Sober.G, le ver spammeur apparu depuis un mois et dérivé de
la famille éponyme, sert depuis ce week-end de relais à un groupe
d'extrémistes, révèle le quotidien Der Spiegel. Les ordinateurs
infectés par ce virus envoient en continu des messages au contenu
raciste qui pointent vers des sites d'extrême droite.
Ce
cas illustre un phénomène plus large, celui de la rencontre
entre la communauté des créateurs de virus et celle des spammeurs,
donnant naissance au transit de spam en masse. Philippe Bourgeois,
ingénieur sécurité du CERT (Computer Emergency Response Team),
détaille les rouages d'une génération de virus-spammeurs.
JDN Solutions : Quelles sont les
particularités des nouveaux modes de propagation du spam grâce aux virus ?
Philippe Bourgeois : Auparavant, les spammeurs visaient des
relais de messageries mal configurés car leurs priorités étaient
de masquer leur identité et de relayer les messages qu'ils envoyaient.
Dans ce but, ils n'utilisaient jamais leur adresse personnelle
ou toute autre adresse unique car il aurait été facile de
bloquer l'origine du spam.
Dorénavant, le spammeur vise à s'introduire sur des machines
à distance pour relayer son spam. C'est un phénomène qui a
pris de l'ampleur depuis l'été 2003. Ce n'était qu'une conviction
au départ puis les preuves sont venues la confirmer. Certains
virus sont désormais un outil de propagation du spam et ils
infectent des machines dans ce sens.
Quel rapport peut-on établir entre
la communauté des créateurs de virus ou de chevaux de Troie et
les spammeurs ?
Ce sont deux mondes qui se rejoignent. Les spammeurs utilisent
une partie des outils des hackers, notamment les troyens pour
compromettre les machines. On assiste à une criminalisation
du Web où hackers et spammeurs communiquent entre eux
pour gagner de l'argent, c'est du moins ce que nous suspectons.
Il est d'ailleurs probable que les spammeurs payent les concepteurs
de virus pour utiliser leurs outils.
Comment fonctionnent ces nouveaux virus - spammeurs
?
Un cheval de Troie s'introduit sur une machine cible et y dépose un
morceau de code. Cet algorithme s'exécute ensuite en boucle
et ouvre un port réseau dont le numéro varie d'un virus à
un autre. Une fois cette tâche accomplie, la machine attend
une commande de la part du spammeur. C'est lui qui transmet
le complément d'informations avant de lancer l'envoi de
courriels en masse.
Pour trouver de nouvelles adresses de destinataires vers lesquelles
envoyer le spam, les virus-spammeurs utilisent deux types
de techniques. L'une d'elle consiste à rechercher des adresses
sur les fichiers de la machine qu'elle vient de compromettre.
L'autre consiste à recevoir par le port ouvert une
liste d'adresse et un corps de message qui seront ensuite
intégrés aux e-mails à envoyer. Pour en bloquer le fonctionnement,
il suffit donc d'empêcher le troyen de s'installer.
|