Les virus informatiques existent quasiment depuis l’apparition de l’informatique. Si I Love You a été le premier virus « médiatique », leur histoire remonte bien au-delà. Souvenons-nous de Creeper, identifié comme le premier virus, ou encore du ver Morris qui circulait déjà aux prémices d’internet. Durant les années 80 à 2000, la motivation première de ces inventeurs de codes malveillants était le défi technique… et la notoriété. Avec un certain succès ! « I Love you » a défrayé la chronique, a fait la une des différents médias et a même obligé le parlement britannique à fermer sa messagerie électronique. Ses auteurs, deux jeunes Philippins, ont connu une notoriété – dont avec le recul – ils se seraient sans doute bien passés.
Des virus ou vers massifs : les premiers impacts généralisés
Les codes malveillants ont ensuite évolué, devenant de plus en plus visibles et entraînant des impacts bien réels dans les entreprises. C’est au début des années 2000 qu’ils ont fait le plus parler d’eux. Nimda (2001), Blaster (2003), Sasser (2004), tous ces noms donnent encore des sueurs froides aux responsables des postes de travail ou des réseaux. Ces codes malveillants entraînaient des indisponibilités massives en saturant les réseaux et ont mis en lumière les vulnérabilités et la fragilité du SI. Leurs effets sont somme toute restés limités à des indisponibilités et à des efforts humains importants de nettoyage au sein de la DSI. Conficker marque le dernier évènement marquant de cette catégorie… et il date maintenant de 2008. On trouve encore dans certains SI un peu de ces « anciens » codes malveillants, assez simples à nettoyer et dont on peut se protéger par des mesures basiques (application de correctif, blocage de flux sur les réseaux…).
Au-delà des dénis de service, les malwares deviennent des plateformes d’espionnage et de destruction
Aujourd’hui la situation a bien changé, et depuis le début des années 2010, nous voyons apparaître des codes malveillants d’un tout autre niveau. Des codes très impactants et pouvant provoquer des incidents majeurs. Nous pouvons citer les malwares « incapacitants » ou « destructeurs », comme ceux ayant visé la Corée ou l’Arabie Saoudite, et ayant entraîné la destruction de postes de travail, ou encore le fameux ransomware Cryptolocker qui rend les données inaccessibles. Dans cette catégorie, Stuxnet représente certainement le code malveillant le plus abouti sur les systèmes industriels.
Certains codes malveillants sont aussi capables de devenir de véritables espions de l’activité d’une entreprise. Les fameux Gauss, Duqu, ou encore très récemment The Mask, sont capables de s’installer sur le SI d’une entreprise, de prendre le contrôle de postes de travail et d’exfiltrer des informations très sensibles sans être facilement détectés. Aujourd’hui ces codes malveillants sont issus de vrais groupes organisés, dotés de moyens importants et d’équipes entraînées. La révélation de The Mask le montre bien : le code malveillant et son infrastructure de contrôle disposaient de mécanismes pour bloquer les équipes des éditeurs de sécurité et une fois révélé, toute l’infrastructure a été décommissionée en 4 jours. L’organisation derrière ce malware avait bien prévu un « kill switch » pour disparaître en cas de compromission. Le changement de niveau technique et de moyens est bien réel, car les enjeux eux aussi ont beaucoup évolué depuis les années 1980 et la digitalisation progressive de notre société.
La fin du support de Window XP verra-t-elle ressurgir des menaces historiques ?
Il est évident que des codes malveillants « avancés » vont être révélés régulièrement. Les attaquants voient tout l’intérêt de continuer à faire évoluer leurs « armes numériques » et la montée en puissance est encore en cours. Les révélations sur la NSA montrent que les services de renseignement ont encore un cran d’avance avec des mécanismes d’attaques avancés, très discrets, et prévus pour se cacher en cas d’investigation.
Mais des problèmes que l’on croyait appartenir au passé reviendront-ils à court terme ? En effet la fin du support de Windows XP peut faire ressurgir la crainte d’un ver réseau incapacitant qui se répandrait sur les systèmes d’information, utilisant encore cette version du système d’exploitation. La crainte est réelle dans les entreprises face à cet ancien type de menaces, et nous accompagnons de nombreuses structures qui se préparent à cette éventualité en revoyant leur processus de crise et en prévoyant des moyens de réactions et de préventions adéquates aujourd’hui.
