Passer au contenu

A qui profitent les nouveaux virus ?

Piratages de comptes, chantages, extorsions de fonds : les experts en sécurité informatique n’hésitent plus à faire le lien entre auteurs de virus et réseaux de criminalité organisée.

Lundi 26 janvier 2003, 20 h, région parisienne. Dans les locaux d’un éditeur d’antivirus, c’est l’affolement. En quelques minutes, plus de 100 exemplaires d’un virus encore inconnu viennent d’être transmis par des clients du monde entier. Le technicien de permanence sait que chaque seconde compte. Il doit analyser le code source de la bête le plus rapidement possible pour comprendre son fonctionnement… et trouver un moyen de la détecter à coup sûr. Tous les nouveaux virus ­ on en dénombre cinquante par jour ! ­ n’ont pas le droit à ce traitement de faveur. Le plus souvent, il faut entre trois et cinq jours aux éditeurs d’antivirus pour diffuser une parade efficace.

250 000 $ pour la tête de l’auteur de MyDoom

Mais ce soir, la situation est exceptionnelle. Sur Aved.net, une liste de discussion réservée aux chercheurs d’antivirus, les messages fusent. Le nouveau venu, baptisé MyDoom, est déjà ‘ in the wild ‘, dans la nature. Et il se répand à raison de plusieurs dizaines de milliers d’exemplaires par minute. En moins de deux heures, une mise à jour est disponible pour la majorité des antivirus. Mais il est déjà trop tard : au cours de cette dernière semaine du mois de janvier, la société MessageLabs, qui gère les serveurs de messageries de grandes entreprises, va intercepter 16 millions de mails infectés… Comme ses nombreux cousins, MyDoom se répand par la messagerie sous forme de pièce jointe. Il est dissimulé dans un message indiquant qu’un mail n’a pas été correctement envoyé.Plus original : son auteur a aussi programmé un mode de dissémination par KaZaA. Cette méthode n’a cependant pas provoqué un grand nombre de contaminations.MyDoom a été programmé pour attaquer un site, en l’occurrence celui de SCO, un éditeur de logiciels Unix. A partir du 3 février, MyDoom a submergé ce site de tentatives de connexion, plus de 100 par minute. Avec un million d’ordinateurs infectés, cela a suffi pour mettre KO les serveurs de SCO, alors que MyDoom contenait un bug qui n’a rendu l’attaque possible que dans 17,5 % des cas. Les dirigeants de la société ont mis à prix la tête de l’auteur (ou des auteurs) de ce virus : 250 000 $ de récompense à qui permettra d’identifier son origine.En plus de son attaque contre SCO, MyDoom installe un cheval de Troyes. Tous ceux qui connaissent le code d’accès à ce cheval de Troyes peuvent l’utiliser pour lui envoyer un programme à exécuter sur l’ordinateur de la victime. Cette porte dérobée devait servir à diffuser une deuxième version du virus, MyDoom.B, programmée pour attaquer le site de Microsoft. Cette dernière a toutefois été arrêtée rapidement ; elle n’aurait de toute façon pas été dangereuse, un bug l’empêchant de lancer toute attaque. Microsoft a toutefois lancé une chasse à l’homme en offrant une prime, comme SCO.

Les créateurs de virus ont franchi une nouvelle étape

Pas de doute : MyDoom ressemble bien aux virus Sobig, Mimail ou BugBear, qui se sont multipliés au second semestre de l’an dernier. Contrairement aux virus créés les années précédentes, Melissa ou I Love You, ils n’ont rien de plaisanteries des petits ‘ génies ‘ de l’informatique en mal de reconnaissance. Danielle Kaminsky, chercheur en criminalité informatique, qui a rencontré de nombreux auteurs de virus pour réaliser une étude commanditée par le Clusif (une association regroupant autour du thème de la sécurité les patrons informatiques de nombreuses grandes firmes françaises), explique : ‘ Depuis le second semestre 2003, les auteurs de virus ont franchi une nouvelle étape. Ils en écrivent maintenant qui servent à remplir malhonnêtement leur portefeuille. Ils avaient depuis longtemps conscience des gains financiers qu’ils pouvaient tirer de leurs créations ; mais ils se contentaient jusque-là de les vendre à certains éditeurs d’antivirus, leur permettant ainsi de préparer des antidotes avant leurs concurrents. ‘Aujourd’hui, le moyen le plus répandu de faire de l’argent facile sur Internet, c’est d’envoyer des spams. Et avec les virus, il n’y a même pas besoin d’acheter de coûteux serveurs risquant d’être repérés par la police. Il suffit qu’un de ces sales logiciels installe un programme servant de relais aux messages non sollicités sur le PC de dizaines de milliers d’internautes, et le tour est joué. C’est gratuit et quasiment anonyme ! Le business est d’ailleurs très rentable, les spammeurs estimant que, en moyenne, un mail sur mille se concrétise par un retour payant (commande de Viagra, abonnement à un site pornographique…). En expédiant 70 millions de spams par jour ­ un chiffre courant pour les plus gros pollueurs ­, cela représente 70 000 ventes, soit plus d’un million d’euros de chiffre d’affaires en une journée !Les relais de messageries installés par les virus trouvent de nombreuses autres utilisations. Par exemple, des arnaques à grande échelle. Connues sous le nom de phishing, ces escroqueries sont simples : il s’agit de messages semblant provenir d’une banque, d’un site d’enchères, etc. En général, ils usent d’un prétexte fallacieux pour extorquer à l’utilisateur des données personnelles : numéros du permis de conduire, de Sécurité sociale… A nouveau, les serveurs relais installés sur des ordinateurs infectés permettent aux auteurs et à leurs commanditaires de rester anonymes. Cette protection est efficace : sur les septauteurs de virus arrêtés en 2003, on ne trouve que des seconds couteaux, des adolescents qui avaient récupéré le code source des virus d’origine et l’avaient légèrement adapté. Aucun auteur de version originale n’a encore été attrapé pour l’instant…

Les chevaux de Troyes inquiètent les experts

Mais ce qui inquiète aujourd’hui le plus les experts en sécurité, ce sont les chevaux de Troyes installés sur les PC infectés par les virus. ‘ Entre novembre 2003 et janvier 2004, le nombre de portes dérobées circulant sur Internet a doublé, alors qu’il était resté stable les mois précédents ‘, avertit François Paget, chercheur antivirus chez Network Associates. Une mesure effectuée avec Vpatrol, l’outil de veille commun à tous les éditeurs d’antivirus. Ces ‘ backdoors ‘ permettent à tous ceux qui disposent du bon code de s’introduire dans les machines infectées pour lancer contre des sites des attaques identiques à celle perpétrée par MyDoom contre SCO. Des attaques de ce type auraient été précédées d’opérations de chantage, comme cela semble avoir été le cas pour des casinos en ligne.

Des sites miroirs au secours des serveurs

Les éditeurs d’antivirus prennent ce type de menaces tellement au sérieux qu’ils se sont protégés contre une telle éventualité : ‘ Nous utilisons des dizaines de sites miroirs : cela devrait empêcher qu’une attaque mette nos serveurs à genoux ‘, rappelle Damase Tricart de Symantec. Quelques jours après la diffusion de MyDoom, près de 2 500 personnes scannaient tous les ordinateurs connectés à Internet, à la recherche du cheval de Troyes installé par le virus. ‘ Il pourrait très rapidement autoriser ceux qui en connaissent le code de lancer une autre attaque ‘, affirme MarcBlanchard, chercheur antivirus chez Kaspersky. D’ailleurs, le virus DoomJuice, apparu le 9 février, se répand en utilisant la porte dérobée installée par MyDoom.Autre utilisation : installer sur les PC vérolés un programme de peer-to-peer, Sinit, dédié aux pirates. Découvert sur des dizaines de milliers de machines, ce logiciel fonctionne comme Gnutella. Il ne nécessite aucun serveur central. Chaque ordinateur du réseau Sinit recherche d’autres machines infectées par ce logiciel et peut y installer des programmes criminels. En se servant des quelques centaines de machines contaminées par Sinit, ce virus se répandrait à la même vitesse que MyDoom, discrètement et sans nécessiter l’ouverture de pièces jointes. De quoi créer un ‘ supervirus ‘, craint et annoncé par de nombreux experts…

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Alain Steinmann