Remarquons tout d'abord que les lecteurs qui auront pris soin de parcourir le billet 6 mois de capture de logiciels malveillants ne seront pas vraiment surpris des résultats. On avait déjà souligné que parmi les 10 nouveaux logiciels malveillants qu'on essaiera de vous refiler ce soir uniquement du fait que vous vous connectez à Internet, 8 ne seront pas détectés comme malveillants… Ces chiffres avaient été obtenus au cours du premier semestre 2007 par un outil de capture passive, une sorte de piège. Ils ne tiennent donc pas compte des pages web piégées dont on reparlera plus loin.

Si vous pensez malgré tout que vous n'êtes pas concerné par tout ce qui vient d'être dit, car vous avez investi 100 à 300 € dans le tout dernier Windows® Vista[1], le plus sécurisé des Windows® d'après Microsoft, détrompez-vous ! Le récent article Windows Vista moins sécurisé que Windows 2000, selon PC Tools, paru sur ZDnet.com, indique que Vista est un peu moins fragile que XP mais toujours en-deça du vieux Windows® 2000… À se demander où sont les progrès réalisés : c'est certainement plutôt du côté des résultats financiers de l'entreprise qu'il faut chercher ![2]

Dans la même logique la lecture de l'article Sécurité informatique : les antivirus tirent la croissance du marché européen nous explique que le marché européen du logiciel antivirus s'élèverait déjà à 1.7 milliards d'euros. La croissance du secteur afficherait un enviable 9.6% sur la zone Europe, Moyen-Orient et Afrique. Et dans le même temps, Les antivirus sont de plus en plus affectés par les failles de sécurité. En clair : le logiciel qui est sensé vous protéger rapporte de plus en plus mais ouvre de nouvelles failles dans votre système… et en plus on vient de voir qu'il détecte très mal les nouveaux logiciels malveillants !

Voilà pour le contexte, venons en maintenant aux données techniques…

Le test de Secunia.com

C'est très simple : un logiciel malveillant peut se décomposer en deux parties aux rôles différents. Tel un malfrat qui souhaite fracturer une habitation, il lui faut de quoi réaliser une effraction (casser une vitre, forcer une serrure, etc.) puis réaliser l'action qui l'intéresse une fois entré (voler des bijoux, placer une écoute, saboter une voiture, etc.). L'effraction pour un logiciel malveillant consiste à trouver une faille dans une application ou un système informatique. Ces failles sont dues à des erreurs de conception, de programmation ou d'administration. L'action, habituellement appelée « charge », dépend de ce que souhaite faire l'auteur du logiciel malveillant : espionner le clavier, envoyer des messages par millions, récupérer des fichiers personnels, attaquer d'autres machines, etc.

Le test de Secunia consiste à fabriquer de toute pièce 300 nouveaux logiciels malveillants en se basant sur des failles connues pour lesquelles un petit logiciel d'effraction existe déjà. Par contre les charges associées ne sont pas détaillées mais diffèrent vraisemblablement de ce que les antivirus connaissent bien. Ces nouveaux logiciels malveillants ont été soumis à des Windows® XP SP2 soit directement (scan de répertoire) soit indirectement (ouverture de fichier zip ou visite de page web avec Internet Explorer). Et c'est en faisant cela que le meilleur antivirus ne détecte qu'environ 20% des logiciels malveillants, et tous les autres moins de 2%. Leur conclusion coule de source : les clients en ont-ils vraiment pour leur argent ?

Pour ceux que cela intéresseraient, l'explication de ces très mauvais chiffres est que les antivirus actuels ne cherchent pas à reconnaître l'outil d'effraction mais l'action qui va être réalisée. Or il est bien plus facile de modifier cette seconde partie puisqu'elle peut varier à l'infini selon l'envie du programmeur contrairement aux codes qui exploitent les failles[3]. Bien sûr cela paraît stupide de se tromper ainsi de cible et justifie pleinement les propos relatés dans le billet d'il y a deux ans : les logiciels antivirus sont inefficaces. Il faut donc creuser un peu la question…

La raison avancée par Secunia pour s'intéresser à la charge plutôt qu'à l'exploitation de la faille est qu'on pourrait de cette manière fournir plus rapidement une protection lorsqu'un nouveau spécimen surgit… Ceci nécessite apparemment moins d'effort d'analyse. Mais cela empêche-t-il vraiment de bloquer l'exploitation de la faille quelques jours après ? Du coup ne serait-ce pas tout simplement un moyen de préserver la croissance du business antivirus grâce à la croissance exponentielle des logiciels malveillants ? Curieusement le billet Classification des logiciels malveillants faisait déjà ce genre de constatation.

En tout cas Secunia en profite pour vanter les mérites de son outil de recherche de mises à jour pour vos logiciels ! En effet ce sont les mises à jour qui normalement rebouchent les failles laissées par les développeurs au fur et à mesure qu'elles sont découvertes par des personnes honnêtes ou, tout du moins, suffisamment bien intentionnées ;-). Nous allons voir en fin de billet qu'il y a nettement plus simple pour éviter les ennuis sans se fatiguer et sans débourser un sou.

Cible des nouveaux logiciels malveillants

Ça doit bien faire maintenant 5 ans que les éditeurs d'antivirus nous répètent régulièrement que les plate-formes Linux et Mac OS X ont aussi des logiciels malveillants et qu'il faut les protéger. Sous-entendu : pas la peine de quitter Windows®, vous aurez les mêmes problèmes. Et bien les chiffres disent malheureusement pour eux - heureusement pour nous - le contraire comme le montrent les articles Explosion des logiciels malveillants en 2008 et Microsoft en léger retrait sur les OS comme sur les navigateurs.

Tout d'abord le premier article nous explique que sur les 318 000 nouveaux logiciels malveillants (non il n'y a pas de zéros en trop…) détectés par l'éditeur allemand d'antivirus G Data sur le premier semestre 2008, on a trouvé un modeste nombre de 21 pour la plate-forme Linux (non il n'y a pas de zéros en moins…), soit moins de 0.1‰ (100 ppm) ! Le risque sur cette plate-forme est donc incommensurablement plus faible que sous Windows® et c'est bien sûr aussi le cas de Mac OS X bien que l'article ne le mentionne pas.

Rappelons à ce propos qu'on peut considérer que le risque encouru par un système sur Internet est le résultat du produit de ses vulnérabilités par ses menaces, le tout divisé par les mesures de protection (voir le billet Se protéger contre Internet) :

Risque = Menaces × Vulnérabilités ÷ Mesures de protection

Dans le cas de Windows® non seulement les vulnérabilités sont nombreuses au regard des fonctionnalités fournies, mais en plus les menaces sont dans un rapport exponentiel par rapport aux systèmes concurrents… Et ne parlons pas des outils de protection en standard : il n'y a même pas d'antivirus. Ayez bien conscience également que chaque logiciel supplémentaire installé augmente les vulnérabilités, ce d'autant plus que le logiciel concerné sait se connecter à Internet (pour les mises à jour par exemple[4]).

Pour en revenir à l'article, on apprend aussi que la part de logiciels malveillants ciblant Windows® serait passée de 95% à 98% sur les 6 premiers mois de 2008. À nouveau les prédictions de nos chers éditeurs d'antivirus se révèlent assez erronées… tant mieux ! Surtout que parallèlement à cela, la proportion de Windows® installés sur les machines diminue, certes faiblement, mais quand même selon le second article (NB: 1% des PC = 10 millions de machines quand même…). On est donc dans le mouvement inverse de celui prôné par les fanboys de Windows® pour justifier ses déboires : la part de marché des autres systèmes augmente mais la part des menaces les concernant diminue : -60% d'après l'article ! Pas de chance… mais s'agit-il uniquement de chance ?

Objectif et mode d'action des logiciels malveillants

D'après les articles mentionnés plus haut, et ce n'est une surprise pour aucun des lecteurs de ce blog : les logiciels malveillants ont toujours pour but de vous extorquer de l'argent. Ceci avait été indiqué dans le billet Pourquoi pirater le PC de Monsieur Tout Le Monde ? ou encore le billet Interview d'un jeune pirate à la tête d'un botnet. Ce qui est un peu nouveau, c'est que la majorité de ces logiciels malveillants s'immisceraient par l'intermédiaire de votre navigateur web, selon la technique expliquée dans le billet Pages web malveillantes : Firefox bas Internet Explorer par KO....

Ainsi même si vous avez une activité parfaitement honnête et irréprochable sur Internet, vous n'êtes pas à l'abri : le simple fait de visiter une page web normale peut conduire à l'installation silencieuse d'un logiciel malveillant. Pour résumer leur mode d'action, ces logiciels malveillants profitent des failles de votre navigateur ou d'applications tierces connectées à Internet via le navigateur (Adobe Acrobat Reader, WinZip, RealPlayer, QuickTime, MediaPlayer, MS Office, etc.).

Les solutions pour éviter cela, on vient de voir qu'elles ne consistent pas en l'achat d'un antivirus onéreux… Il faut simplement bien choisir ses logiciels et les mettre tous, absolument tous, régulièrement à jour. Ceci avait déjà été détaillé dans le billet Éviter les problèmes sur Internet :

  • choisissez les logiciels les plus simples pour ce que vous voulez faire, et non ceux qui ont le plus de fonctionnalités ou que tout le monde utilise (ou pirate ?)
  • évitez les logiciels freeware et shareware dont personne ne peut vérifier le contenu
  • évitez les logiciels piratés ou destinés à pirater des contenus numériques
  • mettez tout à jour régulièrement, y compris les pilotes de votre matériel (voir le billet Et maintenant les pilotes du matériel…)
  • etc.

Vous allez certainement trouver ces recommandations excessives mais, comme par hasard, l'article Plus de 98% des PC sous Windows ne sont pas à jour, selon Secunia nous indique que l'état des mises à jour sous Windows® se détériore alors que les logiciels malveillants explosent. Quasiment la moitié des utilisateurs auraient plus de 11 applications non à jour, pour le plus grand bonheur des pirates… Il ne s'agit donc pas seulement de paranoïa ! ;-) Une explication possible à cette tendance contraire à l'entendement est qu'il n'est pas du tout exclu que les logiciels malveillants, en devenant de plus en plus discrets avec le temps, donnent à l'utilisateur l'illusion d'être tranquille.

Conclusion

Windows® s'embourbe indubitablement à la fois dans les logiciels malveillants et dans l'incapacité à fournir un système de qualité irréprochable[5]. Ce n'est pas nouveau, une machine Windows® ne peut quasiment pas fonctionner sur Internet sans antivirus et ceux-ci, s'alourdissant d'année en années, plombent les performances déjà en retrait de ce système…

Aussi l'émergence de PC sous Linux alliée au boom des Mac ces dernières années va certainement changer le regard des utilisateurs sur leur outil informatique. Peut-être l'avez-vous remarqué : les EeePC sous Linux n'ont ni antivirus ni pare-feu et ils fonctionnent à merveille - comme les Mac. Or actuellement le seul système grand public qui permet à la fois de tenir l'intégralité du système et des logiciels à jour tout en ayant en standard des applications très variées et les outils de sécurité adaptés à votre utilisation, désolé, c'est Linux (voir le billet À la découverte de Linux : Linux n'est pas Windows® !).

La part de marché de Windows® s'infléchit légèrement ? On dirait donc que les utilisateurs commencent à comprendre que non seulement Windows® n'a aucun intérêt, mais en plus il ne fait qu'apporter des ennuis ! Votre coupe n'est pas encore pleine ?

Notes

[1] peut-on réellement parler d'investissement à ce sujet ?

[2] voir le billet Combien coûte Microsoft à la France ?

[3] puisque les failles sont - espérons-le - en nombre fini ;-)

[4] c'est pourquoi il vaut mieux que cette fonction soit intégralement prise en charge par le système quel que soit le logiciel, cela évite aux applications de venir avec cette fonctionnalité paradoxalement risquée du point de vue sécurité

[5] voir l'article Microsoft admet l’échec de Vista sur theinquirer.fr