Le 26 novembre 2001, Microsoft recevait une sorte de label de sécurité pour sa plate-forme .Net, sous la forme d'un livre blanc publié par deux prestataires spécialisés, Foundstone et Core Security Technologies. Aujourd'hui, l'annonce diffusée par plusieurs éditeurs d'antivirus, dont F-Secure et Symantec, remet à l'ordre du jour la célèbre phrase selon laquelle "aucun système n'est infaillible". Le code malicieux qui y est présenté, Donut (pour F-Secure, W32.Donut pour Symantec) aurait pu s'appeler dotNET selon la revendication de son auteur, mais les éditeurs qui l'ont reçu directement de ce dernier en ont décidé autrement. Qualifié de "proof-of-concept", ou code conceptuel, ce virus n'a donc pas été lâché dans la nature. De ce fait, il n'est dangereux pour personne.

Un virus limité à certains fichiers de .Net en v.bêta 2
Le hic ? L'environnement .Net de Microsoft, qui sert de support à son infrastructure de Web Services, n'est pas encore disponible. Le programmeur de Donut semble en quelque sorte avoir voulu pointer du doigt le fait que les pirates se tiennent prêts pour le jour de sa sortie officielle, aux alentours de la mi-2002. Afin de démontrer les possibilités d'infection d'un système doté de cette architecture, le programmeur s'est appuyé sur la version bêta 2 de la plate-forme .Net, dont le serveur est déjà accessible en bêta 3 depuis novembre 2001.

D'après le bulletin de Symantec, le fait que Donut recherche les fichiers dont l'en-tête (header) est signée BSBJ empêche le virus de se propager dans la version bêta 1 de .Net. D'autre part, cette démarche restreint l'infection à certains exécutables comme les programmes C# compilés. A titre indicatif, le virus a lui-même été programmé en C# et en MSIL (Microsoft Intermediate Language). En intervenant comme format de langage machine intermédiaire, cette sorte d'assembleur standard capable de comprendre l'orientation objet intervient lors de la compilation d'un programme développé dans n'importe quel langage. Ceci sert à garantir son indépendance par rapport à l'environnement d'exécution.

Des vers sous la forme de Web Services ?
Or, Microsoft aurait indiqué que la gestion du lancement des fichiers exécutables créés à l'intérieur de la bêta 2 de l'environnement .Net serait modifiée dans la version finale. Ceci pourrait rendre caduque le mode de propagation choisi par l'auteur tchèque de Donut, qui se fait appeler Benny/29A. Du reste, cette diffusion se trouve réduite aux fichiers présents sur une même machine, ce qui lui interdit tout qualificatif de ver, puisque ce terme est réservé aux codes distribués sur les réseaux.

En conclusion, et compte tenu du faible taux d'équipement du marché par les versions bêta de l'environnement .Net, un virus comme Donut n'aurait aujourd'hui qu'une portée extrêmement limitée s'il était diffusé dans la nature. En revanche, on imagine encore mal les répercussions que pourraient avoir des vers se présentant sous la forme de Web Services. Ce sujet, même s'il ne figure pas au programme officiel, pourrait néanmoins être abordé dans les discussions de la conférence Black Hat sur la sécurité des nouvelles technologies Microsoft, qui devrait se tenir les 7 et 8 février 2002 à la Nouvelle-Orléans en Louisiane.