Le virus "I
Love You" visait le World Wide Web
par Daniel Glazman
Directeur Technique - Halogen France
Le virus "I LOVE YOU"
qui a frappé le monde entier ces derniers jours a fait beaucoup
de mal aux entreprises spécialisées dans l'image numérique,
mais il est loin d'avoir utilisé au maximum son potentiel
destructeur. Alors que tous les systèmes d'information lui
était ouverts, il s'est cantoné à l'écrasement d'images, sons
et scripts, ainsi qu'à sa réplication... Il aurait pu, dès
son lancement, réduire à néant la totalité du contenu des
ordinateurs infectés, ou encore supprimer également les documents
Word Excel et PowerPoint, voire virer les logiciels installés
!
Pourquoi s'est-il donc arrêté
là ? Décryptons un peu le fonctionnement de ce virus : il commence
par envahir tous les fichiers vbs, vbe, je, je, css, hta,
jpg, jpeg, mp2 et mp3 des disques de l'ordinateur infecté.
Notons que les disques partagés en réseau sont aussi concernés.
Les fichiers ayant l'extension css sont des feuilles de styles
(Cascading Style Sheets) et seuls les éditeurs de documents
Web en gros savent ce que sont les CSS. Les hta sont encore
plus confidentiels car il s'agit des "HTML Applications",
totalement spécifiques à Microsoft et uniquement documentées
sur leur serveur Web dédié aux développeurs ; rares sont ceux
qui savent que les HTA existent, et encore plus rares sont
ceux qui les utilisent. Les js et jse sont des fichiers contenant
du code Javascript. Ils ne sont contenus que dans l'arborescence
des serveurs Web, ou dans la distribution du navigateur de
Netscape. Le code Javascript est cependant plus souvent placé
dans le code des documents HTML que dans des fichiers séparés.
Les vbs et vbe sont également des fichiers de scripting, mais
du monde Microsoft. Jpeg est un format d'image compressé avec
pertes bien connu et MP3 n'a plus besoin désormais d'être
présenté. Puis il se réplique par mail, se prépare à sa réplication
par IRC, modifie un peu la registry de Windows pour être lancé
automatiquement au démarrage, change la page d'accueil
d'Internet Explorer. Que du classique. Du très bien écrit
et efficace, mais classique. Quant au trou exploité, il est de trois natures différentes.
Tout d'abord la naïveté confondante, pour ne pas dire
l'inconscience, de tous ceux qui ouvrent un attachement
sans même se demander pourquoi on le reçoit. Ensuite,
la fonctionnalité de Windows permettant de cacher l'extension
des fichiers; avec ça, l'extension *.TXT.vbs du virus
devient *.TXT. Un banal fichier texte. Les fichiers
jpeg infectés restent affichés avec une extension .jpg
! Enfin, la nullité confondante des produits de messagerie
de Microsoft, incapables de reconnaître un format de
scripting de Microsoft et de signaler avec une grosse
alarme à l'usager que cet attachement pourrait être
un virus... Notons enfin un détail important : le virus est un script,
diffusé en clair. Il sera facile aux saboteurs en devenir
de s'en inspirer, voire de le modifier et de le rendre
plus destructeur.
Quelle était donc la cible
du virus ? Cette cible était clairement non pas les systèmes d'information
d'entreprise mais le World Wide Web lui-même. Le saboteur
qui a pondu ILOVEYOU a d'une part fait une démonstration de
force signifiant "je peux vous faire ce que je veux, quand
je veux, et vous n'y pouvez rien" et d'autre part s'est attaqué
au format de fichiers le plus controversé aujourd'hui. Les
détracteurs du piratage audio viennent de trouver là une aide
inespérée. Les conclusions suivantes peuvent donc être raisonnables
: 1. L'auteur du virus est un (ou plusieurs) saboteur(s) connaissant
(aussi) la production de serveurs Web. 2. L'écrasement des css, hta et scripts est de la poudre aux
yeux, destiné à faire encore un petit peu de dégât certes,
mais semble être surtout une signature. 3. Le but recherché était double : la plus grande publicité
possible (les sites Web étant corrompus), la suppression des
archives musicales MP3 et JPEG. 4. Ce virus aurait pu être beaucoup, mais alors vraiment beaucoup,
plus violent qu'il ne l'a été. Il a ouvert une nouvelle porte.
Il est à craindre que d'autres virus plus durs ne surgissent
vite. Quant à l'auteur du virus et son but, quatre pistes
possibles : 1. Une attaque généralisée contre le Web, destinée non pas
à détruire mais à corrompre. 2. Une équipe internationale de hackers a été démantelée il
y a 48 heures par le FBI. Une revanche ? 3. Une attaque parfaitement ciblée et volontaire contre
la diffusion de contenus audio MP3 ? 4. N'oublions pas d'une part que sauf les agences photographiques,
les plus grandes bases de jpeg sur le Net sont peut-être celles
des sites pornographiques, et que d'autre part les serveurs
warez (où l'on trouve les logiciels piratés,
ndlr) regorgent de MP3. Cela en fait des cibles plus que
préférentielles. Mais je me trompe sûrement !-).
Daniel
Glazman est membre du CSS Working Group du et ancien membre
du HTML Working Group du W3C, l'organisme qui édicte
les standards du Web.
|
|