Edition du 09/06/2005 - par Marc Olanié

Furieusement tendance. Le virus new look a le look de tous les autres virus. En fait, ce n'est même plus un virus, c'est un übervirus, un patchwork d'infections, un cocktail de techniques tant virales que d'ingéniérie sociale, une mosaïque d'exploitation de failles, un melting-pot de hack réseau, un gloubi boulga* d'interprétations des normes IP...

Indiscutablement, il serait temps d'abandonner la vieille définition du mot et ne plus parler que de « malware », pour ne pas froisser les susceptibilités dogmatiques des acharnés de l'explication exacte. Mais le mot « virus » est si pratique, si généralement accepté... c'est un peu comme « hacker », terme Janus et mot-valise au double sens si pratique.

Autoreproducteurs, les virus le sont tous, mais ce n'est plus là leur action première. En outre, la multiplication des souches s'effectue tantôt par usage d'un carnet d'adresses (Worm e-mail) tantôt à coup de techniques d'infection de poste plus subtiles et détournées (DNS Poisoning, boucles d'ouvertures html provoquées par des BHO...).

Auto propagés, ils le sont également. Mais le plus souvent à partir d'un site web d'infection et non plus seulement d'une machine appartenant au réseau local. Autopropagation également par le biais de liens exotiques, tels que les liaisons Bluetooth dans le cas très anecdotique des « Virus GSM » affectant les noyaux Symbian.

Dotés d'une charge létale ... pas toujours, car le virus du XXIeme siècle a appris à ne pas scier la branche qui le nourrit (ou la main sur laquelle il est assis). Il serait plus exact de parler de « charge utile » au sens militaire du terme, car le virus sert surtout à développer des infections de nature diverse : troyens de Botnets, keyloggers, spywares, cryptage d'informations dans le cadre de campagnes d'extorsion, composeurs téléphoniques fous cherchant à gonfler les factures en appelant des numéros d'abonnés guatémaltèques via liaison satellite... mais où sont les bombes d'antan ! Le virus contemporain n'a qu'un souci : laisser la machine infectée dans un état de fonctionnement acceptable lui permettant d'étendre son empire (voir article de ce jour : « Le virus, c'est même pas grave»).

On l'aura compris, le virus d'aujourd'hui mute plus vite qu'on ne peut le prévoir. Ses descendances hybrides ou chimériques font l'objet d'un article sur Information Week, qui détaille deux « nouveautés » du genre : une variante de Bugbear à la fois virus-ver et cheval de Troie (l'hybride d'un lombric et d'un pur-sang anglais, ça fait frémir). Et puis il y a Eyeveg.d, un « plug in » d'Internet Explorer qui mute en keylogger doublé d'un initiateur de tunnel SSL. C'est Panda qui est à l'origine de cette révélation... on pourrait déceler une lueur d'intérêt dans le côté fracassant de cette annonce, puisque c'est là un éditeur d'anti-virus, donc une entreprise qui ne peut que profiter des craintes et paranoïas semées autour des grands mythes viraux.

Mais voilà que Schneier publie un rapport d'activité dressé par sa société, Counterpane. Un survol des catastrophes de l'année 2004, qui met en avant les classiques assauts Dcom et RPC, l'exploitation de la faille Lsass, mais également des attaques virales reposant sur les inénarrables défauts d'I.E. Jpeg et Iframe, voir des schémas d'attaque beaucoup plus complexes. Schneier évoque l'arrivée d'infections à la fois polymorphiques, métamorphiques, furtives et capables de masquer leurs méthodes d'injection. Et ce n'est pas là un ou deux cas isolés. 1 000 infections d'un nouveau genre auraient vu le jour durant les 6 derniers mois. Et certaines d'entre elle relèvent du machiavélisme le plus profond. Ainsi Spybot version « KEG », dont le rôle est d'infiltrer les machines, puis d'y opérer... un audit de vulnérabilité, pour ensuite en émettre le résultat, via un canal IRC, à destination du pirate qui l'a expédié.

Tout se vend, continue Schneier. Le glissement très net du hack « noir » des terres des script kiddies vers celles du crime parfaitement organisé ne fait plus aucun doute (Schneier n'est pas particulièrement connu pour ses propos catastrophistes, bien au contraire). Les failles « zero day », les parcs de machines compromises et regroupées en escadres de zombies appartenant à un botnet sont des informations qui se monnayent très cher. Les black hats parviennent même à valoriser ce que les golden boys de la Net Economy ne sont pas parvenus à transformer en or : l'adresse d'internaute. La capitalisation des fichiers d'adresses email, qui constituaient la valeur illusoire des entreprises de la « bulle », représente, pour les criminels du phishing et les professionnels du spamming une valeur extraordinaire.

* Gloubi Boulga : A l'attention des jeunes générations qui n'auraient pas connu Casimir : mélange de confiture de fraise, de chocolat râpé, de banane écrasée, de moutarde très forte et de saucisses tièdes mais crues. Une drôlerie culinaire qui n'est pas sans rappeler la concoction des RFC.