Interview sécurité : le phénomène des PC zombies

Alors que le spam, le phishing, les virus, les spywares et bien d'autres menaces numériques continuent de prolifèrer sur le Web et retiennent beaucoup l'intérêt des médias, une autre menace tout aussi comprometante, continue de se développer : celle des PC zombies. Beaucoup moins médiatisé que les sujets de sécurité cités précédemment, le problème des PC zombies est peu connu du grand public. Nous nous sommes entretenus avec David Kopp (photo ci-contre), directeur du TrendLab (laboratoire européen de recherche sur les virus de Trend Micro) afin d'en savoir plus sur le sujet. Voici ses réponses:

Pouvez-vous nous expliquer brièvement ce qu'est un PC zombie ? Son objectif ? Son mode de fonctionnement ? Le processus « d'infection » ?

Un PC zombie est un PC qui a été infecté par un code malicieux qui va rester silencieux sur la machine en attendant des commandes ou des « ordres venus d'ailleurs ». Ce code malicieux ne va en effet pas causer de perturbation notoire aux habitudes de l'utilisateur. Sa présence est difficile à détecter pour l'utilisateur du fait de sa passivité. Toutefois ce code malicieux est actif et hiberne en quelque sorte. Il n'attend que les ordres d'une personne ou d'un programme malveillant pour se réveiller et commencer son action.

Un PC zombie ne présente par lui-même que peu d'intérêt. Par contre, une fois regroupés en réseau, les PC zombies deviennent une arme redoutable. On parle alors de botnets, réseau de PC zombies. Les personnes contrôlant ces botnets sont appelées « bot master » ou « bot herder ». Les personnes ayant ainsi le contrôle d'armées de PC zombies sont clairement guidées par l'appât du gain. Il n'est pas rare de les voir louer les services de leur botnet a des fins peu recommandables.

Pour infecter un PC, deux techniques sont principalement utilisées. L'une utilise des failles des systèmes d'exploitation ou des applications pour infecter un PC a l'insu de l'utilisateur. Ainsi un PC connecté directement à Internet sans être à jour au niveau du système d'exploitation et des applications a de très grandes chances de se faire infecter sans aucune action de la part de l'utilisateur. D'après nos tests, cinq minutes suffisent.

L'autre technique utilise le « social engineering ». Cette technique attaque directement l'utilisateur et son comportement. Ainsi, le code malicieux va apparaître comme quelque chose d'anodin ou comme provenant d'une source de confiance, conduisant l'utilisateur à exécuter ledit code. De même, le code peut susciter la curiosité de l'utilisateur (à la façon d'une tapette à souris garnie de fromage) pour l'inciter à exécuter le code malicieux.

Dans quelle mesure les PC zombies contribuent-ils au SPAM ? Aux virus ? Aux attaques par dénis de service ? Aux arnaques par méthode de phishing ?

Les PC zombies sont la base de la cybercriminalité telle qu'on la connaît aujourd'hui. Les réseaux de machines zombies – botnets – servent de plateformes de lancement à diverses attaques telles que les dénis de service (DoS), le spam, le phishing, les codes malicieux et les spywares. Ainsi une fois qu'une machine est infectée, un serveur web peut être installé pour héberger un site web frauduleux qui sera utilisé pour une attaque de type phishing. Un moteur SMTP peut être installé afin d'envoyer des mails dans le cadre d'une campagne de spam ou d'autres codes malicieux peuvent être téléchargés vers les machines zombies.

Quelle part les PC de particuliers et les PC (ou serveurs) d'entreprises représentent-ils sur l'ensemble des machines dites « zombies » ?

Les PC des particuliers sont une cible de choix pour les « botnets master », surtout depuis la démocratisation des connections haut débit type ADSL. Maintenant il n'est pas rare de voir des PC connectés sans interruption à Internet, augmentant ainsi leur disponibilité face aux attaques. De plus, bon nombre de particuliers ne sont pas sensibilisés aux risques que présente une connexion permanente et aux moyens de s'en prémunir efficacement.

Les cas des entreprises est différent. Celles qui sont équipées d'un service informatique sont en général en mesure de se protéger de ces menaces. On s'aperçoit toutefois que la mobilité toujours plus importante des collaborateurs rend cette tâche plus difficile. Elle demande une certaine rigueur dans la mise en place et l'application des politiques de sécurité.

Le phénomène des PC zombies est-il lié à un système d'exploitation en particulier ou concerne-t-il aussi bien Windows, Linux et Mac OS ?

Le phénomène des PC zombies n'est pas lie à un système d'exploitation en particulier. Toutefois, il est dans l'intérêt de ceux qui créent des réseaux de PC zombies de disposer du plus grand nombre de machines possible, jusqu'à plusieurs milliers. C'est donc logiquement vers le système d'exploitation le plus fréquemment rencontré qu'ils se tournent. Aujourd'hui, c'est bien sûr Microsoft Windows.

Comment est-il possible de se prémunir du phénomène des PC zombies ?

Pour se prémunir d'une infection et ainsi d'éviter son PC de devenir zombie, il faut prendre soin d'avoir un système toujours à jour. Ensuite, il est recommandé de sécuriser sa connexion Internet et son PC par la mise en place d'un pare-feu et d'une solution antivirale et antispyware. Une solution de filtrage d'URL n'est pas un luxe. De plus, il est important d'être sensibilisé aux dernières menaces afin de connaitre les pièges potentiels et de ne pas y succomber.

NDLR : si les solutions préconisées par David Kopp peuvent être efficaces, la rédaction de Clubic tient toutefois à préciser que cela ne suffit pas forcément et que la meilleure des solutions consiste à allier protections logicielles et prudence / information de l'utilisateur.

La fin des PC zombies pourrait-elle signifier la mort du spam ?

Depuis l'arrivée des systèmes informatiques, les menaces et les technologies employées évoluent. Dès qu'un moyen de communication est sécurisé, les auteurs de menaces trouvent d'autres voies pour parvenir à leurs fins. Ainsi, la fin des PC zombies ne signifierait pas la fin des menaces, celles-ci se propageraient autrement.

Avec la multiplication des téléphones mobiles, peut-on s'attendre à ce que le phénomène touche des appareils autres que des ordinateurs ?

Les téléphones mobiles sont potentiellement porteurs de menaces. Nous avons déjà rencontré des preuves de faisabilité de codes malicieux pour téléphones mobiles même si aucune attaque à l'échelle mondiale n'a encore été détectée.

David Kopp, merci pour ces différents éclaircissements !