Les créateurs de virus informatiques deviennent des mercenaires.

Les créateurs de virus informatiques deviennent des mercenaires
LE MONDE | 27.04.04
Le nombre de codes malicieux mis en circulation sur Internet augmente
considérablement. Les spécialistes de sécurité des systèmes d'information suspectent,
notamment, des collusions entre émetteurs de courriels non sollicités et auteurs de
programmes malins.
Internet est touché, depuis le début de l'année 2004, par une recrudescence d'une
intensité encore jamais atteinte de la production de virus informatiques. Ce
phénomène se conjugue avec de profonds changements, notent les spécialistes de la
sécurité des systèmes d'information. Traditionnellement motivés par l'exploit
technique et la médiatisation de leurs créatures, nombre d'auteurs de virus sont
désormais suspectés d'agir pour le compte de commanditaires peu scrupuleux.

L'année 2003 avait déjà connu une forte intensité de l'activité virale. Cette
dernière avait culminé pendant l'été avec, notamment, la diffusion des virus Blaster,
Sobig et Welchia (Le Monde du 3 septembre 2003). Selon les estimations de l'éditeur
de logiciels antivirus TrendMicro - partagées par la majorité des professionnels du
secteur -, une moyenne d'environ 400 souches de codes malicieux sont ainsi apparues
chaque mois en 2003. Au cours des premiers mois de 2004, cette statistique connaît,
selon les mêmes sources, une très forte augmentation. Au mois de janvier, environ 600
programmes malins ont été détectés. En quatre mois, la tendance ne s'est pas démentie
et avril a été marqué par l'identification de près de 1 400 nouveaux codes malicieux.

Plus nombreux, ces derniers sont également plus virulents. Selon François Paget,
responsable du centre de recherche de l'éditeur Network Associates, 21 alertes
"majeures ou moyennes" ont été déclenchées au cours des quatre premiers mois de
l'année. Cet indicateur n'avait pas dépassé 22 pour toute l'année 2003, 11 pour 2002,
17 pour 2001 et 12 pour l'an 2000.

Ce regain d'intensité et de virulence s'accompagne de nouvelles pratiques. Les
spécialistes de sécurité des systèmes d'information estiment ainsi que les dernières
familles de virus apparues sur le Réseau - Mydoom et, plus récemment, Netsky et
Bagle - sont le fruit d'une forme de "professionnalisation" de leurs créateurs. "Nous
parlons de professionnalisation, car nous assistons, de la part des auteurs de virus,
à une plus grande recherche d'efficacité, au détriment de l'originalité, explique
Frédéric Martinez, ingénieur sécurité au CERT-IST, un centre de réaction aux attaques
informatiques, créé en 1999 par un consortium industriel français. Il y a un à deux
ans, les auteurs de virus étaient souvent des jeunes programmeurs ou des étudiants
voulant se faire remarquer en écrivant un programme original. Depuis janvier, on
observe une répétition des techniques utilisées : on retrouve dans Bagle ou dans
Netsky des techniques bien connues." A partir d'une souche virale existante, les
créateurs de virus jouent ainsi sur la combinaison de fonctions pour en accroître la
virulence.

PROJETS INFORMATIQUES

Diffusées par courrier électronique, les premières versions de Bagle et Netsky,
apparues au début de l'année, ne pouvaient, par exemple, infecter un ordinateur
qu'après l'ouverture d'un fichier joint à un courriel. Les nouvelles souches de ces
programmes, apparues fin mars, utilisent des failles de sécurité et peuvent
déclencher l'infection en dehors de toute action de l'utilisateur.

Pour David Kopp, directeur du laboratoire de TrendMicro, ces perfectionnements
successifs proviennent du fait qu'un nombre croissant d'auteurs de virus travaillent
sur leurs créatures "comme sur de véritables projets informatiques".

Ces "projets" sont généralement liés à des activités délictueuses, principalement
l'envoi massif de publipostages électroniques non sollicités, ou spams. Aux
Etats-Unis, cette activité est réglementée depuis le 1er janvier 2004 et la
promulgation du Can-spam Act (Le Monde du 14 janvier). En France et en Europe, elle
est considérée comme illicite. Elle repose, en effet, sur la collecte déloyale
d'adresses de courriel, données considérées comme "personnelles" et dont le
traitement est strictement encadré. Menacées d'importantes amendes, certaines
sociétés spécialisées dans l'envoi de spams sont donc entrées en clandestinité.

"Les virus actuels sont presque tous créés pour installer des portes dérobées, mais
aussi pour que ces portes dérobées puissent être utilisées par les spammeurs,
explique Pierre Forget, ingénieur sécurité au CERT-IST. Il est vraisemblable qu'un
certain nombre d'auteurs de virus jouent désormais un rôle de -mercenaires'' : une
fois qu'ils ont réussi à infecter un grand nombre de machines, ils en laissent
l'utilisation à un tiers - un spammeur, par exemple - qui les rémunère."

Cette collusion organisée ne peut toutefois, selon M. Paget, "être démontrée avec
certitude". "Mais c'est quelque chose que tous les professionnels de la sécurité
informatique ressentent fortement", ajoute-t-il. D'autant que, pour atteindre leurs
objectifs, ces nouveaux virus savent se faire discrets en provoquant moins d'effets
perturbateurs - voire destructeurs - que par le passé.

En février et mars 2004, les centres d'analyse de l'activité virale sur Internet ont
ainsi remarqué que les auteurs de Netsky et Bagle s'injuriaient mutuellement dans le
texte caché des messages infectés. "Il est vraisemblable qu'il s'agissait de deux
groupes qui cherchaient à se valoriser aux yeux d'un commanditaire potentiel",
explique M. Martinez.

La création des possibilités d'envoi de spams de manière frauduleuse et anonyme n'est
pas la seule motivation de ces commanditaires supposés. François Paget relève ainsi
qu'une large palette d'outils est parfois installée par le virus. "Ces outils peuvent
être activés à distance et permettent, par exemple, de collecter des fichiers
d'adresses de courrier électronique, des mots de passe et même des informations de
nature bancaire", avertit M. Paget.

Stéphane Foucart


--------------------------------------------------------------------------------

La dernière version, polyglotte, de Netsky


Une nouvelle variante du virus Netsky est apparue, mardi 20 avril, sur Internet. La
particularité de cette souche est sa capacité à s'adapter à la langue de l'ordinateur
qu'elle infecte. Le courriel vecteur de l'infection se présente ainsi en français si,
sur l'ordinateur qui le reçoit, la version des logiciels installés est française. Les
auteurs de cette variante de Netsky ont ainsi intégré une dizaine de langues à leur
création (suédois, polonais, portugais, français, allemand, italien, finnois, etc.).
Cette astuce rend plus vulnérables les utilisateurs les moins avertis qui,
généralement, se prémunissent contre les virus en supprimant systématiquement les
messages rédigés en langue étrangère.

. ARTICLE PARU DANS L'EDITION DU 28.04.04