Pourquoi la menace Sircam a été sous-estimée

Sircam, le ver qui envahit les messageries électroniques depuis maintenant huit jours en diffusant largement sur la Toile des fichiers prélevés sur les disques durs des PC infectés (lire notre article), ne devrait pas battre les records de propagation des virus comme "I Love You" ou Melissa. C'est du moins ce qu'affirmaient les éditeurs d'anti-virus dans la journée d'hier. Problème: ces éditeurs, soucieux dans un premier temps de ne pas créer la panique, ont progressivement revu à la hausse le niveau de risque que représente Sircam. Un expert sécurité que nous avons contacté et qui préfère conserver l'anonymat se dit d'ailleurs "sceptique" devant les évaluations de la diffusion du ver. Selon cet interlocuteur, la diffusion observée à l'échelle de la France laisse penser que Sircam n'a rien à envier à l'audimat d'un "I Love You". Quelques caractéristiques de Sircam, dévoilées au fur et à mesure de sa propagation, expliquent cette situation.

- Principale raison de cette sous-estimation du risque lors de l'apparition de Sircam, la découverte de son aptitude à se propager sur les disques réseaux dans un environnement Windows. L'éditeur Symantec estime d'ailleurs que l'essentiel de la propagation dans les entreprises est dû à la diffusion via les réseaux locaux et non au fait que les employés ont cliqué sur les documents contaminés reçus par mail.

- Deuxième explication : par analogie avec les vers précédents, Sircam a été présenté comme un ver avant tout "dédié" au logiciel de messagerie Outlook. Or Sircam pioche également des adresses dans les répertoires temporaires utilisés pour la navigation sur le Web ("\Temporary Internet Files"). Ce qui élargit son champ d'action.

- Troisième explication : il semble que Sircam a davantage touché l'Europe que les Etats-Unis. Ce qui expliquerait là encore la sous-estimation du phénomène.

Un ver sélectif ?
L'analyse des capacités de reproduction de Sircam ont donc conduit les éditeurs à revoir leur jugement sur son degré de nocivité. De fait, la pollution des serveurs mails générée par une telle diffusion représente en soi une menace. Mais ce n'est pas la seule: Sircam se propage en combinant son code avec celui d'un fichier (.doc, .xls, .zip. exe) trouvé sur le disque dur de l'utilisateur. Le fichier qui résulte de cette combinaison reçoit une nouvelle extension (.pif, .bat, .com) et est joint aux emails envoyés. Or la méthode de sélection du fichier en question par Sircam fait l'objet de quelques divergences d'un éditeur à l'autre.

Certes, la majeure partie des notes émises stipulent que le fichier est choisi de façon aléatoire. Cependant, une rapide étude statistique des messages infectés et reçus à la rédaction de JDNet Solutions, montre une préférence de Sircam pour des fichiers plutôts "critiques". La majeure partie des documents infectés que nous avons reçus incluent dans leur nom des mots comme "contrat", "plan", "business", "emploi", etc. Parmi les éditeurs que nous avons interrogés, seul Panda Software supputte que Sircam sélectionne les documents en fonction d'une batterie de mots-clefs. Ce qui expliquerait la diffusion massive de documents à caractère confidentiel que nous avons nous-même observée.

Des fichiers contaminés lisibles ?
Que cette hypothèse soit confirmée ou non, une inquiétude légitime demeure: ces documents ainsi transmis à des tiers peuvent-ils être lus par ceux qui les reçoivent ? Réponse en deux temps. Primo, les curieux qui s'y risquent réussiront seulement à contaminer leur poste de travail. Secundo, comme à l'habitude dans le domaine de la sécurité, tout est toujours possible avec les bonnes compétences. L'interlocuteur que nous mentionnions plus haut a ainsi réussi à nettoyer et à lire des documents contaminés. L'opération n'a toutefois été réalisée que sur certains messages et par un expert en sécurité. La manipulation est donc loin d'être accessible à tous. Par ailleurs, des logiciels comme ceux de Symantec ou de Trend Micro effacent les documents contaminés et ne laissent donc pas la possibilité aux destinataires de les examiner. En résumé, si des documents confidentiels ont été diffusés sur le réseau, la probabilité qu'ils aient été lus s'avère extrêment faible. Mais pas nulle.

En revanche, les capacités destructrices de l'intrus, elles aussi revues à la hausse, ne sont pas à prendre à la légère. Dès le début, il était identifié que ce ver, comme bon nombre de ses congénères, pouvait saturer le disque dur. Ensuite, relativement vite toutefois, les éditeurs ont aussi précisé qu'à la date du 16 octobre et dans un cas sur vingt, Sircam effacera l'intégralité du disque où Windows est installé. La chasse est donc ouverte...