codes anti-malware) et le backend (soit le développement et le maintien des infrastructures et serveurs garantissant le bon fonctionnement de F-Secure). Une tâche difficile quand on connaît l’industrialisation massive des menaces informatiques. Déjà dans les années 2000, les équipes de F-Secure devaient analyser quotidiennement des dizaines d’échantillons sur les 10 000 nouveaux malware apparaissant (Sont-ils nocifs à première vue ? Connus ou non ? Doivent-ils être analysés en profondeur ? Faut-il mettre un expert sur la question ? Etc.). Un rythme élevé qui avait pour résultat des journées à rallonge et une forte frustration chez les professionnels (pas assez de temps pour retracer les origines et tout analyser…).

Des dires de l’expert, la bataille semblait même perdue d’avance devant l’avalanche en flux tendu de nouveaux virus. Pourtant, grâce à l’essor de nouvelles technologies (Big Data et Machine Learning en tête) et une réorganisation savamment pensée, l’entreprise a réussi son pari : elle est ainsi désormais capable d’analyser un million de sites malveillants par jour. « Nous étions en train de nous noyer alors que nous ne cessions de nous agrandir. Nous ne pouvions donc pas trouver une solution géométrique à un problème exponentielle : il fallait industrialiser notre approche anti malware. Avec plus de virtualisations, de segmentations, d’automatisations… Le premier changement est venu en 2006 et, au risque de passer pour des paranoïaques, nous avons voulu nos networks selon leur utilité via une couleur (« Rouge«  pour exécuter les malware, « Orange«  pour les stocker et « Vert«  pour accomplir du travail « classique » sur ordinateur). Cette approche est depuis devenue la norme en matière de sécurité. » Les chiffres avancés aujourd’hui par F-Secure peuvent donner le tournis, leur database de malware étant passé d’un million d’échantillons en 2006 à plus de 600 millions dix ans plus tard. Cela représente quelques 600 térabits de données hébergées sur plus de 700 serveurs (soit l’équivalent de 70 ans de vidéos sur YouTube)… et cela continue de grimper !

Trois grandes familles derrière les malware
Pour mieux comprendre l’industrialisation des malware et la contrer, il convient également de savoir qui se cache derrière. « 40 % des malware sont l’œuvre de cybercriminels qui veulent juste voler de l’argent, peu importe la victime : c’est un business pour eux. Ce système fonctionne d’ailleurs comme la mafia, avec des petites mains persuadées de pouvoir remporter la loterie, alors que seuls les gens au sommet gagnent des millions. » Les pays considérés comme abritant le plus de cybercriminels sont la Russie et l’Ukraine, où le crime organisé s’est développé après la mort de l’URSS dans un cadre économique mortifère pour les populations. Certains cybercriminels sont d’ailleurs activement recherchés par les autorités, comme Evgeniy Mikhailovich Bogachev dont la mise à prix émise par le FBI s’élève à 3 millions de dollars. Ces réseaux puisent leur force dans la répétition et la quantité, profitant de l’explosion des emails et l’éclosion des botnets. « Cela ne coûte pas cher à mettre en place. Même si les spams ne fonctionnent que sur un très faible pourcentage de gens contactés, le nombre envoyé est suffisamment grand pour permettre aux cybercriminels de bien vivre de cette activité ! »

La deuxième source de malware vient directement des États, qui recueillent des informations, souvent de manière ciblée. En première ligne se trouvent le Royaume-Uni, mais surtout les États-Unis. « Aucun pays n’est plus puissant qu’eux sur ce domaine. D’ailleurs, leurs investissements militaires sont supérieurs à l’ensemble des autres pays du G8. On dénombre ainsi plus de 36 000 ordinateurs infectés par le DoublePulsar Malware de la NSA. Pour autant, cela n’empêche pas certains de s’essayer à les concurrencer, comme la Chine par exemple. » La troisième et dernière source principale est celle qui regroupe les Hacktivists, qui agissent principalement pour des raisons politiques et idéologiques. Ces derniers sont à l’origine de nombreux scandales relayés dans les médias, comme l’affaire des Panama Papers ou plus récemment la série d’articles « When Spies Come Home du site Motherboard ». « Ils disent agir au nom de la justice, de la liberté… mais parfois, ils se moquent de qui sera touché par leurs révélations. »