Edition du 18/08/2005 - par Marc Olanié

CNN malade, le Congrès américain touché, le réseau Disney dans les choux...la faute au virus Zotob ? Depuis quelques jours, des chiffres alarmistes sont publiés par la presse généraliste. Chiffres démentis par les statistiques réelles d'infection et les mesures de bande passante liées à l'activité du port 445. Rien à signaler de franchement suspect, déclare Netcraft , Zotob n'arrive pas à la cheville de Sasser. La diffusion de ce virus et l'interprétation de ces chiffres masquent une réalité un peu plus subtile.

A commencer par les incroyables carences des réseaux affectés. Zotob, dans la nature depuis dimanche dernier -aux premières heures matutinales-, n'a globalement commencé son oeuvre de destruction qu'à partir de lundi matin. Temps nécessaire à sa divulgation ? Que nenni, car même faibles, les premiers effets auraient dû franchement se manifester dès dimanche soir. Il y a donc fort à parier, estiment quelques administrateurs, que le « coup de zotob du lundi » ait été provoqué par le retour de quelques ordinateurs portables « emportés à la maison durant le week end ». Revenues au bureau aussi chargées que les frères Volfoni après la scène de la cuisine, ces machines ont très probablement essaimé leurs miasmes au coeur même de leurs réseaux d'entreprise. Zotob est certainement moins à blâmer dans ces cas que l'absence de mesures de quarantaine ou l'incompétence de certains utilisateurs « mobiles ». D'autres professionnels de la sécurité, quand à eux, estiment que les trois jours d'incubation sont une constante incompressible propre aux principaux vers à propagation tcp.

Mais Zotob n'est pas seul. Son nom est utilisé en fait pour décrire toute une famille de virus reposant sur la faille PnP 05-039, et dont l'origine dépendrait de deux, peut-être trois camps distincts, estiment les chercheurs de Kaspersky labs et de F-Secure . Zotob, IRCbot, Rbot, SDbot, Bozori se mènent un combat sans merci, se tuant mutuellement et cherchant au passage à installer leurs portes dérobées sur les machines victimes. C'est la guerre des bots, elle ne concerne qu'un quarteron de pirates en mal de réseaux d'infection. Hélas, le conflit se déroule sur nos propres machines.