Le 26 novembre 2001, Microsoft
recevait une sorte de label de sécurité
pour sa plate-forme .Net, sous la forme d'un livre
blanc publié par deux prestataires spécialisés,
Foundstone
et Core
Security Technologies. Aujourd'hui, l'annonce diffusée
par plusieurs éditeurs d'antivirus, dont F-Secure
et Symantec,
remet à l'ordre du jour la célèbre
phrase selon laquelle "aucun système n'est
infaillible". Le code malicieux qui y est présenté,
Donut
(pour F-Secure, W32.Donut
pour Symantec) aurait pu s'appeler dotNET selon la revendication
de son auteur, mais les éditeurs qui l'ont reçu
directement de ce dernier en ont décidé
autrement. Qualifié de "proof-of-concept",
ou code conceptuel, ce virus n'a donc pas été
lâché dans la nature. De ce fait, il n'est
dangereux pour personne.
Un virus limité à
certains fichiers de .Net en v.bêta 2
Le hic
? L'environnement .Net de Microsoft, qui sert de support
à son infrastructure de Web Services, n'est pas
encore disponible. Le programmeur de Donut semble en
quelque sorte avoir voulu pointer du doigt le fait que
les pirates se tiennent prêts pour le jour de
sa sortie officielle,
aux alentours de la mi-2002. Afin de démontrer
les possibilités d'infection d'un système
doté de cette architecture, le programmeur s'est
appuyé sur la version bêta 2 de la plate-forme
.Net, dont le serveur est déjà accessible
en bêta 3 depuis novembre 2001.
D'après le bulletin de Symantec, le fait que
Donut recherche les fichiers dont l'en-tête (header)
est signée BSBJ empêche le virus de se
propager dans la version bêta 1 de .Net. D'autre
part, cette démarche restreint l'infection à
certains exécutables comme les programmes C#
compilés. A titre indicatif, le virus a lui-même
été programmé en C# et en MSIL
(Microsoft Intermediate Language). En intervenant comme
format de langage machine intermédiaire, cette
sorte d'assembleur standard capable de comprendre l'orientation
objet intervient lors de la compilation d'un programme
développé dans n'importe quel langage.
Ceci sert à garantir son indépendance
par rapport à l'environnement d'exécution.
Des vers sous la forme de Web
Services ?
Or, Microsoft aurait indiqué que la gestion du
lancement des fichiers exécutables créés
à l'intérieur de la bêta 2 de l'environnement
.Net serait modifiée dans la version finale.
Ceci pourrait rendre caduque le mode de propagation
choisi par l'auteur tchèque de Donut, qui se
fait appeler Benny/29A. Du reste, cette diffusion se
trouve réduite aux fichiers présents sur
une même machine, ce qui lui interdit tout qualificatif
de ver, puisque ce terme est réservé aux
codes distribués sur les réseaux.
En conclusion, et
compte tenu du faible taux d'équipement du marché
par les versions bêta de l'environnement .Net,
un virus comme Donut n'aurait aujourd'hui qu'une portée
extrêmement limitée s'il était diffusé
dans la nature. En revanche, on imagine encore mal les
répercussions que pourraient avoir des vers se
présentant sous la forme de Web Services. Ce
sujet, même s'il ne figure pas au programme officiel,
pourrait néanmoins être abordé dans
les discussions de la conférence
Black Hat sur la sécurité des nouvelles
technologies Microsoft, qui devrait se tenir les 7 et
8 février 2002 à la Nouvelle-Orléans
en Louisiane.
|