La lutte contre les vers informatiques se fait en amont de leur propagation

Par 02 février 2010

En estimant par avance le nombre d'hôtes pouvant être infectés et en limitant le nombre de requêtes pouvant leur être envoyé, le système développé par des chercheurs pennsylvaniens réduit la diffusion des vers.

En s’inspirant de la généalogie, des chercheurs de l’IEEE ont récemment montré qu’une poignée d’ordinateurs était à l’origine de la plupart des propagations des vers informatiques. Une information intéressante si on la cumule avec les travaux de chercheurs de l’université d’état de Pennsylvanie. Ceux-ci ont en effet développé un système capable d’identifier et de limiter l’action des vers informatiques avant qu’ils ne commencent réellement à se propager. Les vers ciblés par cette méthode sont ceux qui scannent les réseaux ou les sous réseaux à la recherche d’hôtes potentiels. De ce fait, ils sont capables de se propager très rapidement et échappent souvent aux défenses classiques.
Etablir un seuil critique
Pour ce faire, le système va en fait estimer le nombre d’hôtes potentiels au sein d’un réseau donné ainsi que le nombre de scans dont a besoin à un ver pour les infecter. Ce nombre va être établi comme seuil critique. C’est-à-dire que si un ver envoie un nombre de requêtes à destination d’un port donné excédant ce seuil, l’algorithme va le mettre en quarantaine automatiquement. Le réseau est ensuite cassé en de multiples petits réseaux ou cellules, parfois d’un seul ordinateur. L’objectif est alors de limiter l’infection puisqu’un ver pourra se propager à l’intérieur de ces cellules mais pas entre elles. De fait, les ordinateurs infectés vont se retrouver isolés.
La simulation prouve l’efficacité de l’algorithme
"En appliquant le seuil d’isolement de notre algorithme, les intrusions peuvent être stoppées rapidement", explique Yoon-Ho Choi, le responsable du projet. Pour tester l’efficacité de leur solution, les chercheurs ont mené une série de simulations informatiques en faisant appel aux différentes techniques de scans utilisées par les vers informatiques de ce type. Les résultats ont démontré que le système permettait d’estimer efficacement la virulence d’un ver donné. "Notre test montre que l’algorithme est fiable même au tout début de la propagation et plus efficace que les techniques de défense à la pointe", affirme le chercheur américain.

Mentions légales © L’Atelier BNP Paribas