Lire l`article complet

I
N T E R N E T
La Lettre du Pneumologue
Péril sur l’Internet : la menace des virus s’intensifie
M. Godard*
eux virus informatiques ont attaqué très fort cet été
le parc mondial des ordinateurs connectés à l’Internet (environ 300 millions sur un total de 625 millions) (1). Le premier, baptisé “Code Red” (2), aurait paralysé en
D
“Matériovigilance” pour un médecin, “Phrase structure” pour un
linguiste, “Agences Selectour Paris” pour un internaute, “Les
comptes du cuchon” pour un Lyonnais, etc.
Le corps du message (en anglais ou en espagnol, du style : Hi !
How are you ?) pourrait vous intriguer mais, curieux, vous cliquez sur la PJ sans voir ou remarquer l’extension attachée au nom
du fichier, et c’est le feu d’artifice. Sircam contamine votre PC,
installe son propre logiciel d’envoi de courriels, puise dans votre
disque dur et diffuse aux membres de votre carnet d’adresses l’un
de vos fichiers dans lequel il aura pris soin de se dissimuler pour
contaminer les PC de ses victimes. L’internaute contaminé pensera que vous êtes la source de tous ses maux. Le procédé est
astucieux.
DONNÉES CLINIQUES
quelques heures près de 300 000 sites Web servis par le logiciel
IIS de Microsoft. Le second, connu sous le nom de Sircam (3),
circule en pièce jointe (PJ) d’un courriel dans un fichier volé sur
l’ordinateur infecté après avoir détruit au hasard d’autres fichiers
sensibles. Tous les pneumologues sont concernés par ce risque
de voir ainsi partir à leur insu des secrets médicaux ; tous les
internautes le sont tout autant pour protéger leur vie privée.
Voyons d’un peu plus près ces virus informatiques, leur provenance, leur fonctionnement et la manière de s’en protéger.
EXPOSITION AU VIRUS SIRCAM
Ce virus, apparu aux États-Unis le 17 juillet 2001 au matin (4),
touchait la Norvège 12 heures plus tard et la France le lendemain
pour se répandre sur tout le réseau Internet et contaminer des centaines de milliers d’ordinateurs. Comme son grand frère “I Love
You”, qui a fait tant de ravages en mai 2000, il se présente sous
la forme d’un fichier attaché à un courriel envoyé par une personne de votre connaissance. Instruit par l’expérience, vous êtes
désormais beaucoup plus méfiant sur ces “pièces jointes”, mais
le pirate concepteur de Sircam a trouvé le moyen d’endormir
votre vigilance. Non seulement le message semble provenir d’une
personne connue, mais son titre et le nom du fichier attaché vous
sont familiers, voire vraisemblables : ce sera une PJ intitulée
* Croisix SARL, Paris.
Pour mieux vous protéger des virus, vous allez devoir, entre autres
choses, apprendre à reconnaître certains indices. Le cas du virus
Sircam fournit un bon exemple pour identifier les détails utiles à
votre protection.
Le virus pénètre sur votre ordinateur par voie de messagerie
électronique (un modem et une connexion à l’Internet). Il aurait
pu tout aussi bien entrer chez vous par une disquette ou un cédérom, mais ce procédé est démodé : 99 % des virus arrivent en
PJ par courrier électronique. À son entrée, le virus est emballé
dans un fichier stocké sur votre disque dur ; il est inerte. Il
n’entrera en action que sur initiative d’un agent extérieur – c’est
vous, l’internaute au clavier de commande, qui allez l’activer
en cliquant sur le nom du fichier d’apparence inoffensive. Bien
que renfermant des données confidentielles volées sur l’ordinateur de l’expéditeur, le fichier pourri par le virus (pourriciel,
cf. InternetActu #98) (5) est un fichier exécutable qui déroule
un programme dès lors que vous cliquez sur son nom.
Il existe en effet deux sortes de fichiers sur votre ordinateur : des
fichiers de programme (ce sont des applications comme Word pour
écrire une lettre, Netscape pour naviguer sur le Net, Eudora pour
traiter vos courriels, etc.) qui exécutent des instructions de programme, et des fichiers de données qui ont besoin d’un programme
particulier pour être interprétés (matériovigilance.doc pour le logiciel Word, asthme.html pour le navigateur Netscape, etc.). Les
fichiers de programme se remarquent par leur extension de la forme
“.exe”, “.com”, voire “.pif”. Ce sont les plus dangereux, puisqu’ils
exécutent des instructions de programme et peuvent donner des
ordres à votre ordinateur. Ils sont donc dangereux, mais ils ne peu-
La Lettre du Pneumologue : http://www.vivactis-media.com
204
La Lettre du Pneumologue - Volume IV - no 5 - sept.-oct. 2001
I
N T E R N E T
vent tourner que sur un ordinateur d’un type particulier ; c’est ainsi
qu’un programme écrit pour PC/Windows ne tournera pas sur un
Macintosh, dont le jeu d’instructions est différent. Les fichiers de
données se reconnaissent aussi par leurs extensions, qui indiquent
au système d’exploitation de votre ordinateur le nom du logiciel
qui saura reconnaître ces données. Une extension “.doc” indique
que le fichier doit être lu par le programme word.exe, l’extension
“.xls” par le programme excel.exe, etc. Un fichier de données n’est
pas dangereux en soi. Il peut le devenir s’il exploite un défaut d’un
programme exécutable déjà installé sur votre ordinateur. Cela étant,
un fichier de données peut marcher aussi bien sur un Mac que sur
un PC pour autant que l’ordinateur correspondant ait le bon programme (un Word Mac et un Word PC vont pouvoir lire le même
fichier “Matériovigilance.doc”).
Le fichier pourri contaminé par le virus Sircam va se présenter
avec un nom de fichier dont l’extension finale sera du type “.exe”,
“.com”, “.pif”, voire “.lnk”. L’œil averti du spécialiste trouvera
ici un indice de méfiance, car cette extension sera souvent précédée de l’extension affectée au fichier volé sur l’ordinateur
infecté. Il y aura donc deux extensions au nom du fichier de la
pièce jointe (“.doc.pif” par exemple, ou bien “.xls.exe”). Seule
la seconde extension est valable.
Le virus Sircam est un programme exécutable qui, selon la littérature spécialisée disponible auprès des marchands de logiciels
d’antivirus (6), aurait plusieurs effets :
– vol d’un fichier confidentiel dans le dossier “Mes documents”
de l’ordinateur infecté et diffusion sur l’Internet aux mèls trouvés dans le carnet d’adresse local ainsi qu’aux adresses récoltées
dans le dossier des fichiers temporaires Internet (c:\windows\
Temporary Internet Files) ;
– suppression de fichiers sur le disque dur de la victime ;
– colonisation progressive de l’espace disque disponible à travers un fichier (syscam.sys) qui grossirait peu à peu jusqu’à saturation de l’espace libre ;
– reproduction par voie de courrier électronique et diffusion automatique sur le réseau local d’une entreprise.
Pour corser le tableau, tous ces effets sont conditionnels. C’est
ainsi, par exemple, que la destruction de tous les fichiers du disque
dur se produirait après 8 000 exécutions du “pourriciel” (le virus
serait activé à chaque démarrage de l’ordinateur et par chaque
lancement d’un programme d’application comme Word ou Internet Explorer) ou bien, condition qui ne manque pas d’intriguer
les spécialistes, le 16 octobre 2001 !
Corps du message
On ne connaît aucun cas de contamination par le texte contenu
dans le corps du message. En d’autres termes, un message sans
pièce jointe n’aurait jamais infecté un ordinateur. Cela tient au
simple fait qu’aucun programme ne traite le texte du courriel proprement dit. Vos yeux sont les seuls outils d’interprétation de la
missive. C’est rassurant, mais la protection pourrait disparaître
avec les nouvelles possibilités que vous offrent les logiciels de
courrier électronique. L’utilisation du langage HTML pourrait
ouvrir une brèche et violer ce sanctuaire. On y trouve déjà des
“web-bugs” pour vous espionner ; les virus ne sont peut-être pas
loin. Protégez-vous en débrayant tous les automatismes prévus
par votre logiciel de courrier électronique, surtout s’il est de la
famille Microsoft (exemple sur OutlookExpress : menu outils/
options/envoyer/format d’envoi du courrier/texte brut).
Innocuité des Macintosh
Le programme du virus est conçu pour s’exécuter sur les microprocesseurs de la famille Intel. Il ne peut donc pas tourner sur
les microprocesseurs du Macintosh (attention, pourtant, sur les
machines dotées d’un émulateur PC).
Antivirus
Bonne protection de votre PC s’il est muni d’un logiciel antivirus et pour autant que vous ayez mis à jour sa table des signatures connues. La procédure de mise à jour est assez simple en
général, mais la table à télécharger sur l’Internet grossit dangereusement au fil du temps. C’est ainsi que celle du logiciel Norton (que nous utilisons) pèse désormais près de 3 mégaoctets, ce
qui implique, par beau temps sur le Net et sur ligne téléphonique,
une durée de téléchargement de plus de 15 minutes, à refaire parfois tous les deux jours en période de déferlante virale. De nombreux internautes s’en lassent et s’exposent à un accident. Il
existe, bien sûr, d’autres fournisseurs de logiciels d’antivirus,
comme McAfee ou Panda (7, 8), qui fonctionnent sur le même
principe à partir d’une table des signatures des virus à mettre à
jour régulièrement pour se protéger des nouveaux virus.
LES BONNES NOUVELLES
Ce tableau alarmiste des méfaits du virus Sircam permet d’entrevoir le bon côté de la situation, c’est-à-dire les cas où ce pourriciel aurait peu d’effets, voire resterait sans pouvoir.
La Lettre du Pneumologue : http://www.vivactis-media.com
La Lettre du Pneumologue - Volume IV - no 5 - sept.-oct. 2001
205
I
N T E R N E T
La Lettre du Pneumologue
ISP/FAI
Certains fournisseurs d’accès à l’Internet protègent discrètement
leurs abonnés en filtrant les courriels pour éliminer les pourriciels. La procédure est sans garantie, car aucun entrepreneur
sérieux ne saurait s’engager sur une protection efficace, mais certains sont meilleurs que d’autres. On commence à voir certains
fournisseurs d’accès se substituer aux spécialistes de l’antivirus
en proposant un abonnement mensuel pour mettre à jour vos
tables des virus connus. Prudence, toutefois, si vous utilisez un
service de webmail ; le pourriciel réside sur le serveur quand vous
prenez connaissance de la liste de vos messages, mais il viendra
tout aussi bien sur votre ordinateur ensuite.
Ordinateurs en réseau
Qui dit “réseau local d’ordinateurs” implique une organisation
avec, le plus souvent, un serveur de courrier commun. La surveillance est alors confiée à un seul responsable, qui saura vous
protéger. C’est une fonction assez chère à mettre en œuvre, mais
la plupart des grands groupes l’ont fait depuis les grandes attaques
virales de l’an 2000 et les résultats semblent probants. Le revers
de la médaille du “tout réseau Microsoft” réside dans les failles
du logiciel d’interconnexion. Tout virus Sircam en activité sur
une machine branchée en réseau local essaiera de se copier dans
le répertoire ad hoc des autres machines du réseau pour s’activer
automatiquement au démarrage de ses victimes. Pour vous protéger, il vous faut empêcher l’accès à vos répertoires, accès implicitement autorisé par Windows (9).
Boucliers (fire-walls)
Vous pouvez installer aujourd’hui, sur votre ordinateur, d’excellents logiciels qui vont filtrer ce qui entre et ce qui sort sur l’Internet. Ce type de protection reste soumis aux aléas de la nouveauté
pour tout ce qui entre, mais un bon bouclier bloquera l’envoi sauvage d’informations sur le Net par un programme qui n’aura pas
reçu votre autorisation [exemple du logiciel ZoneAlarm gratuit (10) pour un usage privé]. En cas de contamination, vous
aurez la (maigre) consolation de bloquer toute propagation du
virus hors de vos frontières.
Les bonnes nouvelles sont pour ceux qui les entendent et dont la
culture Internet est suffisante pour s’en servir. Après 6 semaines
de vie, l’épidémie Sircam n’est toujours pas enrayée, ce qui ne
manquera pas d’encourager de nouveaux pirates à profiter de la
brèche. Le sondage en cours sur notre attitude d’internaute visà-vis des fichiers en PJ (11) montre bien que ce mode de propagation a de beaux jours devant lui.
CONCLUSION
Sircam est un virus de la classe des “vers” (worm), c’est-à-dire
de ceux qui se propagent par leurs propres moyens. Les virus
du type “cheval de Troie” sont moins courants et les “hoax” (12),
une sorte de canular pour internautes, ne sont pas à négliger, mais
c’est une autre histoire.
Quoi qu’il en soit, le risque zéro n’existe pas et les nouveaux
virus passeront toujours, du fait de leur nouveauté, au travers des
filtres automatiques des premières victimes. La PJ étant leur
moyen de locomotion préféré, ne les utilisez qu’à bon escient,
après avoir mis au point avec vos correspondants un véritable
code de reconnaissance qu’ils seront seuls à comprendre comme,
par exemple, du temps de l’émission “Les Français parlent aux
Français”, où l’on pouvait entendre : “Les bégonias sont dans les
■
choux ! Je répète : les bégonias sont dans les choux !”.
R
Culture Windows
Vous devez apprendre à mieux connaître votre ordinateur pour
mieux suspecter les tentatives d’intrusion. Un point essentiel
consiste à bien lire le nom des fichiers que vous manipulez, en
particulier les fameuses “extensions” qui indiquent le type du
fichier. Pour ce faire, il faut pouvoir les afficher, et Windows
commence par vous les cacher. Changez donc cette option : icône
Poste de Travail, menu Affichage/Options des dossiers/Affichage/ et décochez l’option “Masquer les extensions des fichiers”.
Vous pouvez aussi choisir l’option “Afficher tous les fichiers”.
É
F
É
R
E
N
C
E
S
I
N
T
E
R
N
E
T
1. http://www.c-i-a.com/200107cu.htm
2. http://www.cert.org/advisories/CA-2001-23.html
3. http://news.secuser.com/urgences/alertes/2001/sircam.htm
4. http://www.messagelabs.co.uk/viruseye/report.asp?id=72
5. http://www.internetactu.com/archives/edito/edito98.html
6. http://www.fsecure.com/v-descs/sircam.shtml
7. http://www.mcafee.com/anti-virus/viruses/sircam/default.asp?cid=2360
8. http://www.pandasecurity.com/utilities/sircam.htm
9. http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2000091415173339
10. http://websec.arcady.fr/proteger.htm
11. http://www.pouroucontre.com/cgi-file/result.cgi?num=10744
12. http://www.symantec.com/avcenter/venc/data/aol.exe.hoax.html
La Lettre du Pneumologue : http://www.vivactis-media.com
206
La Lettre du Pneumologue - Volume IV - no 5 - sept.-oct. 2001