La cryptovirologie est la science qui étudie les virus informatiques en utilisant des techniques cryptographiques pour améliorer leur furtivité et rapidité de propagation. Ce document aborde les définitions, les attaques notables et les contremesures liées à ce domaine, tout en soulignant la résistance aux analyses cryptographiques et les défis posés aux développeurs antivirus. En conclusion, les stratégies de cryptovirologie favorisent la durabilité et la propagation des malwares.

1. R eda Boucid Master 2 – TIM Informatique & Multimédia 2007-2008 - Université de Nice Sophia Antipolis. Cryptovirologie Définition, attaques et contremesures

2. Cryptovirologie : Définition, attaques et contremesures PLAN Introduction Définition de la cryptovirologie Attaques cryptovirologiques Contremesures Conclusion 2007-2008 - Université de nice Sophia Antipolis. Reda Boucid

3. Cryptovirologie : Définition, attaques et contremesures > I ntroduction Virologie : Science traitant le phénoméne des Virus informatiques. - Virus : Programme informatique implémentant des stratégies malicieuses pour prendre contrôle des ressources d'un système. - Vers : Virus + Reconnaisance de la structure du réseau, Propagation rapide via le réseau. - Virus 'blindés ' : Virus difficile à detécter et à debugger chiffrage dynamique, polymorphisme, Code Obsufcation... > Exemples de malware: My DoomXX, Code Red ( 360000 IIS server inféctés/24 h ) ‏ Nimda Worm, Curious Yellow, Cryptographie : Science pour protection des informations. 2007-2008 - Université de nice Sophia Antipolis. Reda Boucid

4. Cryptovirologie : Définition, attaques et contremesures > Définition de la cryptovirologie Objectif > Blindage des virus > Amélioration de la furtivité des virus > Developpement de la vitesse de propagation des vers au sein des réseaux étendus. - Fondateurs : Créateurs de Vers et Virus, chercheurs aux universités américaines. - Implémentation : Cryptography API (CAPI ) de Microsoft. Cryptographie Virologie Virologie Cryptovirologie + 2007-2008 - Université de nice Sophia Antipolis. Reda Boucid

5. Cryptovirologie : Définition, attaques et contremesures > Outils Cryptovirologiques Source d'entropie : Générateur de nombre aléatoire RGN Techniques utilisées : Génération environnementale. Extraction du du RN par hashage. Cryptocounters : - Cryptodeclencheurs, Cryptodecompteurs - Détérmine le moment exact du declechement de de l'attaque virale. - Valeur à décrementer à chaque infection, ou passage par un hôte. ( Cryptocompteur ) . - Cryptocompteur : le compteur est chiffré Techniques utilisées : Algorithme asymétrique : RSA, El Gamal. 2007-2008 - Université de nice Sophia Antipolis. Reda Boucid

6. a,b,c, d Cryptovirologie : Définition, attaques et contremesures >A ttaques : Virus de Bradley Environnement 1 1. Collecter et tester les éléments d'activation. V = H(H(a ʘ b ʘ c ʘ d) ʘµ) ‏ µ = 512 oct de EVP1 V=M' > K1 = H(aʘbʘcʘd) ‏ sinn > desinfect. 2 .Générer la clé K1 >Decrypter EVP1 VP1 = Dk1(EVP1) ‏ VP1 : anti-anti viral code 3. K2 = H(K1 ʘv2) v2 = 512 de VP1 >Decrypter EVP1 VP2 = Dk2(EVP2) ‏ VP2 : Code de contamination. + polymorphic engine!!! 4. K3 = H(K1ʘK2ʘv3) ‏ >Decrypter EVP3 VP3 = DK3(EVP3) ‏ VP3: partie supplémentaire. M' 2 3 4 2007-2008 - Université de nice Sophia Antipolis. Reda Boucid

7. Cryptovirologie : Définition, attaques et contremesures >A ttaques : Extortion d'information D Virus de bradley. .RGN .Clé publique Kf Génération de la clé de session aléatoire ( RGN env ) Ks et IV D Chiffrage symétrique des données { D } - F Chiffrage de la clé Ks, IV et chksm par la clé public Kf : m'= Chiff Kf {Ks,IV,chksm} - Victime : Envoie du fichier F+ m' à l'auteur ' W' - W dechiffre m' par sa clé privée et le fichier F puis vérifie l'intégrité de F via le chksm.( h(F) = chksm) ‏ - W -> V la clé privée sinon .........!! Recherche du fichier désiré (F) ‏ Checksum de F, h(F) = chksm 2007-2008 - Université de nice Sophia Antipolis. Reda Boucid

8. Cryptovirologie : Définition, attaques et contremesures > Contremesures : - Pas grand chose pour le moment !!!! :=) - Contremesures préventives : Consultation des contenus cértifiés et sûrs - Mise a jour des systèmes informatiques et serveurs : pour éviter les attaques en exploit, patch. - Sécuriser ( cacher ) les données susceptibles d'êtres atteintes par le virus. - IDS : système de detéction d'intrusion : en developpment > Génération et propagation rapide des signatures virales > Automatisation des rapports et de l'audit. - Restrictions de l'utilisation des API de crypto pour une communauté professionelle et cértifiée ( pas au grand publique !) 2007-2008 - Université de nice Sophia Antipolis. Reda Boucid

9. Cryptovirologie : Définition, attaques et contremesures > Conclusion - La stratégie appliquée par la cryptovirologie est robuste - Resistance majeure à la cryptanalyse. - Favorise la propagation des vers et augmente la longévité d'un malware - Portabilité du principe : changer de platerforme ne tue pas le malware - Challenge pour les développeurs des antivirus 2007-2008 - Université de nice Sophia Antipolis. Reda Boucid

10. Cryptovirologie : Définition, attaques et contremesures > References Ivan Balepin , ' superworms and cryptovirology : a deadly combination', 2004. Eric Filiol , ' Techniques virales avancées ' , Springer editions, 2007 Yung , Adam Young , 'Malicious Cryptography, Exposing Cryptovirology' , Wiley editions , 2006. Webographie : http:// www.cryptovirology.com / http:// www.rosiello.org/archivio/Next_Virus_Generation.ppt VideoGraphie : Adam Young , Experiments from Cryptovirology labs. 2007-2008 - Université de nice Sophia Antipolis. Reda Boucid

11. Cryptovirologie : Définition, attaques et contremesures 2007-2008 - Université de nice Sophia Antipolis. Reda Boucid Merci Q&A