Non, les combinés téléphoniques ne risquent rien. La menace combinée (blended threat) est avant tout un terme un peu fourre-tout pour désigner un code malveillant qui associe les fonctionnalités distinctives de différentes familles de codes malveillants historiques.

Car les choses étaient encore simples avant les années 2000 : les virus infectaient (les secteurs d’amorce des disquettes, les fichiers…), les chevaux de Troie s’installaient (en promettant monts et merveilles à l’utilisateur) et les vers se propageaient tous seuls (mais avec l’aide d’une vulnérabilité).

Les choses se sont compliquées avec l’apparition de virus qui, une fois installés, déposaient par exemple un cheval de Troie. Ou encore de vers capables, une fois la vulnérabilité exploitée, d’infecter le système de fichiers avec un virus très traditionnel.

Puis sont arrivés les véritables hybrides, des bêtes capables d’exploiter une vulnérabilité réseau pour prendre pied sur le système, puis de l’infecter avec un virus afin de s’y maintenir, d’y déposer au passage un cheval de Troie (souvent un keylogger ou un rootkit) et enfin de tenter de se propager à nouveau via une autre voie, par exemple en infectant les pages HTML s’il s’agit d’un serveur web ou en envoyant des emails piégés sinon.

L’exemple parfait d’une menace combinée reste Nimda : ce dernier infectait les serveurs web via une vulnérabilité de Microsoft IIS, se propageait via leurs visiteurs (sous Internet Explorer 5.01 et inférieur), explorait simultanément les partages locaux accessibles depuis le serveur et finalement se propageait par emails avec une pièce jointe exécutable.

La menace combinée est donc celle qui embarque plusieurs charges offensives (DDoS, keylogger, spyware, rootkits, etc…), utilise de multiples canaux de propagation (vulnérabilité réseau, sites web compromis, emails infectés, etc…) et enfin exploite plusieurs techniques d’infection (modification des clés du registre, infection des exécutables, modification de fichiers HTML, etc…). Le tout généralement packagé en un code malveillant unique ou « à étages » (les différentes parties sont récupérées via une connexion réseau).

Du côté des parades, le grand discours marketing de l’époque des Blended Threats (au milieu des années 2000) était qu’elles exigent des défenses elles aussi combinées : l’antivirus ne suffit plus et il doit travailler de concert avec le pare-feu, la détection des vulnérabilités et l’IDS.

Aujourd’hui, bien qu’il n’y ait plus guère d’épidémie majeure et donc de menaces combinées, ce besoin là demeure tout à fait d’actualité… mais il semble encore loin d’être acquis !