Le ver informatique piégé par son activisme

Par 06 juin 2008
Mots-clés : Smart city

L'Ohio State University a développé un logiciel capable de repérer en quelques minutes les vers et les ordinateurs infectés par ces derniers. Il isole alors les machines du réseau auquel elles sont rattachées et évite toute propagation.

Code Red : c'est le nom d'un ver - programme qui peut se reproduire lui-même et se déplacer en utilisant les caractéristiques propres aux fonctionnement des réseaux informatiques - qui en 2001 a causé plus de deux millions et demis de dollars de dommages aux entreprises. Il avait également réussi à bloquer les stations de métro en paralysant les systèmes informatiques les contrôlant ainsi que les centres d'appel des pompiers aux USA. Afin d'éviter que ce genre de catastrophe ne se reproduise, des chercheurs de la Ohio State University ont mis au point un programme capable de ralentir considérablement la vitesse de propagation d'un de ces programmes malicieux. La méthode s'attaque au type le plus virulent : celui qui envoie des scans afin de détecter les ordinateurs fragiles et de les envahir via Internet.
Mise en quarantaine immédiate
Les chercheurs ont développé un logiciel qui repère en quelques minutes si un de ces "virus des réseaux" a infecté un ordinateur : l'administrateur isole alors immédiatement les machines touchées et les maintient en quarantaine jusqu'à ce que l'intrus soit supprimé. Pour ce faire, le programme repère les ordinateurs qui envoient un nombre anormalement élevé de scans. Un programme malveillant de type worm, pour se propager, doit tester le plus grand nombre possible d'adresses IP afin de détecter les machines vulnérables. "Ces virus se répandent à une vitesse incroyable", explique Ness Shroff, membre du projet. "En moins de quatorze heures, Code Red avait infecté plus de 350 000 ordinateurs! Il s'agit donc de réussir à s'y attaquer dès les premières minutes". D'après les travaux menés par l'équipe, la technique de contrôle du nombre de scans émis permet effectivement de repérer les machines anormalement actives.
Diminuer et ralentir le virus
Pour cela, il leur a fallu répondre à une question : à partir de combien de scans l'activité de l'ordinateur est-elle suspecte ? Car un scan est une recherche d'adresse Internet, ce que chaque utilisateur effectue continuellement, en menant une recherche Google par exemple. Heureusement, le ver a une spécificité : il envoie un nombre de signaux très importants dans un faible laps de temps. Les chercheurs ont ainsi organisé des simulations, dans lesquelles le logiciel repérait les appareils qui dépassaient les dix mille scans émis. Résultat : le programme a pu limiter l'extension du virus à cent cinquante machines sur tout le réseau Internet, dans 95 % des cas. Le nombre d'ordinateurs touchés a ainsi considérablement été réduit, ainsi que la vitesse de diffusion du virus.

Mentions légales © L’Atelier BNP Paribas