Introduction aux antivirus

Plan
Le monde des malwares
Historique Les logiciels malveillants Nouvelles tendances et actualits

La rponse des antivirus

Fonctionnement des antivirus Pourquoi avoir un antivirus sous Unix Les limites

Un peu dhistoire
Thorie
Premier virus/vers
Annes 40

Premire utilisation du terme virus informatique

Apparition des premiers botnets Premire utilisation du terme robot
2002 1998/1999 1986

Annes 60

Les logiciels malveillants

Programmes simples
Cheval de Troie et porte drobe (Trojan, backdoor) Bombes logiques Outils de captation dinformation (spyware) Numrotateur furtif (dialer)

Les logiciels malveillants

Programmes auto-reproducteurs
Virus
Programme Systme Interprts (Macro, Java, JavaScript, etc.)

Ver
Rseaux locaux, Messagerie, Internet, Poste poste, Autres (mIRC, DNS)

Les logiciels malveillants

Botnet (roBOT NETwork)
Dirig par un botmaster via un Command & Control La classification sappuie sur le mode de communication
Centralis : IRC, HTTP, Web 2.0 Rsiliant : P2P

Utilisation :
Relais de SPAM Attaque par dni de service distribu (DDoS) Fraude au clic Camouflage (single-flux, double-flux, RockPhish)

[8-1]

Fonctionnalits
Dsactivation des mises jour
Antivirus OS Autres

Suppression des autres malware Furtivit (rootkit) Obfuscation du code Chiffrement du binaire

Les logiciels potentiellement indsirables

PUP (Potentially Unwanted Program)
Ne sont pas des programmes malveillants Notamment
Adware Jokes Outils de piratage

Les nouvelles tendances

Diminution des PUPs Orientation vers les mobiles
Malware sous Android : Multipli par 33 en 2011 [12-1] Retour des dialer Malware bancaire in the mobile
Zeus In The Mobile (ZITMO) SpyEye In The Mobile
[12-2]

Lactualit
Stuxnet
Ver informatique Vise les infrastructures nuclaires Iranienne

Duqu
Vol dinformation Essentiellement en Iran

sKyWIper/Flame

[13-1] [13-2] [13-3]

Vol dinformation Principalement au Moyen Orient

Les Antivirus
Ils dtectent
Logiciels malveillants PUP Fichiers potentiellement malveillants
Ex. : AntiVir dtecte les fichiers HTML servant au phishing

Les Antivirus
Modes de fonctionnement
Statique
la dtection est effectue sur commande exemples :
Poste de travail : inspection dun disque Serveur mail : analyse dune pice jointe Serveur mandataire : analyse dun fichier tlcharg

Dynamique
logiciel actif en permanence

Les Antivirus
Techniques de dtection
Analyse de forme
Base de signatures Recherche gnrique Analyse heuristique Analyse spectrale

Contrle dintgrit (liste blanche) Analyse comportementale

Un antivirus sous Unix, pourquoi ?

Les menaces sont prsentes
Windows : Conficker (MS08-067 - CVE2008-4250) Mac : Flashback (CVE-2012-0507) Linux : UNIX/Admw0rm Solaris : SunOS/BoxPoison.worm [20-1]

Un antivirus sous Unix, pourquoi ?

Tout les systmes sont vulnrables
Plus de 5000 CVE sur 2011 !
CVE : Common Vulnerabilities and Exposures
[19-3]

Un antivirus sous Unix, pourquoi ?

Tout les systmes sont vulnrables
Mises jours des produits sur 2011
Microsoft : 100 bulletins (MS11) Apple : 14 bulletins CERTA [19-1] Linux Debian : 236 bulletins DSA
DSA : Debian Security Advisories
[19-2]

Plus de 5000 CVE sur 2011 !

CVE : Common Vulnerabilities and Exposures
[19-3]

Un antivirus sous Unix, pourquoi ?

Les utilisateurs sont vulnrables
Windows : DNSChanger [21-1] Mac : Mac Defender, DNSChanger Linux : Fake 0-day in OpenSSH [21-2] Android : Trojan.AndroidOS.Dogowar.a
[21-3]

Un antivirus sous Unix, pourquoi ?

Dtecter les logiciels malveillants visant dautres plateformes
Exemples :
Serveur Serveur Serveur Serveur Serveur Web, mail, mandataire (proxy), de fichier CVS ou SVN

Limites antivirus ?
Un seul antivirus sur un SI nest pas suffisant ! Moteurs diffrents pour [29-1] :
Postes de travail Serveurs Passerelles Internet

Limites des antivirus

Ils ne sont quune brique de la scurit dun SI, ne sont pas fait pour
dtecter :
de flux illgitimes, du spam, une attaque cible, un rootkit, lexploitation dune faille

Ils ne se substituent pas une sensibilisation de lutilisateur

La fin des antivirus ?

Stuxnet, Duqu, Flame dcouverts tardivement LAV reste indispensable
Dernier maillon sur le poste Protgent des botnets, des PUPs Rduisent la propagation