20/09/01
Nimda
: le raz-de-marée du premier virus transmissible (entre
autres) par le web
La vague estivale des virus
de type ver ne semble pas avoir pris fin avec la rentrée.
Nimda (soit "Admin" à l'envers) est également
appelé Code Rainbow mais il ajoute aux capacités
de la série des Code Rouge et Bleu des talents
de réplication jusqu'à présent inégalés.
Bien que les experts écartent tous l'éventualité
d'un lien entre les récents attentats terroristes
et une hypothétique cyber-guerre, le nouveau virus
fait froid dans le dos : pour la première
fois, un ver s'intègre à des pages web afin
de contaminer les internautes qui les consultent. Et ce
n'est pas tout, car le virus risque de saturer littéralement
certains réseaux d'entreprises en commençant
par l'Angleterre, les Etats-Unis, le Japon, la Corée
et Hong-Kong notamment.
Un
système de réplication selon 4 canaux au
moins
L'originalité
du petit nouveau réside indéniablement dans
la multiplicité de ses modes de transmission.
Tout
d'abord, la simple lecture d'un email sans objet doté
d'une pièce jointe intitulée "Readme.exe"
suffit cette fois à déclencher l'infection.
Ensuite, le virus installé sur un poste se greffe
sur les fichiers exécutables situés dans
le PC. Mais Nimda compte surtout sur les réseaux :
le réseau interne (LAN) car, selon le directeur
du laboratoire de Trend Micro, Marc Blanchard, "il
met le PC infecté en mode partagé et s'installe
sur les autres postes partagés" ; et
le réseau Internet car il ajoute un code JavaScript
en bas de chaque page "Index", "Default",
"Main" ou "Readme" (.htm, .html, ou
.asp) présente sur le serveur web...
"Les intranets pourraient aussi être menacés,
d'autant qu'ils se situent à l'intérieur
du Firewall et qu'ils sont donc moins à jour, bien
souvent, en termes de sécurité", ajoute
Fabrice Frade, directeur technique du spécialiste
de la sécurité Intranode. Dès lors,
tous les spécialistes affirment que la consultation
d'une page web ou intranet infectée provoque l'exécution
sans sommation du code malicieux. "Le script intégré
à la page provoque l'ouverture d'une nouvelle fenêtre
invisible car 'affichée' aux coordonnées
6 000 et 6 000 de l'écran (abscisse et
ordonnée, NDLR)", précise le spécialiste.
Celle-ci contient le document tel que transmis par email
et provoque donc les mêmes effets.
Un seul risque : la saturation
de la bande passante
Hormis ces exceptionnelles capacités de réplication,
le ver ne semble pas menacer une quelconque cible identifiée.
Les fantasmes de certains américains concernant
un lien possible avec les évènements tragiques
de la semaine dernière ne semblent pas fondés.
Le ministre de la Justice américain John Ashcroft
a lui-même déclaré qu'il n'y avait
aucune preuve d'un tel lien. Le FBI, pour sa part,
a constitué une cellule spéciale pour enquêter
à ce sujet. Miko Hypponen, dirigeant du spécialiste
antivirus F-Secure, indique simplement que "c'est
une des théories. Je n'y crois pas". Le seul
indice laissé par l'auteur du virus apparaît
dans le code sous la forme d'une pseudo-signature "Copyright
2001 P.R. China". Mais les spécialistes ont
appris à ne point trop considérer ce type
de trace.
Bref, la nocivité de ce virus provient surtout
de l'envoi massif d'emails à tous les correspondants
du carnet d'adresse Outlook et de l'installation de chevaux
de Troie dans les serveurs et les postes clients. Un ralentissement
du PC de l'utilisateur peut également survenir
car Nimda l'utilise pour scanner les réseaux à
la recherche de serveurs IIS mal protégés.
En attendant, ce sont les sites Antivirus.com et TrendMicro.com
ainsi que SecurityFocus.com qui avaient le plus de problèmes
dans la journée d'hier... A la question de savoir
si Nimda représentait une réelle menace,
Miko Hypponen avait donc raison, semble-t-il, de considérer
tout de même que "c'en est une".
L'origine du mal : un environnement
tout Microsoft
Comme à l'accoutumée,
tous les produits responsables de la propagation du nouveau
ver sont édités par Microsoft. Facile d'accuser
la marque aux 90% de part de marché ? Il n'empêche
que "les produits sont tellement bien intégrés
les uns aux autres que le virus connaît tout l'environnement,
fait remarquer métaphoriquement Fabrice Frade.
Il sait sur quoi il va tomber". Les trois failles
des serveurs web IIS 4.0 et 5.0 sur lesquelles s'appuie
Nimda avaient déjà été utilisées
par d'autres, tels que les vers Code Rouge et Code Bleu.
Mais selon le chef de projet de Symantec Damase Tricart,
"le virus touche principalement le grand public car
les entreprises auront finalement réagi assez rapidement".
De même, "Outlook
et Internet Explorer utilisant le même moteur pour
afficher des emails en HTML, une faille de ce moteur concernant
la gestion des en-têtes MIME (Multipurpose Internet
Mail Extensions, NDLR) permet l'exécution immédiate
d'un script attaché, sans nécessiter son
ouverture par l'utilisateur", explique Fabrice Frade.
Enfin, les systèmes d'exploitation concernés
ne sont autres, ô surprise, que Windows 95, 98,
Me, NT et 2000. A signaler, bien sûr : Microsoft
publie sur son site, depuis le printemps dernier, une
série de patchs destinés à sécuriser
ses applications. La faute aux utilisateurs et aux administrateurs
qui ne suivent pas... ou au monopole le plus célèbre
du monde ?
|