En s’attaquant à SCO et à Microsoft, le virus Mydoom semble vouloir sanctionner deux sociétés farouchement opposées au développement des logiciels libres. Mais est-ce bien là le but profond de Mydoom ?
SCO.com ne répond plus
En ce dimanche 1er février 2004, impossible de se connecter au site web de l’éditeur américain de logiciels SCO. Submergés par des milliers de demandes d’accès, les serveurs informatiques du groupe ont été mis hors service, obligeant la société à proposer ses services sur un autre site, de secours celui-là.
Mais pourquoi autant internautes ont-ils cherché à se connecter à un site professionnel qui, d’habitude, n’attire pas les foules le week-end ? SCO.com a en réalité été victime d’une attaque lancée par un virus informatique découvert quelques jours plus tôt : Mydoom.A.
Un « ver » exemplaire
Également appelé Novarg ou Shimgapi, Mydoom.A est apparu le 26 janvier. Ce jour-là, de nombreux internautes ont reçu dans leur boîte aux lettres électronique des courriers dont l’objet (toujours écrit en anglais) pouvait paraître anodin : « hello », « hi » (salut), « test »…
Attaché à ce courrier, un fichier avec l'extension .bat, .cmd, .exe, .pif, .scr ou .zip. Dès l’ouverture de la pièce jointe, le processus viral s’engage : Mydoom récupère le carnet d’adresse de sa victime puis l’utilise pour envoyer des dizaines de courriers, infectant ainsi de nouvelles machines. Un fonctionnement caractéristique des « vers », famille de virus à laquelle appartient Mydoom.
Ce dernier est en réalité une bombe à retardement programmée pour se déclencher à une date précise. Ainsi, le 1er février, à 16h09 (GMT), les milliers de victimes du virus ont tenté de se connecter, sans le savoir, au site web de SCO qui s’est vite effondré face à une telle demande : une attaque communément appelée « déni de distribution de service. »
Vers, chevaux de Troie et autres bombes logiques... (définitions)
On appelle virus tout programme susceptible d’entraîner des perturbations dans le fonctionnement d’un ordinateur. On en distingue plusieurs familles :
Les vers (worms) sont des programmes capables de se reproduire et de se déplacer à travers un réseau. Ce type de virus n’a pas besoin de s’attacher à un programme hôte.
Les chevaux de Troie (Trojan horses), en revanche, sont généralement intégrés à des programmes hôtes, des économiseurs d’écran par exemple. Ceux-ci contiennent des fonctions permettant de contourner les mécanismes de sécurité du système. Ils permettent ainsi d’accéder de manière illicite au contenu des fichiers afin de les consulter, les modifier ou les détruire. À la différence des vers, les chevaux de Troie ne se répliquent pas.
Les bombes logiques sont des virus à déclenchement différé. Elles exploitent des informations comme la date du système ou le lancement d’une procédure particulière pour se mettre en action. Leur but est généralement la destruction.
Les macrovirus sont, comme leur nom l’indique, des virus écrits sous forme de macros, un langage de programmation simplifié utilisé dans certaines applications. Ils sont donc généralement intégrés à des fichiers Word, Excel (…) et peuvent se transmettre d’un système à l’autre (Windows ou MacOS).
Les virus polymorphes sont particulièrement difficiles à détecter. Tels des mutants, ceux-ci sont en effet capables de se multiplier en prenant des aspects toujours différents.
Ces virus qui n’en sont pas…
Certains logiciels à l’essai (shareware) ou gratuit (freeware) renferment des logiciels espions (spywares). Ce ne sont pas à proprement parlé des virus, mais des programmes qui surveillent vos habitudes sur Internet afin, notamment, de vous envoyer des spams adaptés à votre profil consommateur.
De nombreux canulars (Hoax) circulent sur le net via le courrier électronique. Certains vous invitent à renvoyer le message à vos connaissances (multipliant sa diffusion de manière exponentielle) ; d’autres vous préviennent que votre machine est infectée par un virus et vous recommandent de supprimer un fichier qui, en réalité, est vital pour le bon fonctionnement de votre ordinateur…
Une attaque fulgurante
Les chiffres vont bon train quant à la diffusion du virus. Pour l’éditeur TrandMicro, 610 000 machines ont été infectées. Pour la société finlandaise de sécurité informatique F-Secure, « le nombre total d’ordinateurs infectés dépasse le million ». Elle estime même « qu’il s’agit de l’attaque de « déni de service » la plus importante de tous les temps ».
Selon Mikko Hypponen, le directeur de F-Secure, trois éléments ont joué en faveur de Mydoom. Premièrement, les messages piégés étaient plus malins qu’à l’accoutumée (message d’erreur, fichiers zip…), invitant plus facilement l’internaute à ouvrir la pièce jointe. Deuxièmement, le virus est apparu en milieu de journée aux États-Unis, se répandant très rapidement au sein des entreprises. Enfin, Mydoom a réussi à exploiter judicieusement de nombreuses adresses E-mail existantes.
Les chiffres avancés par F-Secure restent cependant controversés. Et pour cause : les éditeurs d’antivirus sont souvent suspectés de noircir le tableau afin de développer leurs ventes. Chez l’éditeur américain Symantec, on se refuse d’ailleurs à avancer un nombre d’ordinateurs infectés.
Reste que nombre d’internautes ont vu passer le virus dans leur boîte aux lettres. Et que l’objectif premier de Mydoom.A, à savoir mettre en berne le site de SCO, a été atteint.
Microsoft, à son tour visé
Le 28 janvier, deux jours après Mydoom.A, une variante du virus fait son apparition. Baptisé MyDoom.B, ce nouveau ver ne diffère de l’original que par la cible visée, Microsoft, la date de l’attaque (le 3 février à 13h09) et la date d’expiration (le 1er mars). Une attaque visiblement sans effet : le site du géant de l’informatique est resté accessible durant toute la période critique. Microsoft a néanmoins pris la précaution d’ouvrir un site de substitution au cas où il aurait fallu désactiver l’adresse officielle.
Les raisons de ce flop ? Échaudés par Mydoom.A, les internautes ont vraisemblablement été plus méfiants. D’autre part, selon l’éditeur d’antivirus McAfee, Mydoom.B est bogué. Il renferme une erreur de programmation qui empêche le déclenchement de l’attaque dans 93% des cas. Un bogue qui affecte d’ailleurs sa date d’expiration : le virus pourrait donc perdurer au-delà du 1er mars.
Mais pourquoi SCO ?
Microsoft n’en est pas à sa première attaque virale. On peut facilement comprendre que le géant de l’informatique, en imposant massivement son système d’exploitation Windows, se soit fait de nombreux ennemis.
Mais pourquoi en vouloir à SCO ? Inconnu du grand public, le groupe a émergé de l’anonymat en juin 2003 en portant plainte contre le numéro un mondial de l’informatique IBM, lui reprochant de violer sa propriété intellectuelle. SCO est en effet détenteur de droits sur le système d’exploitation Unix. Le groupe dit avoir constaté « à plusieurs reprises » que des morceaux du code d’Unix ont été utilisés par les programmateurs de Linux, le système d’exploitation libre dont Microsoft redoute la concurrence car il est libre d’accès (Open Source) à l’inverse de Windows.
En montrant du doigt le système d’exploitation libre Linux, SCO s’est ainsi attiré les foudres de la communauté Open Source. D’aucuns estiment d’ailleurs que SCO officierait pour Microsoft dans sa lutte contre Linux… ce que les deux entreprises ont toujours nié.
À qui profite le crime ?
En s’attaquant aux adversaires de Linux, Mydoom constituerait-il un virus « contestataire » ? C’est possible. « Beaucoup de virus ont dans leur code source des messages ouvertement revendicatifs, fait d’ailleurs remarquer Damase Tricart de la société Symantec. À l’intérieur du virus Blaster, par exemple, on pouvait lire ''Bill Gates, au lieu de gagner de l’argent, tu ferais mieux de réparer ce type de faille !'' ». Il est donc vraisemblable que les auteurs de Mydoom militent au sein de la communauté Open Source.
Néanmoins, en l’absence d’éléments tangibles, il parait difficile de trancher. D’autant que Mydoom ne se contente pas de diffuser du courrier et d’attaquer des sites web : sur les ordinateurs infectés, il ouvre également une « porte dérobée », le port 3127, qui offre à des personnes mal intentionnées un accès et un contrôle complet de la machine via le réseau Internet. « Un pirate qui a accès en un clic à des milliers de machines dispose d’un pouvoir considérable, note Damase Tricart. Il peut par exemple exploiter cet accès pour diffuser des spams*. » Un objectif bien éloigné de l’esprit « Open Source »…
* publicités non désirées
Après Mydoom, DoomJuice
Depuis le 9 février, un nouveau virus, DoomJuice, corrobore l’idée que Mydoom n’a pas que des visées contestataires. Baptisé également Mydoom.C par certains éditeurs, ce nouveau venu ne se propage pas par courrier électronique mais scanne des adresses Internet au hasard et infecte les machines contaminées par MyDoom à travers la porte dérobée installée par la première version du ver. Cette méthode d'infection révèle une tendance récente des créateurs de virus qui exploitent des machines déjà infectées pour propager leurs nouveaux virus, rendant ainsi leurs créations bien plus virulentes en infectant très rapidement des milliers de machines.
Mais DoomJuice, qui est lui aussi programmé pour lancer des attaques par saturation contre le site de Microsoft, semble surtout destiné à permettre aux auteurs de Mydoom de couvrir leurs traces : avant l'apparition de DoomJuice, seuls les auteurs de Mydoom.A étaient en possession du code source* du virus, ce qui constitue la meilleure preuve de leur culpabilité aux yeux de la police. Aujourd'hui plusieurs milliers d'utilisateurs infectés à travers le monde disposent de ce code source archivé dans leur machine, sans le savoir…
Quoiqu’il en soit, Microsoft et SCO ont annoncé qu’ils offriraient chacun 250 000 dollars à qui permettrait de mettre la main sur les auteurs du virus.
* le fichier qui a permis de créer le virus