|
|
Alerte autour de Code
rouge et de Sircam Le mardi 7 août 2001 |
|
Le ver,
la bombe logique, le cheval de Troie: trois
grandes familles de virus
Code rouge et Sircam: deux vers
venimeux
Les virus attaquent A
trop crier au loup... Il y a pire que
les virus: les rafales de mails que l'on reçoit d'«amis»
cherchant à mettre en garde contre tel ou tel virus... Ce sarcasme
courant reflète l'agacement croissant de nombre d'informaticiens
face à l'ampleur que prennent les «affaires» de virus.
Ces affaires, soulignent-ils, sont alimentées par ceux à
qui elles profitent: éditeurs d'antivirus et experts en sécurité.
Alors comment distinguer vrais dangers et fausses alarmes? Rob Rosenberger,
ancien professionnel américain de la sécurité informatique,
anime un site (vmyths.com)
dédié à la chasse aux virus canulars où il
analyse le traitement de chaque alerte dans les médias. Interrogé
par le magazine Wired sur le phénomène Code rouge, Rosenberger
estimait que le mieux serait encore de «fermer l'Internet»...
E.L. |
Eté
pourri pour les clients de Bill Gates: deux nouveaux virus, profitant comme
leurs prédécesseurs de failles de sécurité dans
les logiciels Microsoft, se propagent à grande vitesse via l'Internet.
Au point que les responsables de la sécurité informatique
américaine et les éditeurs d'antivirus sonnent l'alarme comme
jamais.
Pas trop de dégâts pour l'instant, mais beaucoup d'inquiétude: les deux bestioles, baptisées Sircam et Code rouge, se montrent plus facétieuses que leurs aînées. Les fameux I love you, Melissa et autre Anna Kournikova exploitaient les faiblesses d'un logiciel de courrier électronique (Outlook, sous Windows) pour se multiplier en boule de neige: après avoir infiltré un PC, ces petits programmes se propageaient par e-mail en s'autoexpédiant à toutes les adresses électroniques du répertoire de l'utilisateur. Mais il fallait une intervention humaine (ouverture de la «pièce jointe» de l'e-mail piégé) pour déclencher chaque phase de l'infection. Secrets d'Etat. Sircam, apparu le 17 juillet, procède de manière similaire, mais il est plus taquin: il sait se passer du logiciel Outlook et va pêcher dans les machines parasitées des fichiers «sensibles» qu'il expédie sur l'Internet. Après avoir infiltré des ordinateurs du gouvernement ukrainien, Sircam aurait diffusé en fin de semaine dernière divers documents secrets dont la divulgation «peut causer des dommages politiques et économiques réels au pays», aux dires des services de sécurité ukrainiens. C'est ainsi que le site Forum (www.for-ua.com) a pu publier, après l'avoir reçu par courrier électronique, l'horaire exact des déplacements du président Leonid Koutchma durant la fête nationale du 24 août prochain, c'est-à-dire un quasi-secret d'Etat. Sircam a également contaminé un ordinateur du FBI et distribué plusieurs documents de l'agence fédérale américaine. «Sircam n'est pas très nocif, mais il se déploie vite», constate en France un responsable du Cert-Renater (suivi de la sécurité sur les réseaux français). Par rapport aux autres virus, sa longévité semble anormalement élevée. Le nombre de machines touchées reste difficile à déterminer. Cyclique. Code rouge est un tout autre animal, plus politique. Il ne s'en prend pas aux ordinateurs des particuliers mais aux serveurs web (1). Son fonctionnement est cyclique: pendant quelques jours (du 1er au 19 du mois), il est en mode «infectieux», infiltrant les serveurs et remplaçant parfois la page d'accueil du site par le message «Hacked by Chinese» («piraté par des Chinois», bien que cette origine ne soit pas confirmée). Puis subitement (le 20 du mois), il passe en mode «attaque»: les machines contaminées se mettent à bombarder de requêtes un serveur donné - celui de la Maison Blanche en juillet -, mettant le site visé hors service (attaque dite «par saturation»). «Porte dérobée». Code rouge a commencé à sévir à la mi-juillet. Hier, des experts américains et britanniques ont signalé de nouvelles variantes du virus. «Celles-ci ont la fâcheuse capacité d'installer une backdoor («porte dérobée», ndlr) sur la machine infectée, ce qui permet à n'importe qui d'accéder en lecture à tous les fichiers de cette machine, rapporte Jérôme Poggi, consultant en sécurité informatique chez HSC. Code rouge, dans sa deuxième version, doit mourir fin septembre. Mais, en un mois et demi, il va évoluer ou changer de nom pour devenir encore plus dangereux. Un ver qui se propagerait silencieusement et serait capable d'exploiter plusieurs failles à la fois pourrait faire beaucoup plus de mal que Code rouge.» Pour Jérôme Poggi: «Nous entrons dans une phase d'escalade, le pire est devant nous.» Même alarmisme du côté du FBI, qui, la semaine dernière, allait jusqu'à pronostiquer un ralentissement de l'Internet lorsque Code rouge entrerait dans sa nouvelle phase d'infection, le 1er août (le pronostic s'est révélé erroné). D'autres, comme l'expert américain Rob Rosenberger (lire ci-contre), estiment au contraire que ces alertes répétées au virus relèvent souvent - comme le bug de l'an 2000 - de l'«hystérie». En France, en tout cas, Sircam et Code rouge ne semblent avoir provoqué pour l'heure que des dégâts modérés. «Il n'y a pas de raz-de-marée. Ce ne sont jamais que deux virus de plus», relativise-t-on au Cert-Renater.
(1) Ordinateurs sous Windows NT ou Windows 2000 exploitant les versions anglaises du programme Information Server (environ 20 % du marché). |
