1. Le virus en action

Un an après Melissa, un nouveau virus, du type " ver ", fait parler de lui le jeudi 4 mai 2000. Il aurait été détecté d’abord à Hong-Kong. Il aurait été créé au mois de mars par un programmeur de Manille (Phillipines) appelé Spyder.

Il se propage par le biais d'un email intitulé " I Love You ", qui propose d'ouvrir un fichier attaché. Celui-ci contient en fait un script Visual Basic qui, après un doucle clic, envoie le ver à toutes les personnes présentes dans le carnet d'adresses du récepteur : c’est un moyen de propagation simple mais efficace.

Mais les effets ne s'arrêtent pas là. Le virus se duplique dans tous les fichiers ayant une extension .jpg (images), .mp3 (son), mais aussi vbs (VBscript), vbe, js (javascript), jse, css (feuilles de style), wsh, sct, hta et mp2. Il les rend inutilisables, et conserve le nom des fichiers en lui ajoutant une extension vbs qui le rend exécutable.

Windows rendant par défaut invisible les extensions de fichiers, les utilisateurs sont tentés de cliquer sur leurs fichiers familiers, ce qui lance à nouveau le ver. Le programme infecte aussi l'application de chat par Internet mIRC32 et tente de se connecter à un site Internet choisi au hasard parmi quatre, pour télécharger un programme appelé WIN-BUGSFIX.exe.

La seule manière de s'affranchir complètement des risques liés à ce type de virus consiste à interdire aux utilisateurs l'ouverture de fichiers attachés exécutables.

2. Le premier bilan effectué un mois après

Un mois après la plus grande infection informatique qu’Internet ait connu, il est possible d’envisager de dresser le bilan de l'épidémie, et surtout d'en tirer les enseignements nécessaires.

" I Love You " s'est répandu sur la Toile le jeudi 4 mai 2000, mais certaines sources déclarent en avoir eu connaissance une semaine avant, suite à l'infection de certains ordinateurs à Hong Kong. Toujours est-il que ce jour là, 45 millions d'ordinateurs l'auraient reçu, et 2 millions de personnes auraient cliqué sur la pièce jointe, déclenchant le virus et participant à sa propagation, rapporte l'éditeur d'anti-virus Network Associates.

Les dégâts se chiffreraient à 47 milliards de francs, mais cette évaluation est basée en premier lieu sur les pertes de temps occasionnées aux nombreux techniciens et responsables de systèmes d'informations, ainsi qu'aux employés qui n'ont pas pu travailler ce jour là. Parmi les entreprises françaises touchées, Network Associates cite L'Oréal, Ubisoft ou Spray.fr.

Selon une étude réalisée par ToTeam, 99% des internautes connaissent maintenant le virus, dont la propagation et les méfaits ont été largement relayés par les médias. Mais seulement 3% des mêmes internautes ont cliqué sur le virus, alors que 14% l'ont reçu. La protection antivirus s'effectue aussi par l'information des utilisateurs.

La plupart des antivirus ne se sont révélés efficaces qu'après le plus gros de l'infection. En effet, leur système de fonctionnement par mise à jour atteint ici ses limites, puisqu'un tel antivirus n'est efficace pour un nouveau virus qu'une fois que celui-ci est passé dans les mains des spécialistes, qui éditent une mise à jour pour leur produit. Or, dans ce cas la propagation s'effectue à une vitesse foudroyante, alors que les antivirus ne bénéficient d'une mise à jour que quelques heures plus tard.

C'est juste le temps qu'il faut au virus pour agir. Les antivirus fonctionnant avec des méthodes de détection génériques et sans mise à jour sont donc préférables. On peut aussi remarquer que les machines fonctionnant sous Linux, Unix ou MacOS n'ont pas été touchées, le virus se propageant grace à un trou de sécurité de Windows.

Ce type de problème met aussi en évidence une fois de plus l'importance d'un système de sauvegarde, en particulier des serveurs réseau, et d'une bonne administration réseau.

3. Les spécificités du virus

Ce virus a fait beaucoup de mal aux entreprises spécialisées dans l'image numérique, mais il est loin d'avoir utilisé au maximum son potentiel destructeur.

Alors que tous les systèmes d'information lui était ouverts, il s'est cantonné à l'écrasement d'images, sons et scripts, ainsi qu'à sa réplication.

Il a commencé par envahir tous les fichiers vbs, vbe, je, je, css, hta, jpg, jpeg, mp2 et mp3 des disques de l'ordinateur infecté, les disques partagés en réseau étant aussi concernés.

Les fichiers ayant l'extension css sont des feuilles de styles (Cascading Style Sheets) et seuls les éditeurs de documents Web savent ce que sont les CSS. Les hta sont encore plus confidentiels car il s'agit des " HTML Applications ", totalement spécifiques à Microsoft et uniquement documentées sur leur serveur Web dédié aux développeurs : rares sont ceux qui savent que les HTA existent, et encore plus rares sont ceux qui les utilisent. Les js et jse sont des fichiers contenant du code Javascript. Ils ne sont contenus que dans l'arborescence des serveurs Web, ou dans la distribution du navigateur de Netscape. Le code Javascript est cependant plus souvent placé dans le code des documents HTML que dans des fichiers séparés. Les vbs et vbe sont également des fichiers de scripting, mais du monde Microsoft. Jpeg est un format d'image compressé avec pertes bien connu et MP3 n'a plus besoin désormais d'être présenté. Puis il se réplique par mail, se prépare à sa réplication par IRC, modifie un peu la registry de Windows pour être lancé automatiquement au démarrage, change la page d'accueil d'Internet Explorer. " I Love You " est donc un virus classique, mais efficace.

Quant au " trou " exploité, il est de trois natures différentes :

La naïveté de tous ceux qui ouvrent un attachement sans même se demander pourquoi on le reçoit.

La fonctionnalité de Windows permettant de cacher l'extension des fichiers. Avec ça, l'extension *.TXT.vbs du virus devient *.TXT. Un banal fichier texte. Les fichiers jpeg infectés restent affichés avec une extension .jpg.

La médiocrité des produits de messagerie de Microsoft, incapables de reconnaître un format de scripting de Microsoft et de signaler avec une grosse alarme à l'usager que cet attachement pourrait être un virus.

Un détail important :le virus est un script, diffusé en clair. Il sera facile aux saboteurs en devenir de s'en inspirer, voire de le modifier et de le rendre plus destructeur.

4. A la suite d' " I Love You "

Depuis l'invasion des systèmes d'information par l'original du virus " I Love You ", des dizaines de clones ont vu le jour sans toutefois présenter de risques supplémentaires majeurs.

Parmi ceux-ci, le dernier en date aurait été découvert simultanément en Russie et en Suisse le 15 août 2000 par la firme moscovite Kapersky Lab, éditeur de l'antivirus AVP.

Moins dangereux au premier abord que son grand frère, " I-Worm.LoveLetter.bd " se propage suivant le même principe en s'envoyant à tous les contacts du carnet d'adresses dans Outlook, mais ne causerait aucun dégât à la machine infectée.

Mais pour les clients d'une banque suisse, la Union Bank of Switzerland, il s'avère être en fait une véritable unité d'infiltration, puisque ceux ayant installé le logiciel USB permettant de conduire des transactions bancaires en ligne risquent de recevoir de façon invisible un second virus surprise du nom de " Hooker ".

Ce dernier, un cheval de Troie classique, permet à un pirate de s'emparer à distance du poste client infecté pour télécharger des informations confidentielles, voler tous les logins et mots de passe, voire même observer les caractères saisis au cours de la frappe.

Au départ, le message reçu présente une entreprise Internet suisse à la recherche d'un programmeur. La pièce jointe incriminée est un fichier nommé RESUME.TXT.VBS. A son ouverture, un texte en allemand s'affiche dans Notepad et le virus s'envoie simultanément aux contacts dans Outlook. Puis, il vérifie si le programme USB est installé en recherchant la clé de registre correspondante. S'il ne la trouve pas, il stoppe net toute activité malveillante. Dans le cas contraire, il se connecte successivement à trois sites FTP définis jusqu'à ce qu'il trouve le fichier HCHECK.exe correspondant à Hooker et le télécharge. Après exécution de ce dernier par le ver, les données confidentielles sont rapatriées dans trois e-mails anonymes également définis dans le code source.

Lorsqu’il a fini son travail, " I-Worm.LoveLetter.bd " efface toute trace de sa présence sur le disque dur de la victime.

Le virus étant peu différent de ses prédécesseurs, il semble que l'usage des antivirus mis à jour depuis l'apparition du premier I Love You devrait suffire à l'éradiquer. Toutefois, la meilleure protection est encore la prévention.

Page d'accueil

Haut de page

Page suivante