A qui profitent les nouveaux virus ?

Lundi 26 janvier 2003, 20 h, région parisienne. Dans les locaux d’un éditeur d’antivirus, c’est l’affolement. En quelques minutes, plus de 100 exemplaires d’un virus encore inconnu viennent d’être transmis par des clients du monde entier. Le technicien de permanence sait que chaque seconde compte. Il doit analyser le code source de la bête le plus rapidement possible pour comprendre son fonctionnement… et trouver un moyen de la détecter à coup sûr. Tous les nouveaux virus on en dénombre cinquante par jour ! n’ont pas le droit à ce traitement de faveur. Le plus souvent, il faut entre trois et cinq jours aux éditeurs d’antivirus pour diffuser une parade efficace.

250 000 $ pour la tête de l’auteur de MyDoom

Mais ce soir, la situation est exceptionnelle. Sur Aved.net, une liste de discussion réservée aux chercheurs d’antivirus, les messages fusent. Le nouveau venu, baptisé MyDoom, est déjà ‘ in the wild ‘, dans la nature. Et il se répand à raison de plusieurs dizaines de milliers d’exemplaires par minute. En moins de deux heures, une mise à jour est disponible pour la majorité des antivirus. Mais il est déjà trop tard : au cours de cette dernière semaine du mois de janvier, la société MessageLabs, qui gère les serveurs de messageries de grandes entreprises, va intercepter 16 millions de mails infectés… Comme ses nombreux cousins, MyDoom se répand par la messagerie sous forme de pièce jointe. Il est dissimulé dans un message indiquant qu’un mail n’a pas été correctement envoyé.Plus original : son auteur a aussi programmé un mode de dissémination par KaZaA. Cette méthode n’a cependant pas provoqué un grand nombre de contaminations.MyDoom a été programmé pour attaquer un site, en l’occurrence celui de SCO, un éditeur de logiciels Unix. A partir du 3 février, MyDoom a submergé ce site de tentatives de connexion, plus de 100 par minute. Avec un million d’ordinateurs infectés, cela a suffi pour mettre KO les serveurs de SCO, alors que MyDoom contenait un bug qui n’a rendu l’attaque possible que dans 17,5 % des cas. Les dirigeants de la société ont mis à prix la tête de l’auteur (ou des auteurs) de ce virus : 250 000 $ de récompense à qui permettra d’identifier son origine.En plus de son attaque contre SCO, MyDoom installe un cheval de Troyes. Tous ceux qui connaissent le code d’accès à ce cheval de Troyes peuvent l’utiliser pour lui envoyer un programme à exécuter sur l’ordinateur de la victime. Cette porte dérobée devait servir à diffuser une deuxième version du virus, MyDoom.B, programmée pour attaquer le site de Microsoft. Cette dernière a toutefois été arrêtée rapidement ; elle n’aurait de toute façon pas été dangereuse, un bug l’empêchant de lancer toute attaque. Microsoft a toutefois lancé une chasse à l’homme en offrant une prime, comme SCO.

Les créateurs de virus ont franchi une nouvelle étape

Pas de doute : MyDoom ressemble bien aux virus Sobig, Mimail ou BugBear, qui se sont multipliés au second semestre de l’an dernier. Contrairement aux virus créés les années précédentes, Melissa ou I Love You, ils n’ont rien de plaisanteries des petits ‘ génies ‘ de l’informatique en mal de reconnaissance. Danielle Kaminsky, chercheur en criminalité informatique, qui a rencontré de nombreux auteurs de virus pour réaliser une étude commanditée par le Clusif (une association regroupant autour du thème de la sécurité les patrons informatiques de nombreuses grandes firmes françaises), explique : ‘ Depuis le second semestre 2003, les auteurs de virus ont franchi une nouvelle étape. Ils en écrivent maintenant qui servent à remplir malhonnêtement leur portefeuille. Ils avaient depuis longtemps conscience des gains financiers qu’ils pouvaient tirer de leurs créations ; mais ils se contentaient jusque-là de les vendre à certains éditeurs d’antivirus, leur permettant ainsi de préparer des antidotes avant leurs concurrents. ‘Aujourd’hui, le moyen le plus répandu de faire de l’argent facile sur Internet, c’est d’envoyer des spams. Et avec les virus, il n’y a même pas besoin d’acheter de coûteux serveurs risquant d’être repérés par la police. Il suffit qu’un de ces sales logiciels installe un programme servant de relais aux messages non sollicités sur le PC de dizaines de milliers d’internautes, et le tour est joué. C’est gratuit et quasiment anonyme ! Le business est d’ailleurs très rentable, les spammeurs estimant que, en moyenne, un mail sur mille se concrétise par un retour payant (commande de Viagra, abonnement à un site pornographique…). En expédiant 70 millions de spams par jour un chiffre courant pour les plus gros pollueurs , cela représente 70 000 ventes, soit plus d’un million d’euros de chiffre d’affaires en une journée !Les relais de messageries installés par les virus trouvent de nombreuses autres utilisations. Par exemple, des arnaques à grande échelle. Connues sous le nom de phishing, ces escroqueries sont simples : il s’agit de messages semblant provenir d’une banque, d’un site d’enchères, etc. En général, ils usent d’un prétexte fallacieux pour extorquer à l’utilisateur des données personnelles : numéros du permis de conduire, de Sécurité sociale… A nouveau, les serveurs relais installés sur des ordinateurs infectés permettent aux auteurs et à leurs commanditaires de rester anonymes. Cette protection est efficace : sur les septauteurs de virus arrêtés en 2003, on ne trouve que des seconds couteaux, des adolescents qui avaient récupéré le code source des virus d’origine et l’avaient légèrement adapté. Aucun auteur de version originale n’a encore été attrapé pour l’instant…

Les chevaux de Troyes inquiètent les experts

Mais ce qui inquiète aujourd’hui le plus les experts en sécurité, ce sont les chevaux de Troyes installés sur les PC infectés par les virus. ‘ Entre novembre 2003 et janvier 2004, le nombre de portes dérobées circulant sur Internet a doublé, alors qu’il était resté stable les mois précédents ‘, avertit François Paget, chercheur antivirus chez Network Associates. Une mesure effectuée avec Vpatrol, l’outil de veille commun à tous les éditeurs d’antivirus. Ces ‘ backdoors ‘ permettent à tous ceux qui disposent du bon code de s’introduire dans les machines infectées pour lancer contre des sites des attaques identiques à celle perpétrée par MyDoom contre SCO. Des attaques de ce type auraient été précédées d’opérations de chantage, comme cela semble avoir été le cas pour des casinos en ligne.

Des sites miroirs au secours des serveurs

Les éditeurs d’antivirus prennent ce type de menaces tellement au sérieux qu’ils se sont protégés contre une telle éventualité : ‘ Nous utilisons des dizaines de sites miroirs : cela devrait empêcher qu’une attaque mette nos serveurs à genoux ‘, rappelle Damase Tricart de Symantec. Quelques jours après la diffusion de MyDoom, près de 2 500 personnes scannaient tous les ordinateurs connectés à Internet, à la recherche du cheval de Troyes installé par le virus. ‘ Il pourrait très rapidement autoriser ceux qui en connaissent le code de lancer une autre attaque ‘, affirme MarcBlanchard, chercheur antivirus chez Kaspersky. D’ailleurs, le virus DoomJuice, apparu le 9 février, se répand en utilisant la porte dérobée installée par MyDoom.Autre utilisation : installer sur les PC vérolés un programme de peer-to-peer, Sinit, dédié aux pirates. Découvert sur des dizaines de milliers de machines, ce logiciel fonctionne comme Gnutella. Il ne nécessite aucun serveur central. Chaque ordinateur du réseau Sinit recherche d’autres machines infectées par ce logiciel et peut y installer des programmes criminels. En se servant des quelques centaines de machines contaminées par Sinit, ce virus se répandrait à la même vitesse que MyDoom, discrètement et sans nécessiter l’ouverture de pièces jointes. De quoi créer un ‘ supervirus ‘, craint et annoncé par de nombreux experts…

Quarante ans de virus informatiques

Au début des années 60, des chercheurs des laboratoires Bell d’AT&T développent un jeu où deux logiciels ont pour mission de se détruire l’un l’autre. Ces deux programmes ont des capacités d’autoduplication. Les bases du fonctionnement des virus sont posées.

Dans un document de travail, un professeur américain, Fred Cohen, utilise pour la première fois le terme de ‘ virus ‘ pour décrire des programmes capables de se reproduire et de se propager à travers des réseaux informatiques.

Deux Pakistanais, Basit et Amjad Alvi, insèrent dans le secteur de démarrage d’une poignée de disquettes un programme capable d’infester les PC sur lesquels sont lues ces disquettes, puis toutes celles utilisées sur les machines contaminées. Brain, le premier virus pour PC, est né.

Michelangelo, virus disséminé par des disquettes de jeux, était destiné à détruire toutes les données des PC infestés le 6 mars, anniversaire de la naissance du peintre Michel Ange. La menace, révélée quelques jours seulement avant la date fatidique, a causé une psychose.

Caché dans un document Word, Melissa s’autoenvoyait aux 50 premiers contacts contenus dans le carnet d’adresses d’Outlook. Résultat : plus de 300 000 ordinateurs infectés. Internet devenait le premier vecteur de contamination. Depuis, les records se succèdent.

Le spammeur : il infecte pour diffuser des messages non sollicités

Pour envoyer des millions de spams chaque jour, les auteurs de virus ont trouvé un bon filon : utiliser les PC infectés et leur connexion Internet, à l’insu de leurs propriétaires.

Ils sont 200. Ce sont des individus ou des sociétés. Et à eux seuls, ils sont responsables de 90 % des messages non sollicités envoyés sur Internet, selon le site Spamhaus.org. Mais depuis quelques mois, ces spammeurs, qui envoient jusqu’à 70 millions de messages par jour, sont traqués. Les serveurs qu’ils utilisaient ont été fermés les uns après les autres. Alors, pour inonder les boîtes aux lettres, ils ont trouvé une nouvelle méthode : utiliser les PC de particuliers disposant de connexions à haut débit. Des virus comme Sobig ont été créés uniquement pour prendre le contrôle de ces ordinateurs, les transformer en ‘ machines zombies ‘ et les utiliser pour envoyer du spam. Dès leur installation sur une machine infectée, les six versions de Sobig téléchargent et installent une version modifiée de Wingate. Ce logiciel du commerce est un proxy, un programme conçu pour transformer l’ordinateur en relais : il reçoit des données d’une personne et les transfère à une autre, en effaçant les traces de l’émetteur d’origine.

Et la version installée par Sobig est spécialement configurée pour servir de relais aux courriels. Une bénédiction qui permet aux spammeurs de profiter de la liaison Internet des PC infectés, sans débourser un centime. La société MessageLabs, qui gère les messageries de grandes firmes, estime que 60 % des spams proviennent de relais installés par des virus. D’autres virus, tel Mimail, stockent toutes les adresses trouvées sur les ordinateurs infectés dans un fichier, sur le disque dur. Certains experts pensent que ces fichiers sont ensuite collectés. Ils alimenteraient en partie les CD contenant des millions d’adresses vendus à 100 $, que l’on trouve sur Google en faisant une recherche sur ‘ bulk list cd ‘.

Le maître chanteur : il menace pour obtenir des rançons

La bourse ou la vie ! Quand auteurs de virus et mafia se rencontrent, ils soutirent de l’argent à des propriétaires de casinos en ligne en les menaçant de fermer leurs sites.

En novembre 2003, les spécialistes en sécurité de la société londonienne Information Risk Management ont vu débouler dans leurs bureaux six propriétaires de casinos en ligne. Des inconnus leur demandaient 50 000 £. Faute de quoi, leurs sites allaient être submergés de demandes de connexion, afin d’empêcher les visiteurs légitimes d’y accéder. Deux mois plus tôt, quatre casinos en ligne avaient déjà dû fermer leurs portes après avoir refusé de payer 24 000 £. L’enquête, encore en cours, montrerait que les PC utilisés pour attaquer les casinos étaient infectés par des chevaux de Troyes, installés par des virus. La demande de rançon viendrait de la mafia russe. L’attaque de MyDoom contre SCO est peut-être une vengeance de programmeurs fans de Linux excédés par les procédures judiciaires engagées par cet éditeur pour prouver que certaines parties du système d’exploitation Linux lui appartiennent… Mais les enquêteurs n’excluent pas une tentative de chantage comparable à celle perpétrée contre les casinos ou une démonstration de force visant à intimider les prochaines victimes de ces maîtres chanteurs… Mimail-T, apparu le 5 février 2004, est un autre virus qui a clairement affiché ses volontés d’intimidation. Il contient un avertissement très direct : ‘ Les FAI qui fermeront mes comptes seront attaqués. Centrum.cz sera le premier de la liste. ‘ Mimail.H, une précédente version de ce virus, s’était déjà attaqué à des sociétés en 2003. Elle a essayé de faire taire quatre sites luttant contre le spam, en les submergeant de demandes. Et Osiriusoft.com, une des premières listes antispammeurs, a dû fermer en septembre après des attaques lancées à partir de PC infectés par Sobig.

Le voleur de données personnelles : il joue les indiscrets pour créer de faux papiers

En abusant de la crédulité des internautes, les auteurs de virus récupèrent les détails de leur vie privée. Objectif : obtenir des profils revendus par la suite au grand banditisme.

Numéros de permis de conduire, de Sécurité sociale, de carte bancaire, etc. : voici quelques-unes des 25 informations que le virus Cayam tente de soustraire à ses victimes. Comment ? En leur présentant un courriel contenant un faux écran d’identification d’eBay. Une fois saisies, les données sont envoyées au site csk2.com, aujourd’hui fermé. Bien sûr, un mail expédié directement par un escroc tromperait la vigilance des personnes les plus crédules avec la même efficacité. Mais le point fort du virus, c’est qu’il peut être diffusé à grande échelle sans établir de liste de destinataires. Et, puisqu’il est répandu par tous les internautes infectés, il est difficile de repérer le malfaiteur. François Paget, chercheur antivirus chez Network Associates, estime que des mails ayant pour objectif de récolter des données personnelles ont ainsi été envoyés à 12,5 millions de destinataires par jour, grâce aux virus. La technique a un nom : le phishing. Elle consiste à collecter des données qui sont ensuite utilisées par le grand banditisme. ‘ Un profil aussi complet que celui obtenu par Cayam peut valoir 50 dollars ‘, estime Danielle Kaminsky, chercheur en criminalité informatique. Ces profils servent à créer de fausses cartes d’identité ou de fausses cartes bancaires. ‘ On s’aperçoit que les comptes bancaires sont presque toujours siphonnés ‘, poursuit Danielle Kaminsky. Alarmiste quand on sait que 40 % des personnes qui ont reçu un mail truqué qui semblait provenir de la banque Citibank sont tombées dans le panneau ! A l’heure actuelle, aucun lien n’a été établi entre des virus et la production de faux papiers, mais des rapports de police constatent que des personnes dont les cartes bancaires avaient été ‘ dupliquées ‘ ont aussi été victimes de virus indiscrets…

Le braqueur de banque : il dérobe les mots de passe pour vider les comptes bancaires

Pour siphonner les comptes bancaires, les auteurs de virus demandent à leur bestiole de leur transmettre tous les mots de passe. Une technique qui peut rapporter jusqu’à 500 000 dollars.

Crédit agricole, Banque populaire, Crédit lyonnais : ces trois banques figurent parmi les 1 300 espionnées par le virus Bugbear.B. Vicieux, il enregistre en permanence les données tapées au clavier par ses victimes et les envoie à son auteur par courriel. De plus, il réserve un traitement de choix aux employés des 1 300 institutions financières, dont il a l’adresse : il transmet leurs mots de passe à des comptes email spécifiques. Car le monde bancaire est devenu une victime de choix pour les virus les plus récents. Soit directement, comme dans le cas de Bugbear.B, soit indirectement, en attaquant les comptes bancaires des clients. Ainsi, Sobig.A surveille les adresses Web tapées par ses victimes. S’il trouve les mots ‘ Paypal ‘ (système de paiement entre particuliers) ou ‘ Banque ‘, il lance son renifleur de clavier : toutes les données tapées sont enregistrées et transmises par Internet. Ces attaques de banques sont l’erreur que n’auraient pas dû commettre les auteurs de virus. Siphonner un compte bancaire entraîne systématiquement des enquêtes bénéficiant de lourds moyens d’investigation. Le 5 février, Alec Scott Papierniak, un homme de 20 ans habitant le Minnesota, a reconnu avoir volé 10 000 $ sur un seul compte Paypal en ayant utilisé un virus pour obtenir le mot de passe nécessaire. En septembre 2003, en Roumanie, un homme était arrêté : il est soupçonné d’avoir empoché 500 000 $ en utilisant un procédé similaire. Le travail des enquêteurs est difficile. Trouver les personnes dont les mots de passe ont été piratés est complexe : la plupart du temps, elles ne se font connaître que lorsque leurs comptes sont vides. Un numéro de compte avec mot de passe se paie jusqu’à 1 000 $, et son nouveau ‘ propriétaire ‘ en tire tout ce qu’il peut en 24 heures.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Alain Steinmann