29/03/01
Le
virus W32.Winux ouvre la voie à des virus multi-plates-formes
Le virus dénommé W32.Winux, découvert
hier par la société Central
Command, est probablement le premier virus multi-plates-formes.
Il se reproduit en effet dans les fichiers exécutables
Windows (95/98/Me/NT/200) comme de nombreux congénères,
mais aussi parmi les exécutables Linux au format Elf.
Il ne fait a priori que se répandre, et n'opèrerait
donc pas de manipulations nocives pour l'utilisateur infecté.
Mais, au-delà de ces considérations, il peut
représenter une souche pour de nouveaux virus ou vers
multi-plates-formes. Prévoyants, ses auteurs, qui se
réclament du groupe 29A, précisent d'ailleurs
qu'il est distribué sous licence GPL, c'est-à-dire
en Open Source. Généreux...
Linux immunisé
en théorie contre les virus
Il faut cependant préciser que sous les système
de type Unix, les virus et les vers ne peuvent se propager
de la même manière que sur les systèmes
Windows (en tout cas ceux qui sont conçus sur Windows
95/98/Me). En effet, en environnement Unix, les fichiers sont
assortis de droits qui empêchent un utilisateur non
propriétaire du fichier de le modifier. Pour les fichiers
systèmes, ceux-ci appartiennent en général
à l'administrateur (root) qui peut seul les modifier.
En théorie, un virus doit donc infecter un système
par le biais d'un utilisateur connecté en session root,
pour qu'un virus soit nocif. Cela élimine notamment
par exemple nombre de problèmes liés a la propagation
par la messagerie.
Linux vulnérable
en pratique
Mais, comme on l'a vu avec le "ver" Lion, les attaques
sur des failles connues peuvent être automatisées,
de manière à produire un effet similaire à
ceux des vers se propageant par la messagerie, en particulier
quand les failles se situent sur des programmes détenus
par l'administrateur ou lorsque leur bit SUID est positionné
à 1 (les programmes bénéficient automatiquement
des droits root). Avec le développement des systèmes
Linux, de nombreux nouveaux utilisateurs néophytes
ne sont donc pas à l'abri de mauvaises manipulations
qui,sous le compte root, peuvent conduire à des infections.
De même, des distributions installent de nombreux services
réseaux par défaut (sendmail, bind, apache...),
qui peuvent constituer autant de menaces s'il ne sont pas
mis à jour. Un exercice rarement effectué dans
le cadre d'une utilisation personnelle par un débutant
(un profil qui représente de plus en plus de ventes
de boites Linux). Bref, il est à craindre que les virus
multi-plates-formes profitent de la coopération (tacite)
de ces utilisateurs.
[Ludovic
Blin, JDNet]
|