10 ans depuis le premier malware pour Smartphone

Le 15 juin 2004 à précisément 19:17, heure de Moscou, un incident marquait le début d’une nouvelle ère dans la sécurité informatique. Le premier malware pour smartphone était découvert.

C’était Cabir, et il infectait les appareils Nokia propulsés par le système d’exploitation Symbian. Il se propageait via des connexions Bluetooth non sécurisées. Avec cette découverte, le monde apprenait que les malwares – que tout le monde connaissait déjà trop bien (sauf peut-être les vieux ermites et les moines) – n’étaient désormais plus réservés aux ordinateurs et que les smartphones pouvaient aussi en être victimes. Oui, plusieurs se grattaient la tête au début –  » Un virus qui affecte mon téléphone ? Laisse-moi rire !  » – mais la majorité des gens a finalement compris, tôt (quelques mois) ou tard (des années, une décennie) cette réalité toute simple. Pendant ce temps, nos analystes étaient au courant depuis longtemps.

Pourquoi ce malware a-t-il été baptisé Cabir ? Pourquoi avons-nous créé une pièce spéciale sécurisée à notre QG de Moscou ? Comment Cabir est-il abouti dans les poches d’un employé de F-Secure ? Plusieurs questions entourant ce sujet ont été posées à Aleks Gostev, notre chef expert en sécurité, dans une entrevue pour notre intranet. J’ai pensé que ça pourrait être intéressant de la partager avec vous. Voyons ce que dit le principal intéressé !

Accessoirement, l’histoire a débuté quand nous avons utilisé ces deux appareils pour analyser le malware.

…mais plus d’infos à propos de ces deux-là plus bas…

Le virus Cabir est apparu pour la première fois il y a 10 ans. À cette époque, quelle était la situation des malwares pour appareils mobiles ?

Les virus pour mobiles étaient presque inexistants il y a 10  ans. Voici ce dont je me souviens : au début 2004, nous tenions une conférence de presse internationale. Un des journalistes m’a demandé quand le premier virus pour téléphone mobile allait apparaître. J’ai répondu, d’ici la conférence de l’année prochaine, c’est certain. Effectivement, quelques mois plus tard, il s’est révélé.

Notre analyste de virus avait reçu un fichier étrange, qui s’opérait sur une plateforme qui nous était inconnue. Il a alors demandé de l’aide à son collègue Roman Kuzmenko afin d’analyser cet objet suspect. Roma était la personne indiquée, avec ses capacités d’analyse prodigieuses et ses compétences incomparables pour résoudre les mystères les plus inexplicables. Comme nous imaginions, ça lui a pris quelques heures pour comprendre que nous étions en présence d’un virus conçu pour le système d’exploitation Symbian, qui fonctionnait sur un processeur ARM.   Et cette combinaison n’existait seulement sur des téléphones mobiles, spécialement les Nokia.

À cette époque, nos experts ne purent pas comprendre exactement ce que faisait réellement le virus. Nous avons donc dû effectuer des tests. Mais d’abord nous devions mettre la main sur le smartphone Nokia, ce qui ne fut pas chose facile. Ces téléphones mobiles si  » modernes  » n’étaient pas aussi accessibles que maintenant. Simultanément, notre laboratoire anti-malware continuait à analyser le virus, jusqu’à ce qu’ils découvrent… la bombe. Ils détectèrent que la fonction principale du virus était son habileté à commander le protocole Bluetooth afin qu’il effectue un transfert de fichier. Cela ressemblait bien à une façon efficace de propager une maladie, une maladie causée par un virus…

Pour en revenir à l’absence de l’appareil Nokia, cela veut-il dire qu’à cette époque vous n’aviez pas l’équipement nécessaire pour tester un malware pour appareil mobile ?

Effectivement. Nous n’avions pas accès aux smartphones en circulation au moment de la réalisation de tests. Les virus pour téléphones mobiles n’existaient pas encore et l’idée d’avoir en main une sélection de smartphones ne nous était pas encore venue à l’esprit !

Ce que nos experts avaient réussi à analyser avec succès (qu’on a plus tard nommée Cabir – voyez plus bas) était le premier virus pour téléphone mobile. Ce moment a marqué le point de départ d’une course pour les créateurs de virus qui se sont mis à écrire des codes malveillants pour smartphone à une vitesse alarmante. Tellement qu’à la fin de l’année, c’était clair que nous devions créer un département exclusivement dédié à l’analyse de virus pour téléphone mobile, spécialement parce qu’ils s’avéraient être bien différents des virus pour ordinateurs.

Nous avons fondé cette division dont j’étais responsable. Un peu plus tard, j’ai été rejoint par un autre analyste, Denis Maslennikov. Une de nos premières décisions communes fut d’acheter tous les appareils de téléphonie mobile pouvant subir les attaques des codes malveillants présents sur le marché. Ce fut plutôt amusant. Après tout, tout le monde aime s’acheter de nouveaux gadgets, surtout quand on ne doit pas se soucier du prix. Nous nous sommes procuré tous les appareils Symbian, en plus de tous les téléphones basés sur Windows, Blackberry, et ainsi de suite. Encore aujourd’hui nous continuons à ajouter des appareils mobiles à notre collection complète et exotique, dans l’éventualité où une nouvelle menace surgit et que nous devons effectuer des tests rapidement.

Alors pourquoi le virus se nomme-t-il Cabir ? Après tout, les captures d’écran sur Securelist montrent que le fichier contient un autre nom. 

Oh, ça, c’est une autre histoire ! La capture d’écran montre le nom que l’auteur lui a donné, Caribe. Par contre, il est habituel que l’industrie des antivirus change le nom attribué par l’auteur du virus pour en inventer un nouveau.  Peut-être pour ne pas encourager l’égo du concepteur, ou encore pour réaffirmer notre autorité sur le virus conquis ?

Alors, nous étions tous là à effectuer un sérieux travail d’analyse – trouver un nom au virus – quand notre collègue Elena Kabirova est entrée dans la pièce. Son nom était très similaire à celui du virus – étrange coïncidence jungienne ? Nous lui avons donc demandé si elle voulait que son nom passe à l’histoire en l’associant au premier virus pour téléphone mobile. Et puis, vous connaissez la suite. 🙂

Alors comment avez-vous réussi à trouver l’identité du virus sans avoir en main l’un des téléphones ciblés par le virus ?

Comme cela se produit souvent avec les virus, nous avons reçu un e-mail avec rien d’autre qu’une pièce jointe qui contenait le fichier virus. Il nous a été envoyé à une adresse que nous avions spécifiquement créée pour ça newvirus@kaspersky.com.  Nous connaissions l’expéditeur du e-mail, il était listé dans nos bases de données. Il n’était pas connu pour être auteur de virus, mais nous savions qu’il était associé à l’underground. De temps en temps, il nous envoyait un nouveau malware créé par des concepteurs de virus européens. Règle générale, tout ce qu’il nous transmettait s’avérait être quelque chose de sérieux, c’est-à-dire nouveau et unique. Nous savions à l’avance que ce qu’il nous avait envoyé allait être important. Effectivement, certaines des chaines de caractères présentes dans le code confirmèrent notre intuition (la mention par exemple de 29A). Il était clair que nous avions affaire un malware malveillant créé par le célèbre groupe international d’auteurs de virus 29A.

À ce moment, nous ne savions pas que le fichier contenant le virus avait été envoyé à plusieurs compagnies d’antivirus. Mais ça importait peu : nous étions les seuls capables de comprendre ce que contenait le fichier.

Alors, que s’est-il passé ensuite ?

Après l’analyse initiale du virus, il devenait évident que nous allions avoir besoin de deux exemplaires du smartphone avec Symbian, comme le virus se transmettait d’un smartphone à un autre à travers Bluetooth. Nous avons donc copié le virus sur le premiertéléphone, nous avons mis en marche le Bluetooth du second en mode détection, et un instant plus tard, une demande d’acceptation de fichier est apparue sur l’appareil. Après avoir reçu et exécuté le fichier, le second téléphone s’est automatiquement mis à chercher tous les appareils dont le Bluetooth était activé. Nous avons donc confirmé que le virus se propageait via Bluetooth. Ensuite, nous avons distribué un communiqué de presse qui présentait au monde entier le premier virus pour téléphone mobile. Mais ce n’était que le début…

Le mode de fonctionnement du virus et ses modifications subséquentes nous mirent face à un important problème pratique dans nos bureaux. Après tout, nous n’étions pas dans le vide, mais plutôt dans un environnement de travail typique. Tout autour, il pouvait y avoir des collègues qui accepteraient le fichier infecté sur leur Nokia. Nous avons réalisé à ce moment que nous mettions nos propres collaborateurs en danger d’infection. C’est ce qui nous a donné l’idée de construire une pièce spéciale en fer blindé dans laquelle nous allions pouvoir faire nos expérimentations avec les malwares pour mobile de manière sécuritaire.

Dans la pièce, il n’y avait aucune couverture mobile et toutes les communications étaient bloquées : tout était pris en compte pour prévenir la propagation des virus à l’extérieur du local. La salle en plus d’être un outil essentiel pour tester les virus de téléphone mobiles, s’est révélée être l’attraction favorite des médias, nous leurs offrions toujours une visite. De nos jours, les malwares pour téléphone mobile ont changé drastiquement, et les virus de la  » vielle-école  » comme Cabir n’existent même plus, alors une pièce comme celle que nous utilisions jadis n’est plus nécessaire, au grand dam des médias.

Vous disiez que le virus avait été créé par un groupe de créateurs d’une classe à part, parlez-m’en un peu plus.

C’est le groupe de créateurs de virus le plus légendaire de l’histoire. Ils ont créé une quantité massive de virus sophistiqués et uniques en leur genre. Le groupe était composé d’auteurs de virus d’un peu partout dans le monde, plusieurs des membres changeaient constamment, malgré l’existence d’un noyau dur constitué de personnes d’Espagne et du Brésil.  Un de ceux-ci, un homme appelé, si ma mémoire est bonne, Vallez a créé Cabir. Les membres du groupe des 29A n’étaient pas des cybercriminels au sens des standards actuels. C’était des auteurs de virus qui créaient des malwares pour tester et démontrer les avancées technologiques en termes de virus. Ils étaient plus motivés par des questions idéologiques que par le gain personnel. Ils furent précurseurs à de nombreux égards : les premiers à créer un macrovirus, les premiers à concevoir un virus pour la plateforme de Windows 64… Chaque invention des 29A était une découverte, que les autres auteurs de virus et cybercriminels utilisaient ensuite. Et nous devons garder en tête qu’à cette époque, en 2004, la cybercriminalité émergeait à peine. À cette époque, la majorité des virus étaient créés juste pour le plaisir par des gens qui essayaient de ‘s’exprimer’.

Le groupe qui a créé Cabir était reconnu pour sa sophistication et possédait son propre e-zine.  Tweet

Le groupe a existé jusqu’en 2009, par contre, il était devenu de moins en moins actif. Certains de ses membres furent arrêtés – en Espagne, au Brésil, en République Tchèque, alors que d’autres continuent à écrire des malwares. Nous savons cela parce que de temps en temps nous tombons sur des codes qui nous sont familiers, comme si on reconnaissait les styles d’écritures ou les empreintes digitales.

Vous avez mentionné des modifications postérieures de Cabir, comment Cabir s’est-il développé ?  

Le groupe qui a créé Cabir était connu non seulement pour sa sophistication, mais aussi par le fait qu’il publiait son propre e-zine. Quelques mois après l’apparition de Cabir, des informations sur le vers ont été publiées en plus de quelques extraits exécutables du code. Peu de temps après, de nouvelles modifications de Cabir apparaissaient chaque semaine. Un des auteurs de virus porté par un fort désir de reconnaissance nous envoyait de manière persistante ses modifications du virus, toujours accompagné d’une requête pour lui donner un nouveau nom. Et ses tentatives d’entrer dans l’histoire des virus d’appareil mobile ont duré encore en encore pendant un an. Finalement, il a eu ce qu’il voulait : nous avons classé l’une de ses modifications dans une famille séparée, nous n’avions pas vraiment le choix.

Pourquoi est-ce que F-Secure est étroitement lié au virus Cabir ?

Cabir est arrivé à générer une bouillonnement médiatique significatif, malgré le peu de dommages qu’il a causés.Il se trouve qu’en 2005, un tournoi sportif avait lieu en Finlande. Il y avait donc un stade rempli de gens de partout sur la planète. Le rayon d’action de Cabir était plutôt limité, comme la portée de Bluetooth est d’environ 20 mètres, mais dans un stade plein à craquer ?… J Le problème prit encore plus d’ampleur comme les téléphones de marque Nokia viennent de Finlande et ils y sont très populaires. Inutile de vous dire que Cabir s’est facilement introduit dans le stade, dans les poches d’un des 10 000 spectateurs.

Alors pendant que les athlètes courraient sur les pistes,  Cabir courrait aussi, un peu partout dans les gradins. Je sais, la réalité dépasse la fiction ! Enfin bref, éventuellement Cabir est atterri dans le téléphone mobile d’un employé de F-Secure présent au stade (question : pourquoi a-t-il accepté le transfert par Bluetooth d’un fichier inconnu ?). Quelques jours plus tard, la compagnie d’antivirus finnoise offrait d’installer un scanner Bluetooth dans le stade afin que les visiteurs puissent vérifier si leurs téléphones étaient infectés par le virus.  Voilà le lien (ou l’astuce !?) entre Cabir et F-Secure.

-Que faisait ce virus, à part se promener d’un Bluetooth à l’autre ?

-Si vous vous référez ici à des pertes financières directes, Cabir n’en a causé aucune. Il épuisait rapidement la batterie – en deux ou trois heures – comme la recherche constante de connexions Bluetooth gaspille précipitamment les ressources de la batterie. En terme monétaire, les virus postérieurs, qui, en plus de se répandre à grande vitesse, envoyaient des SMS à des numéros aux tarifs élevés, étaient beaucoup plus dommageables. Par exemple, un célèbre virus post-Cabir, Conwario, a causé une épidémie dans une ville espagnole et les dégâts financiers ont atteint plusieurs millions d’euros.

-Aujourd’hui, nous avons parlé d’une menace aux téléphones mobiles précise, de la manière dont elle s’est répandue, et de qui était derrière tout ça. Mais nous n’avons pas abordé la question de la protection des plateformes mobiles à cette époque. Nous n’avions vraiment aucun outil pour faire face aux menaces ?

Bon, la situation n’était pas si alarmante, parce qu’avant la découverte de Cabir, des virus pour le système d’exploitation Palm avaient déjà émergé. Donc, plusieurs compagnies d’antivirus avaient développé des formes de protection pour cette plateforme. Mais éventuellement, la poussière est retombée, aucun nouveau virus n’apparaissait, alors les gens ont un peu arrêté de penser au virus qui avait affecté Palm et à sa protection (en plus, les Palms n’étaient pas des smartphones et ils n’étaient pas aussi populaires que les téléphones mobiles). Mais avec la découverte de Cabir, nous avons repris les recherches et les travaux, les avons améliorés et peu de temps après, nous lancions sur le marché un antivirus pour les plateformes mobiles. Depuis lors, de plus en plus de virus ont émergé et nous avons continué à modifier et à mettre à jour nos services de protection mobile. Aucun outil pour faire face aux menaces ? Bien au contraire…

 

LIRE LES COMMENTAIRES 0
Laisser un commentaire