1 2 3

Accueil du site > Le mag' > Mac & Cie > Sobig : plus c’est gros...

Articles - Prospective Sobig : plus c’est gros...

...mieux ça passe... ?

par Boro 31 août 2003

Les virus et autres vers qui assaillent la planète Wintel sont-ils en train d’annoncer le debut de la fin d’une technologie qu’on décrit comme obsolète depuis 20 ans ? Les MacUsers pourraient ne pas se féliciter trop vite des déboires de leurs "cousins-de-chez-Bill-en-face", sauf à avoir des réveils difficiles...

... mieux ça passe ?

Il n’est pas ici question de la dernière annonce en provenance de Redmond. Et pourtant... Le sujet concerne au premier chef Nos-cousins-de-chez-Bill-Gates-en-face ; ceux-ci n’en ont apparemment pas fini avec le Worm SoBig.F, même’il ne s’agit pas encore de son prochain avatar, qui n’est pas attendu avant le 11 septembre [1].
On constate en effet une recrudescence des envois de pourriels infectés depuis mercredi, avec une intensité encore supérieure de celle connue la semaine dernière, et alors qu’étaient à peine retombées les attaques des vers Mimail et Blaster.

Ledit ver a sévi dans les Pays Baltes le week-end dernier et lundi, alors que 19 à 20 serveurs sur les 20 qu’il avait été programmé pour contacter ont pu être déconnectées à temps. Le virus est programmé pour créer un mini-serveur proxy sur l’ordinateur hôte, lequel sera utilisé ensuite à distance comme un paravent pour diffuser des courriers de spam aux millions d’adresses e-mails qui ont pu être collectées par la première attaque. Sobig pille en effet non seulement le carnet d’adresse mais également tous les fichiers de la machine infectée contenant des adresses mails : documents texte, web, client mail, etc..

Le système est particulièrement machiavélique et élaboré : outre la moisson d’adresses mails valides que la vague de la semaine dernière a permis d’engranger et qu’il est désormais possible de monnayer, les pirates disposent à présent, avec les quelques milliers de postes qui demeurent très certainement infectés, d’autant de marionnettes derrière lesquels se cacher. Il leur est désormais possible se livrer à à peu près n’importe quelle activité délictueuse dans le plus complet anonymat. En effet impossible dans ces conditions de compter sur une simple adresse ip pour remonter jusqu’à l’émetteur du message.

Or, on a peut-être pas encore tout vu. Une campagne de masse de "reniflage" des ports dans les semaines qui ont précédé l’attaque avait permis aux pirates de déterminer les habitudes de connexion et le degré de protection de centaines de milliers d’ordinateurs connectés au haut-débit, tout autour de la planète. A partir de là, les pirates visiblement très organisés ont pu choisir une vingtaine de serveurs sinon comme cible du moins comme relais potentiels, vers lesquels les ordinateurs infectés transformés en autant de zombies devaient pointer à 21h heure française. Or, si l’attaque a pu être déjouée malgré quelques soucis en déconnectant du réseau la quasi-totalité des serveurs visés, on ignore toujours quelle était la tâche qui leur était assignée. Et certains spécialiste de craindre qu’il se soit agi-là que d’une répétition générale.

En effet, la possibilité théorique de chaîner les proxies entre eux existe, et de disposer ainsi d’un véritable jeu de miroirs en cascade pour semer définitivement d’éventuels poursuivants. Couplé au téléchargement d’un trojan sur un serveur utilisé comme "porteur sain" comme cela aurait pu être le cas vendredi, l’utilisation pernicieuse des clients IRC ou peer to peer comme mIRC ou Kazaa [2], ne serait-ce qu’en ouvrant un port supplémentaire, pourrait offrir aux pirates une formidable puissance de calcul partagée, à défaut d’un véritable petit réseau internet privé et mafieux.
Libre à eux d’en faire ensuite ce qu’ils voudraient, en fonction de leurs commanditaires : collecte d’informations personnelles, casse de code, pillage de banque par virements en cascade, paralysie générale du réseau ou attaque de centres névralgiques du secteur énergétique par exemple... ou "casse du Millenium" par de micro-prélèvements indolores sur les comptes à l’échelle planétaire.

"... dans l’intérêt du consommateur..."

En tout état de cause, les Macusers que nous sommes auraient bien tort de se taper sur les cuisses en se gaussant des malheurs des benêts qui n’eurent pas la clairvoyance ou des liquidités suffisantes pour choisir le bon côté. Car paradoxalement, et sans même penser une seule seconde à un fantasmagorique complot ourdi par une Agence Gouvernementale américaine et un Monopole Informatique pour verrouiller la liberté d’expression mondiale, c’est le responsable du lait renversé qui pourrait être le premier bénéficiaire de tout ce gâchis.
Cette caricature, tout droit sorti du scénario d’un nanard hollywoodien ne tient pas une seule seconde. Par contre, il ne manquera pas de voix dans les milieux proches de l’Admistration américaine actuelle [3] pour réintroduire Microsoft et ses "solutions" dans un débat sur la sécurité informatique dont il s’était exclu lui-même.

Une solution relativement simple en effet en l’absence de système d’exploitation stable pour contrer ces proxies-écran serait de doter un certain nombre d’ordinateurs du parc existant de petits executables discrets, chargés de garder trace des intrusions à la manière des proxies des gros systèmes jusqu’ici utilisés par les délinquants informatiques et qui finissaient tôt ou tard par parler et livrer les coupables, pour peu qu’en s’en donnât les moyens [4].

La solution simpliste serait de réintroduire par la fenêtre le projet conjoint Microsoft-Intel baptisé Palladium, enterré sous les huées et tellement honni qu’il avait fini par être renommé Next-Generation Secure Computing Base en catimini. Celui-ci prévoit en effet un composant d’attestation pour témoigner de l’origine d’un fichier, un"chemin sécurisé" qui code les données transitant par les périphériques USB et la sortie vidéo, un "stockage hermétique" pour conserver les données sous forme cryptée et seulement accessible aux applications dites "de confiance" et un "processus d’isolation renforcée" pour mettre ces mêmes application à l’abri des attaques. Si l’un des paramètres venait à changer, la machine ou le document ne serait plus considérés comme digne de confiance et se verrait éventuellement refuser l’accès au réseau des réseaux.

Bien entendu, tout cela nécessiterait des aménagements matériels pour la gestion du cryptage et de la signature des machines, mais outre le nombre de déchet considérable parmi les documents authentiques que peuvent faire redouter le procédé choisi et le piteuse démonstration de sa piètre efficacité lors de sa présentation, le risque principal est de livrer l’utilisateur au comportement souvent capricieux des applications, si ce n’est au bon-vouloir de leur(s) éditeur(s) pour ce qui est d’utiliser tel ou tel fichier. Et l’on ne parle même pas des possibilités d’espionnage que pourrait offrir un tel système à qui en détiendrait les clefs. Quant à la possibilité d’utiliser un système concurrent, il n’en est même pas question.

On le voit, c’est paradoxalement Microsoft qui pourrait-être le premier bénéficiaire d’un vent de panique sécuritaire, amalgamant dans le syncrétisme habituel menace terroriste, crime organisé et jeunes pirates informatiques. Les systèmes d’exploitations mis successivement sur le marché par Redmond ont beau s’apparenter à une sorte d’Emmenthal informatique [5], un brusque mouvement de reflux des consommateurs particuliers et des grands comptes n’est pas du tout certain : n’est qu’à voir la vague d’affluence record qu’ont connu les différents sites Microsoft ces jours derniers pour redouter la possibilité que les utilisateurs désemparés ne se tournent en définitive vers le premier responsables de leurs maux.

Certes, la baudruche du Mythe Microsoft a beau être en train de se dégonfler lentement, ce n’est pas pour autant que les solutions alternatives comme GNU Linux ou Mac OS X pourront s’imposer obligatoirement. Trois grands types d’évolutions sont envisageables, avec la possibilité de la poursuite de l’actuelle lente évasion des entreprises et des administrations dans un premier temps, puis d’un nombre grandissant de particuliers hors l’encombrante tutelle. La menace est prise très au sérieux à Redmond.Suite de l'article

commentaire(s) Imprimer

[1] Sobig.F est programmé comme ces prédesseurs prour se désactiver à une date donnée, en l’occurence le 10 septembre. Cette date passée pour anodine dans un premier temps est en fait remplacée par son lendemain dans les dépêches d’agences depuis quelques heures, lorsqu’il s’agit de marquer le point de départ de la "nouvelle menace". Ceci vient bien évidemment à l’appui de l’argumentation que l’on trouvera développée ci-après

[2] de tels scripts mIRC "soit disant optimisés" sont en ce moment utilisés sur les grands réseaux de t`chat français, et Kasaa, sans être le seul, est un vecteur bien connu d’infections virales

[3] à qui Redmond ne fait pas mystère de son soutien

[4] Etant entendu que ce genre de spies sont absolument inconnus à l’heure actuelle sur les différentes versions de Windows... ;-p

[5] un peu de code pour faire tenir ensemble les trous de sécurité

[6] La BSA regroupe le ban et l’arrière ban de l’industrie informatique mondiale, parmi lesquels on Intel et Microsoft, mais aussi Adobe et Apple