Rétro-scoop

Nouvelles du passé, compréhensions nouvelles :
Sécurité: la dangereuse mutation du ver

Alors que le ver Netsky.D est classé en tête des alertes antivirus, le plus dangereux demeure pourtant l’apparition ce week-end de cinq variantes de Bagle. Elles contournent les protections classiques et ouvrent des portes dérobées. Une tendance inquiétante.

Depuis le 1er mars, les éditeurs de logiciels antivirus concentrent leurs alertes sur l’apparition d’un énième ver autorépliquant baptisé Netsky.D, dont la principale caractéristique est de se multiplier à grande vitesse par e-mail. Or ce virus « mass-mailer » constitue un danger très relatif en matière de sécurité informatique, puisque son effet majeur est la saturation des serveurs de courrier.

Une autre menace est nettement plus préoccupante. En seulement 48 heures, sont apparues le week-end dernier cinq variantes du ver Bagle. Si elles possèdent tous les attributs d’un mass-mailer, elles créent pourtant une insécurité réelle en ouvrant des portes dérobées (« backdoors ») sur les machines infectées.

Comme leurs grands frères, les Bagle C, D, E et F se transforment ainsi en virus troyen (fonctions d’un cheval de Troie), pour ouvrir une backdoor sur les systèmes touchés. Dans ces cas précis, ils utilisent un port TCP particulier, le port 2745, par lequel ils envoient, aux présumés auteurs du virus en Allemagne, un message contenant des informations sur la machine infectée.

«Ces backdoors permettent aux pirates de se servir des machines infectées comme relais pour du spam: faire office de serveurs web avec du contenu interdit, lancer des attaques [par saturation] en déni de service», constate Eyal Dotan, responsable recherche et développement de Tegam. Cet éditeur d’antivirus observe depuis longtemps le comportement « furfif » des nouvelles menaces virales. «Certaines backdoors permettent également de cartographier le parc informatique infecté. Ces informations sont renvoyées aux auteurs de ces vers; mais elles peuvent également être mises à disposition d’autres pirates pour lancer ensuite des attaques ciblées.»

Netsky.D pourtant classé en « alerte de niveau 1 » «Cela laisse à la communauté des « hackers » des machines en libre-service», explique pour sa part à ZDNet Alexandre Durante, directeur général de l’éditeur antivirus F-Secure France. Finalement, admet-il , «Netsky.D est moins dangereux que les variantes de Bagle». Pourquoi alors est-il classé en alerte 1 chez F-Secure, le plus haut niveau, alors que Bagle et ses variantes demeurent à 2? «Sa propagation est plus importante», répond M Durante. Pour F-Secure, le principal critère ce n’est donc pas la dangerosité du virus sur l’intégrité du système informatique infecté, mais sa capacité de nuisance sur tout son environnement.

Pourtant, la tendance la plus inquiétante en matière de sécurité informatique est bien cette mutation des virus-vers en chevaux de Troie, comme l’acquiesce Philippe Bourgeois, ingénieur sécurité au Cert-IST, le Centre de surveillance pour les secteurs de l’industrie, des services et du tertiaire.

«Pour une entreprise, le fait de recevoir un mass-mailer est moins grave que de voir ouvrir des backdoors, car cela permet de prendre le contrôle à distance d’une ou plusieurs machines. Cela engendre des risques de vol d’informations et d’utilisation des postes infectés pour réaliser d’autres attaques.»

Source ZDNet France

Newsletter

Abonnez-vous pour suivre nos actualités :