Alerte Jaune chez Trend Micro, alerte de niveau
4 sur 5 chez Symantec, BugBear fait beaucoup couler d'encre depuis
son apparition - le 30 Septembre 2002. Pourtant, le virus le
plus marquant de ce trimestre n'est pas destructif : il se contente
d'ouvrir une large porte aux pirates sur le contenu des machines qu'il
infecte. Pourtant, d'aucuns considèrent que ce danger est aussi
préjudiciable que celui d'une destruction de données
pour une enteprise. BugBear mérite donc qu'on se méfie
de lui, d'autant que sa vitesse de propagation est assez élevée :
plusieurs dizaines de milliers de machines ont déjà
été pénétrées par le virus depuis
cinq jours.
Un
virus couplé à une faille
A qui la faute ? Une fois n'est pas coûtume, les internautes
dépourvus d'antivirus - ainsi que ceux qui ne prennent
pas la peine de mettre à jour leurs définitions virales -
ne sont pas les seuls visés. Le virus d'origine Malaysienne
exploite en effet une ancienne faille d'Internet Explorer -
disparue depuis la version 6 - qui permet à un code
malicieux de se glisser sur un ordinateur par le truchement d'un
mail reçu sous Outlook, et même si la machine est équipée
d'un antivirus - sous certaines conditions.
Ce qui fait dire au Directeur des Laboratoires
Européens de recherche de Trend Micro - Marc Blanchard -
que "les antivirus ne suffisent plus à protéger
une machine. A l'avenir, les virus vont s'appuyer de plus en plus
sur des failles applicatives pour pénétrer les systèmes
d'entreprise. En complément d'un antivirus, je conseille
vivement de patcher les applicatifs des machines à protéger
très rigoureusement".
Pénétrer
n'est pas infecter
Heureusement, si BugBear peut entrer sur certaines machines sans
se faire repérer, il ne peut pas pour autant s'exécuter
tout aussi facilement : "Tous les antivirus mis à
jour seront capables de bloquer BugBear au moment où il se
lancera. Mais seuls les antivirus configurés pour scanner
régulièrement la mémoire vive de la machine
pourront empêcher le virus de rentrer sur l'ordinateur".
Parmi les dizaines de milliers de répliques de BugBear qui
courent dans la nature, l'immense majorité n'a donc fait
que pénétrer sur un ordinateur sans l'infecter réellement.
Restent encore les milliers de machines
dont les définitions virales ne sont pas à jour, ainsi
que celles qui sont tout simplement dépourvues d'antivirus.
C'est gràce à ces postes que BugBear se propage :
le virus se glisse dans Outlook sous la forme d'un fichier joint
qui ne possède aucun signe distinctif : son nom et son
extension sont générés aléatoirement.
Quant au corps du texte, il est inspiré de la correspondance
personnelle du propriétaire de la machine infectée.
Espionnage feutré
Une fois exécuté, BugBear ouvre une backdoor
sur le Web et envoie des informations sur la machine à une
adresse prédéfinie, ce qui permet au créateur
du virus d'accéder à tous les fichiers contenus sur
la machine, ainsi qu'aux dernières commandes saisies au clavier -
un code de carte bleue par exemple. BugBear est également
capable de désactiver la protection de certains antivirus
et firewalls afin de faciliter la tache du pirate. Le tout dans
la plus grande discrétion. Une perspective qui fait froid
dans le dos.
Cependant, à en croire Marc Blanchard,
l'intention du créateur du Virus n'est sans doute pas de pratiquer
l'espionnage industriel : "les virus espions n'y vont pas
par quatre chemins, ils envoient directement une sélection
de fichiers sensibles au pirate. A mon avis - et en l'état
actuel de nos connaissances - BugBear serait plutôt le
produit d'un hacker qui cherche à établir un record
d'intrusions sur les réseaux des grandes entreprises qu'un
espion. Les pirates aiment beaucoup se mettre en valeur avec de pretigieux
tableaux de chasse".
[Nicolas Six, JDNet] 