Alerte Jaune chez Trend Micro,
alerte de niveau 4 sur 5 chez Symantec, BugBear fait beaucoup
couler d'encre depuis son apparition - le 30 Septembre
2002. Pourtant, le virus le plus marquant de ce trimestre
n'est pas destructif : il se contente d'ouvrir une
large porte aux pirates sur le contenu des machines qu'il
infecte. Pourtant, d'aucuns considèrent que ce
danger est aussi préjudiciable que celui d'une
destruction de données pour une enteprise. BugBear
mérite donc qu'on se méfie de lui, d'autant
que sa vitesse de propagation est assez élevée :
plusieurs dizaines de milliers de machines ont déjà
été pénétrées par le
virus depuis cinq jours.
Un
virus couplé à une faille
A qui la faute ? Une fois n'est pas coûtume,
les internautes dépourvus d'antivirus -
ainsi que ceux qui ne prennent pas la peine de mettre
à jour leurs définitions virales -
ne sont pas les seuls visés. Le virus d'origine
Malaysienne exploite en effet une ancienne faille d'Internet
Explorer - disparue depuis la version 6 -
qui permet à un code malicieux de se glisser
sur un ordinateur par le truchement d'un mail reçu
sous Outlook, et même si la machine est équipée
d'un antivirus - sous certaines conditions.
Ce qui fait dire au Directeur
des Laboratoires Européens de recherche de Trend Micro
- Marc Blanchard - que "les antivirus
ne suffisent plus à protéger une machine.
A l'avenir, les virus vont s'appuyer de plus en plus
sur des failles applicatives pour pénétrer
les systèmes d'entreprise. En complément
d'un antivirus, je conseille vivement de patcher les
applicatifs des machines à protéger très
rigoureusement".
Pénétrer
n'est pas infecter
Heureusement, si BugBear peut entrer sur certaines machines
sans se faire repérer, il ne peut pas pour autant
s'exécuter tout aussi facilement : "Tous
les antivirus mis à jour seront capables de bloquer
BugBear au moment où il se lancera. Mais seuls
les antivirus configurés pour scanner régulièrement
la mémoire vive de la machine pourront empêcher
le virus de rentrer sur l'ordinateur". Parmi les
dizaines de milliers de répliques de BugBear
qui courent dans la nature, l'immense majorité
n'a donc fait que pénétrer sur un ordinateur
sans l'infecter réellement.
Restent encore les milliers
de machines dont les définitions virales ne sont
pas à jour, ainsi que celles qui sont tout simplement
dépourvues d'antivirus. C'est gràce à
ces postes que BugBear se propage : le virus se
glisse dans Outlook sous la forme d'un fichier joint
qui ne possède aucun signe distinctif :
son nom et son extension sont générés
aléatoirement. Quant au corps du texte, il est
inspiré de la correspondance personnelle du propriétaire
de la machine infectée.
Espionnage
feutré
Une fois exécuté, BugBear ouvre une backdoor
sur le Web et envoie des informations sur la machine
à une adresse prédéfinie, ce qui
permet au créateur du virus d'accéder
à tous les fichiers contenus sur la machine,
ainsi qu'aux dernières commandes saisies au clavier -
un code de carte bleue par exemple. BugBear est également
capable de désactiver la protection de certains
antivirus et firewalls afin de faciliter la tache du
pirate. Le tout dans la plus grande discrétion.
Une perspective qui fait froid dans le dos.
Cependant, à en croire
Marc Blanchard, l'intention du créateur du Virus
n'est sans doute pas de pratiquer l'espionnage industriel :
"les virus espions n'y vont pas par quatre chemins,
ils envoient directement une sélection de fichiers
sensibles au pirate. A mon avis - et en l'état
actuel de nos connaissances - BugBear serait plutôt
le produit d'un hacker qui cherche à établir
un record d'intrusions sur les réseaux des grandes
entreprises qu'un espion. Les pirates aiment beaucoup
se mettre en valeur avec de pretigieux tableaux de chasse".
|