Le 26 janvier 2006, vers 8 h, heure normale de l'Est, plusieurs spécialistes en sécurité américains ont décelé un nouveau ver informatique joint à des courriels provenant de la Russie. Sans connaître la suite des choses, ils ont nommé ce ver « MyDoom », ce qui signifie « ma perte ». À midi, la propagation de MyDoom était considérable. En effet, le ver représentait dix pourcent des courriels envoyés sur Internet, consommait de plus en plus de bande passante et ralentissait de façon importante les échanges de données. Deux jours plus tard, un courriel sur cinq avait été produit par MyDoom. Ce n'est toutefois que le 1er février, après avoir infecté environ un million d'ordinateurs, que MyDoom a lancé la seconde étape de son plan : une attaque par saturation organisée contre une entreprise de haute technologie.

Depuis MyDoom, il y a eu des vagues successives de programmes malveillants à propagation fulgurante conçus pour prendre le contrôle d'ordinateurs personnels et commerciaux et créer des réseaux de zombies. Ces vastes réseaux distribués, qui peuvent compter jusqu'à 3 500 000 ordinateurs zombies, permettent ensuite à des criminels de se procurer des renseignements personnels, d'envoyer des pourriels, de voler des documents numériques ou des mots de passe et de commettre d'autres crimes.

Pour les entreprises, le coût de la cybercriminalité est énorme. Un sondage réalisé en 2009 par l'entreprise de sécurité informatique McAfee auprès de 800 dirigeants principaux de l'information a évalué à 4,6 milliards de dollars le coût des pertes de données causées par des programmes malveillants et à 600 millions de dollars les mesures correctives prises à la suite de ces brèches de sécurité. Voilà pourquoi, selon Mathieu Couture, chercheur en sécurité des réseaux du groupe des Technologies des réseaux à large bande du Centre de recherches sur les communications (CRC), la tenue de deux prestigieuses conférences sur la cybersécurité en sol canadien constitue un coup formidable pour le milieu de la sécurité des technologies de l'information (TI) et les entreprises du Canada.

Cet automne, le CRC et Recherche et développement pour la défense Canada-Ottawa (RDDC-Ottawa) accueilleront conjointement le septième symposium international Visualization for Cyber Security (VizSec) le 14 septembre et le treizième symposium international Recent Advances in Intrusion Detection (RAID), du 15 au 17 septembre 2010. Ces conférences se tiendront dans le centre-ville d'Ottawa et elles réuniront des chercheurs de calibre, des personnes responsables de la sécurité des ordinateurs et des réseaux ainsi que du personnel technique souhaitant découvrir les nouveautés en matière de sécurité. Une exposition offrira aux entreprises canadiennes et internationales une chance exceptionnelle de présenter leurs derniers développements technologiques dans le domaine de la cybersécurité.

« À elle seule, RAID attire généralement plus de 150 participants des milieux universitaire, industriel et gouvernemental du monde entier », indique Frédéric Massicotte, chercheur en sécurité des réseaux du CRC et président général de RAID 2010. Le nombre de participants, et le fait qu'ils représentent les milieux universitaire et industriel, facilitera la création de liens et la mise sur pied de collaborations ou de partenariats avec des chefs de file de la cybersécurité.

Habituellement, RAID se tient en alternance en Europe ou aux États-Unis. RAID 2010 est donc la première conférence de la série à se dérouler au Canada.

« Nous sommes très honorés, déclare Frédéric Massicotte, d'avoir été choisis pour accueillir la conférence. » Il ajoute que les laboratoires de recherche rivalisent pour accueillir cet événement et que les hôtes antérieurs comprennent le Massachusetts Institute of Technology (MIT), la Carnegie Mellon University et IBM. Il n'est toutefois pas totalement surprenant de voir le CRC se joindre à d'aussi illustres hôtes.

Frédéric Massicotte explique que le CRC a acquis une vaste renommée dans le domaine de la recherche sur la détection des intrusions lorsque le laboratoire a conçu un outil appelé « Système d'expérimentation automatique » (SEA). Les chercheurs du CRC ont utilisé cet outil pour générer un ensemble de données contenant les « traces de trafic » d'une attaque informatique. Ces traces de trafic consignent l'activité d'un réseau lorsqu'un « exploit » tente d'attaquer un ordinateur. Un exploit est essentiellement un outil qu'utilise un pirate. Il s'agit de petits morceaux de logiciel libre servant à tirer avantage des vulnérabilités de logiciels. Tout comme le marteau qu'utilise un cambrioleur pour fracasser la fenêtre d'un sous-sol, l'exploit crée un accès en empruntant une brèche dans la sécurité. Il permet ensuite à un code malveillant d'entrer dans le système et d'atteindre son but.

Frédéric Massicotte raconte que des équipes de recherche du monde entier ont utilisé les traces de trafic du CRC pour étudier la détection des intrusions et recueillir de précieux renseignements sur le comportement des logiciels visés par une attaque et, conséquemment, les mesures à prendre pour détecter ces attaques. On utilise encore aujourd'hui les traces conçues lors des premiers travaux du SEA.

Mathieu Couture indique que les travaux actuels du laboratoire s'appuient sur les premiers travaux relatifs aux exploits, mais qu'ils se concentrent désormais sur le problème plus complexe et incontrôlé des programmes malveillants, appelés aussi « maliciels ».

« La différence entre le travail sur les exploits et les maliciels réside dans le fait qu'avec les exploits, on sait ce que l'on télécharge. Vous savez pourquoi ils sont conçus. En revanche, avec les maliciels, on ne sait presque rien. On sait seulement qu'ils produiront assurément un résultat désagréable. »

L'un des défis des travaux sur les maliciels, ajoute-t-il, consiste à leur fournir un environnement réseau assez complexe pour leur permettre de montrer ce dont ils sont capables tout en s'assurant que les ordinateurs et le réseau infectés sont coupés de tout accès à des ordinateurs ou à des réseaux externes pouvant contribuer à leur propagation.

« Pour lancer son attaque, un maliciel peut avoir besoin, par exemple, d'un serveur IRC [Internet Relay Chat] ou d'un accès à Twitter ou à Facebook. Il est difficile de reproduire cela dans un système isolé, mais la destruction que peut causer un maliciel nous oblige à protéger les autres ordinateurs et le réseau contre toute infection. »

Dans le but de contourner ce problème, le laboratoire utilise le SEA pour simuler un réseau composé de connexions et d'ordinateurs virtuels. Avec plus d'un million de maliciels à l'étude, le réseau virtuel fournira aux chercheurs des renseignements importants sur les attaques de maliciels. Frédéric Massicotte ajoute que le SEA pourra aider les spécialistes en sécurité de l'industrie à s'occuper des infections causées par les maliciels plus rapidement.

« L'utilisation du SEA pour analyser rapidement des échantillons de maliciels aidera les entreprises en sécurité de réseau à réduire leur temps d'intervention lorsqu'un nouveau maliciel fera son apparition », précise Frédéric Massicotte.

Pour de plus amples renseignements sur RAID, visitez le www.raid2010.org.

Pour de l'information sur VizSec, consultez le http://www.vizsec.org/vizsec-2010/.

Vous pouvez aussi communiquer avec Frédéric Massicotte à frederic.massicotte@crc.gc.ca ou au 613-998 2843.