Rechercher :         

Le virus "I Love You" visait le World Wide Web

par Daniel Glazman

Directeur Technique - Halogen France

Le virus "I LOVE YOU" qui a frappé le monde entier ces derniers jours a fait beaucoup de mal aux entreprises spécialisées dans l'image numérique, mais il est loin d'avoir utilisé au maximum son potentiel destructeur. Alors que tous les systèmes d'information lui était ouverts, il s'est cantoné à l'écrasement d'images, sons et scripts, ainsi qu'à sa réplication... Il aurait pu, dès son lancement, réduire à néant la totalité du contenu des ordinateurs infectés, ou encore supprimer également les documents Word Excel et PowerPoint, voire virer les logiciels installés !

Pourquoi s'est-il donc arrêté là ?
Décryptons un peu le fonctionnement de ce virus : il commence par envahir tous les fichiers vbs, vbe, je, je, css, hta, jpg, jpeg, mp2 et mp3 des disques de l'ordinateur infecté. Notons que les disques partagés en réseau sont aussi concernés. Les fichiers ayant l'extension css sont des feuilles de styles (Cascading Style Sheets) et seuls les éditeurs de documents Web en gros savent ce que sont les CSS. Les hta sont encore plus confidentiels car il s'agit des "HTML Applications", totalement spécifiques à Microsoft et uniquement documentées sur leur serveur Web dédié aux développeurs ; rares sont ceux qui savent que les HTA existent, et encore plus rares sont ceux qui les utilisent. Les js et jse sont des fichiers contenant du code Javascript. Ils ne sont contenus que dans l'arborescence des serveurs Web, ou dans la distribution du navigateur de Netscape. Le code Javascript est cependant plus souvent placé dans le code des documents HTML que dans des fichiers séparés. Les vbs et vbe sont également des fichiers de scripting, mais du monde Microsoft. Jpeg est un format d'image compressé avec pertes bien connu et MP3 n'a plus besoin désormais d'être présenté. Puis il se réplique par mail, se prépare à sa réplication par IRC, modifie un peu la registry de Windows pour être lancé automatiquement au démarrage, change la page d'accueil d'Internet Explorer. Que du classique. Du très bien écrit et efficace, mais classique.
Quant au trou exploité, il est de trois natures différentes. Tout d'abord la naïveté confondante, pour ne pas dire l'inconscience, de tous ceux qui ouvrent un attachement sans même se demander pourquoi on le reçoit. Ensuite, la fonctionnalité de Windows permettant de cacher l'extension des fichiers; avec ça, l'extension *.TXT.vbs du virus devient *.TXT. Un banal fichier texte. Les fichiers jpeg infectés restent affichés avec une extension .jpg ! Enfin, la nullité confondante des produits de messagerie de Microsoft, incapables de reconnaître un format de scripting de Microsoft et de signaler avec une grosse alarme à l'usager que cet attachement pourrait être un virus...
Notons enfin un détail important : le virus est un script, diffusé en clair. Il sera facile aux saboteurs en devenir de s'en inspirer, voire de le modifier et de le rendre plus destructeur.

Quelle était donc la cible du virus ?
Cette cible était clairement non pas les systèmes d'information d'entreprise mais le World Wide Web lui-même. Le saboteur qui a pondu ILOVEYOU a d'une part fait une démonstration de force signifiant "je peux vous faire ce que je veux, quand je veux, et vous n'y pouvez rien" et d'autre part s'est attaqué au format de fichiers le plus controversé aujourd'hui. Les détracteurs du piratage audio viennent de trouver là une aide inespérée.
Les conclusions suivantes peuvent donc être raisonnables :
1. L'auteur du virus est un (ou plusieurs) saboteur(s) connaissant (aussi) la production de serveurs Web.
2. L'écrasement des css, hta et scripts est de la poudre aux yeux, destiné à faire encore un petit peu de dégât certes, mais semble être surtout une signature.
3. Le but recherché était double : la plus grande publicité possible (les sites Web étant corrompus), la suppression des archives musicales MP3 et JPEG.
4. Ce virus aurait pu être beaucoup, mais alors vraiment beaucoup, plus violent qu'il ne l'a été. Il a ouvert une nouvelle porte. Il est à craindre que d'autres virus plus durs ne surgissent vite.
Quant à l'auteur du virus et son but, quatre pistes possibles :
1. Une attaque généralisée contre le Web, destinée non pas à détruire mais à corrompre.
2. Une équipe internationale de hackers a été démantelée il y a 48 heures par le FBI. Une revanche ?
3. Une attaque parfaitement ciblée et volontaire contre la diffusion de contenus audio MP3 ?
4. N'oublions pas d'une part que sauf les agences photographiques, les plus grandes bases de jpeg sur le Net sont peut-être celles des sites pornographiques, et que d'autre part les serveurs warez (où l'on trouve les logiciels piratés, ndlr) regorgent de MP3. Cela en fait des cibles plus que préférentielles. Mais je me trompe sûrement !-).