26/07/01
Pourquoi
la menace Sircam a été sous-estimée
Sircam, le ver qui envahit
les messageries électroniques depuis maintenant
huit jours en diffusant largement sur la Toile des fichiers
prélevés sur les disques durs des PC infectés
(lire notre
article), ne devrait pas battre les records de propagation
des virus comme "I Love You" ou Melissa. C'est
du moins ce qu'affirmaient les éditeurs d'anti-virus
dans la journée d'hier. Problème: ces
éditeurs, soucieux dans un premier temps de ne
pas créer la panique, ont progressivement revu
à la hausse le niveau de risque que représente
Sircam. Un expert sécurité que nous avons
contacté et qui préfère conserver
l'anonymat se dit d'ailleurs "sceptique" devant
les évaluations de la diffusion du ver. Selon
cet interlocuteur, la diffusion observée à
l'échelle de la France laisse penser que Sircam
n'a rien à envier à l'audimat d'un "I
Love You". Quelques caractéristiques de
Sircam, dévoilées au fur et à mesure
de sa propagation, expliquent cette situation.
- Principale raison de cette sous-estimation
du risque lors de l'apparition de Sircam, la découverte
de son aptitude à se propager sur les disques
réseaux dans un environnement Windows. L'éditeur
Symantec estime d'ailleurs que l'essentiel de la propagation
dans les entreprises est dû à la diffusion
via les réseaux locaux et non au fait que les
employés ont cliqué sur les documents
contaminés reçus par mail.
- Deuxième
explication : par analogie avec les vers précédents,
Sircam a été présenté comme
un ver avant tout "dédié" au
logiciel de messagerie Outlook. Or Sircam pioche également
des adresses dans les répertoires temporaires
utilisés pour la navigation sur le Web ("\Temporary
Internet Files"). Ce qui élargit son champ
d'action.
- Troisième explication : il semble que
Sircam a davantage touché l'Europe que les Etats-Unis.
Ce qui expliquerait là encore la sous-estimation
du phénomène.
Un ver sélectif ?
L'analyse des capacités de reproduction de Sircam
ont donc conduit les éditeurs à revoir
leur jugement sur son degré de nocivité.
De fait, la pollution des serveurs mails générée
par une telle diffusion représente en soi une
menace. Mais ce n'est pas la seule: Sircam se propage
en combinant son code avec celui d'un fichier (.doc,
.xls, .zip. exe) trouvé sur le disque dur de
l'utilisateur. Le fichier qui résulte de cette
combinaison reçoit une nouvelle extension (.pif,
.bat, .com) et est joint aux emails envoyés.
Or la méthode de sélection du fichier
en question par Sircam fait l'objet de quelques divergences
d'un éditeur à l'autre.
Certes, la majeure partie des notes émises stipulent
que le fichier est choisi de façon aléatoire.
Cependant, une rapide étude statistique des messages
infectés et reçus à la rédaction
de JDNet Solutions, montre une préférence
de Sircam pour des fichiers plutôts "critiques".
La majeure partie des documents infectés que
nous avons reçus incluent dans leur nom des mots
comme "contrat", "plan", "business",
"emploi", etc. Parmi les éditeurs que
nous avons interrogés, seul Panda Software supputte
que Sircam sélectionne les documents en fonction
d'une batterie de mots-clefs. Ce qui expliquerait la
diffusion massive de documents à caractère
confidentiel que nous avons nous-même observée.
Des fichiers contaminés lisibles ?
Que cette hypothèse soit confirmée ou
non, une inquiétude légitime demeure:
ces documents ainsi transmis à des tiers peuvent-ils
être lus par ceux qui les reçoivent ? Réponse
en deux temps. Primo, les curieux qui s'y risquent réussiront
seulement à contaminer leur poste de travail.
Secundo, comme à l'habitude dans le domaine de
la sécurité, tout est toujours possible
avec les bonnes compétences. L'interlocuteur
que nous mentionnions plus haut a ainsi réussi
à nettoyer et à lire des documents contaminés.
L'opération n'a toutefois été réalisée
que sur certains messages et par un expert en sécurité.
La manipulation est donc loin d'être accessible
à tous. Par ailleurs, des logiciels comme ceux
de Symantec ou de Trend Micro effacent les documents
contaminés et ne laissent donc pas la possibilité
aux destinataires de les examiner. En résumé,
si des documents confidentiels ont été
diffusés sur le réseau, la probabilité
qu'ils aient été lus s'avère extrêment
faible. Mais pas nulle.
En revanche, les capacités destructrices de l'intrus,
elles aussi revues à la hausse, ne sont pas à
prendre à la légère. Dès
le début, il était identifié que
ce ver, comme bon nombre de ses congénères,
pouvait saturer le disque dur. Ensuite, relativement
vite toutefois, les éditeurs ont aussi précisé
qu'à la date du 16 octobre et dans un cas sur
vingt, Sircam effacera l'intégralité du
disque où Windows est installé. La chasse
est donc ouverte...
|