Première publication le 22 août 2003

Le ver Sobig.f lancera une grande offensive vendredi 22 août à 21 heures : tous les PC qu'il a infecté téléchargeront et exécuteront alors un mystérieux programme. L'auteur a tout mis en oeuvre pour que personne ne découvre, jusqu'au dernier moment, de quoi il s'agit.

Depuis ce matin, les éditeurs d'antivirus sont sur les dents. Ils viennent de découvrir que le ver Sobig.f, déjà à l'origine de la plus fulgurante épidémie qu'ait connu Internet à ce jour, va leur jouer un nouveau tour ce soir. A 21 heures en France (19 heures en temps universel), tous les PC infectés par Sobig.f à travers le monde se connecteront à un site Web inconnu. Il y téléchargeront un programme lui aussi inconnu, qu'ils exécuteront immédiatement et, surtout, en même temps.

Un beau pied de nez aux experts, puisque personne ne sait quel est ce programme, ni où il sera téléchargé exactement. L'auteur du ver a en effet pris un luxe de précautions pour que les autorités ne puissent neutraliser à l'avance ce fameux site Web qui s'apprête à distribuer le programme inconnu. Pour cela, chaque PC infecté, partout dans le monde, dispose d'une liste de 20 machines réparties à la surface du globe et reliées à internet par des fournisseurs d'accès différents. Ce sont majoritairement des ordinateurs de particuliers, certainement piratés avant l'épidémie. Ces 20 ordinateurs, lorsqu'un ver Sobig.f les contacte avec une clé particulière, communiquent en échange une adresse Web unique... celle du site de téléchargement du module inconnu.

Bien sûr, les éditeurs d'antivirus ont déjà déchiffré la clé nécessaire et se sont connectés à ces PC. Oui mais voilà : pour l'instant, ces derniers renvoient une adresse fictive. Les experts sont persuadés que l'auteur du virus contactera lui-même ces PC quelques minutes avant l'échéance, afin de leur fournir la véritable adresse du serveur Web. A ce moment, il sera trop tard pour que les autorités puissent le désactiver à temps. Quand à neutraliser les 20 PC, c'est là une tâche difficile : ils sont situés dans des pays différents, chez des fournisseurs d'accès différents et appartiennent à des particuliers. Ce serait un véritable imbroglio technico-juridique que de les isoler d'Internet manu-militari.

«  Ce n'est clairement pas l'oeuvre d'un amateur... nous avons affaire à quelqu'un qui sait ce qu'il fait. C'est machiavélique  », commente Alexandre Durante, de F-Secure France. Pour l'heure, les spéculations vont bon train quant au programme qui sera téléchargé. Du cheval de Troie chargé de dérober des documents en masse, à l'attaque par déni de service contre une cible encore inconnue, tout est possible. L'aspect synchronisé de l'attaque (le ver utilise les services d'horloges atomiques pour lancer le téléchargement à la même heure partout dans le monde) laisse cependant penser à une attaque par déni de service.

En tout cas, au milieu de tous ces mystères, l'un d'eux au moins a été résolu : personne ne savait vraiment pourquoi sobig.f devait arrêter de fonctionner le 10 septembre prochain. Désormais, on le sait : c'est parce que sa véritable mission aura été accomplie. Quand à savoir si ce sera avec succès, on sera fixé d'ici 21 heures ce soir.