N'ayez pas peur :
il est inoffensif ... jusqu'à preuve du contraire.
Simile.D ne s'est pas encore propagé, et il se
contente d'afficher deux fois l'an une petite fenêtre
pour se rappeler à votre mémoire. Mais
alors pourquoi fait-il
autant parler de lui ? "Simile.D annonce une
nouvelle génération de virus, à
la fois capable d'infecter plusieurs OS, et beaucoup
plus difficile à détecter", confie
Fernando Delacudra, responsable technique de Panda Software.
Simile.D franchit
les frontières entre les OS : il est efficace
à la fois sous Linux et sous Windows. A priori
rien de neuf puisque d'autres virus en ont déjà
fait autant. Mais il faut se méfier des apparences :
"C'est la première fois qu'un virus s'appuie
sur le même processus pour infiltrer Linux et
Windows. Avant lui, les virus multi-OS utilisaient des
tactiques différentes pour infecter deux OS différents.
Simile.D change la donne, puisqu'il s'appuie sur des
failles communes aux deux systèmes".
Une
nouvelle classe de virus
Simile.D est à lui
tout seul un véritable tour de force technique :
il est beaucoup plus difficile de trouver une faille
dans
ce que deux OS comme Linux et Windows ont en commun,
c'est à dire peu de choses, que dans la multitude
de failles que présente chaque OS pris séparément.
Faut-il pour autant penser que les virus multi-OS n'ont
pas d'avenir ? Ce n'est pas l'opinion de Fernando
Delacudra : "L'usage de Linux est en train
de se développer, et tous les OS sont en train
de converger. Les systèmes supportent de plus
en plus de normes qui se veulent universelles, et qui
fonctionnent à la fois sur Linux et Windows.
Le pot commun va donc croissant, et les pirates n'ont
plus qu'à y puiser pour donner une riche descendance
à Simile.D".
Simile.D n'arrête
pas ici son tour de force. Deuxième démonstration :
l'art de la dissimulation. De l'avoeu même de
Fernando Delacudra, "Simile.D est un virus extrêmement
habile dans l'art d'échapper aux moteurs de détection.
Il fait partie de la classe de virus qui utilisent plusieurs
astuces pour brouiller les pistes : les virus polymorphes.
La signature du Simile.D change systématiquement
après chaque infection, il ne laisse donc jamais
deux fois les mêmes traces. Des traces qu'il est
d'ailleurs tout à fait capable de dissimuler".
Simile.D est donc une véritable vitrine technologique
présentant les dernières avancées
du petit monde des développeurs de virus.
Caméléon
Tout celà rend, on s'en doutait un peu, sa détection
assez délicate. Un
certain nombre de logiciels antivirus s'appuient sur
des bases de données recensant la signature de
chaque virus pour les dénicher sur un système.
Une méthode
qui se révèle
inefficace dans le cas présent, puisque cette
signature change à chaque infection. Il faut
donc en recourir à "des outils de détection
plus performants, qui ne garantissent un taux de détection
élevé que s'ils sont combinés".
Les meilleurs virus
polymorphes soumettent donc les compétences des
éditeurs à rude épreuve ...
ainsi que les nerfs des utilisateurs d'antivirus :
plus un virus est complexe à détecter,
plus la procédure de balayage du système
est longue et fastidieuse. La prolifération de
cette classe de virus pourrait donc allonger la durée
des processus de détection plus que de raison.
Fernando Delacudra se veut toutefois rassurant :
"Du moment qu'un éditeur dispose comme Panda
d'ingénieurs compétents, la fabrication
d'une parade ne cause pas de problème, et le
processus de détection reste d'une durée
raisonnable". Mais
peut-on faire confiance au discours commercial d'un
éditeur d'Antivirus ?
En somme, on peut
s'estimer heureux que le créateur de Simile.D
n'ait pas eu de mauvaises intentions. Espérons
aussi que les créateurs de virus que Simile.D
ne manquera pas d'inspirer adopteront la même
démarche non agressive que celle du père
de ce 'virus concept'. Et allons télécharger
la dernière mise à jour de notre antivirus :
on n'est jamais trop prudent.
|