SCIENCE ACTUALITÉS.fr

Le magazine qui se visite aussi à la Cité des Sciences

Actualités
Innovation & Technologie

Mydoom : un virus informatique contestataire ?

En s’attaquant à SCO et à Microsoft, le virus Mydoom semble vouloir sanctionner deux sociétés farouchement opposées au développement des logiciels libres. Mais est-ce bien là le but profond de Mydoom ?

SCO.com ne répond plus

En ce dimanche 1er février 2004, impossible de se connecter au site web de l’éditeur américain de logiciels SCO. Submergés par des milliers de demandes d’accès, les serveurs informatiques du groupe ont été mis hors service, obligeant la société à proposer ses services sur un autre site, de secours celui-là.

Mais pourquoi autant internautes ont-ils cherché à se connecter à un site professionnel qui, d’habitude, n’attire pas les foules le week-end ? SCO.com a en réalité été victime d’une attaque lancée par un virus informatique découvert quelques jours plus tôt : Mydoom.A.

Un « ver » exemplaire

Également appelé Novarg ou Shimgapi, Mydoom.A est apparu le 26 janvier. Ce jour-là, de nombreux internautes ont reçu dans leur boîte aux lettres électronique des courriers dont l’objet (toujours écrit en anglais) pouvait paraître anodin : « hello », « hi » (salut), « test »…

Attaché à ce courrier, un fichier avec l'extension .bat, .cmd, .exe, .pif, .scr ou .zip. Dès l’ouverture de la pièce jointe, le processus viral s’engage : Mydoom récupère le carnet d’adresse de sa victime puis l’utilise pour envoyer des dizaines de courriers, infectant ainsi de nouvelles machines. Un fonctionnement caractéristique des « vers », famille de virus à laquelle appartient Mydoom.

Ce dernier est en réalité une bombe à retardement programmée pour se déclencher à une date précise. Ainsi, le 1er février, à 16h09 (GMT), les milliers de victimes du virus ont tenté de se connecter, sans le savoir, au site web de SCO qui s’est vite effondré face à une telle demande : une attaque communément appelée « déni de distribution de service. »

Vers, chevaux de Troie et autres bombes logiques... (définitions)

On appelle virus tout programme susceptible d’entraîner des perturbations dans le fonctionnement d’un ordinateur. On en distingue plusieurs familles :

Les vers (worms) sont des programmes capables de se reproduire et de se déplacer à travers un réseau. Ce type de virus n’a pas besoin de s’attacher à un programme hôte.

Les chevaux de Troie (Trojan horses), en revanche, sont généralement intégrés à des programmes hôtes, des économiseurs d’écran par exemple. Ceux-ci contiennent des fonctions permettant de contourner les mécanismes de sécurité du système. Ils permettent ainsi d’accéder de manière illicite au contenu des fichiers afin de les consulter, les modifier ou les détruire. À la différence des vers, les chevaux de Troie ne se répliquent pas.

Les bombes logiques sont des virus à déclenchement différé. Elles exploitent des informations comme la date du système ou le lancement d’une procédure particulière pour se mettre en action. Leur but est généralement la destruction.

Les macrovirus sont, comme leur nom l’indique, des virus écrits sous forme de macros, un langage de programmation simplifié utilisé dans certaines applications. Ils sont donc généralement intégrés à des fichiers Word, Excel (…) et peuvent se transmettre d’un système à l’autre (Windows ou MacOS).

Les virus polymorphes sont particulièrement difficiles à détecter. Tels des mutants, ceux-ci sont en effet capables de se multiplier en prenant des aspects toujours différents.


Ces virus qui n’en sont pas…


Certains logiciels à l’essai (shareware) ou gratuit (freeware) renferment des logiciels espions (spywares). Ce ne sont pas à proprement parlé des virus, mais des programmes qui surveillent vos habitudes sur Internet afin, notamment, de vous envoyer des spams adaptés à votre profil consommateur.

De nombreux canulars (Hoax) circulent sur le net via le courrier électronique. Certains vous invitent à renvoyer le message à vos connaissances (multipliant sa diffusion de manière exponentielle) ; d’autres vous préviennent que votre machine est infectée par un virus et vous recommandent de supprimer un fichier qui, en réalité, est vital pour le bon fonctionnement de votre ordinateur…

Une attaque fulgurante

Mikko Hypponen, directeur de F-Secure Le virus Mydoom a été “craqué“ en moins de deux heures par un employé de la compagnie finlandaise de sécurité informatique, F-Secure. © AFP/PAIVI VAYRYNEN

Les chiffres vont bon train quant à la diffusion du virus. Pour l’éditeur TrandMicro, 610 000 machines ont été infectées. Pour la société finlandaise de sécurité informatique F-Secure, « le nombre total d’ordinateurs infectés dépasse le million ». Elle estime même « qu’il s’agit de l’attaque de « déni de service » la plus importante de tous les temps ».

Selon Mikko Hypponen, le directeur de F-Secure, trois éléments ont joué en faveur de Mydoom. Premièrement, les messages piégés étaient plus malins qu’à l’accoutumée (message d’erreur, fichiers zip…), invitant plus facilement l’internaute à ouvrir la pièce jointe. Deuxièmement, le virus est apparu en milieu de journée aux États-Unis, se répandant très rapidement au sein des entreprises. Enfin, Mydoom a réussi à exploiter judicieusement de nombreuses adresses E-mail existantes.

Retour en haut