La généalogie, arme de lutte contre les attaques informatiques ?

Par 12 janvier 2010
Mots-clés : Smart city

Etablir un ''arbre généalogique'' des vers informatiques montre qu'une poignée des PC atteints seulement est à l'origine de la plupart des infections. Une information qui pourrait servir à lutter contre ces logiciels malveillants.

Pour lutter contre les vers informatiques, des chercheurs avaient déjà essayé de s’inspirer de la nature. Trois membres de l’IEEE proposent quant à eux de concentrer les efforts de détection sur les quelques ordinateurs responsables de la majorité des infections. Les chercheurs expliquent en effet que seule une portion très faible des appareils infectés par un ver le transfèreront à un nombre important d’autres ordinateurs. Pour en arriver à cette conclusion, ils se sont intéressés à ce qu'ils appellent l’arbre généalogique des vers, et pas seulement à la croissance du nombre total de noeuds infectés. Les scientifiques ont étudié plusieurs types de vers connus pour définir un modèle de propagation en termes de probabilité.
La moitié des ordinateurs infectés n’en contaminent pas d’autres
Il s’agissait en fait d’identifier empiriquement le nombre d’"enfants" issus de chaque ordinateur contaminé et de noter la génération à laquelle ils appartenaient par rapport au "patient zéro". Ils se sont aperçus que, mathématiquement, deux ordinateurs lambda avaient une probabilité très inégale de propager un même ver. Dans 98 % des cas, les ordinateurs ne contaminent pas plus de cinq nouveaux hôtes. Pour la moitié des ordinateurs infectés, il n’y a même aucune propagation. La grande majorité des infections est donc le fait d’un très petit nombre d’ordinateurs. Les chercheurs envisagent du coup une détection ciblée qui se concentrerait sur ces quelques maillons faibles.
Cibler les noeuds à analyser
Les simulations théoriques menées montrent qu’en examinant de manière ciblée à peine plus de 3 % des noeuds d’un réseau, il est possible de mettre à jour plus de 20 % des bots. Pour cela, les scientifiques expliquent qu’il est nécessaire de s’intéresser aux noeuds qui engendrent le plus de contaminations. Pour identifier ceux-ci, il est possible de s’appuyer sur le fait que les différents ordinateurs infectés forment un réseau en pair à pair. Les chercheurs sont partis du principe que l’identification d’un ver menait à celle de tous ses "enfants". Les auteurs notent tout de même qu’un ver pourrait limiter le nombre maximum de ses "enfants" par hôte infecté pour se rendre plus difficile à détecter, et ce sans affecter sa vitesse de propagation outre mesure.

Mentions légales © L’Atelier BNP Paribas