Lire l`article complet
Transcription
Lire l`article complet
I N T E R N E T La Lettre du Pneumologue Péril sur l’Internet : la menace des virus s’intensifie M. Godard* eux virus informatiques ont attaqué très fort cet été le parc mondial des ordinateurs connectés à l’Internet (environ 300 millions sur un total de 625 millions) (1). Le premier, baptisé “Code Red” (2), aurait paralysé en D “Matériovigilance” pour un médecin, “Phrase structure” pour un linguiste, “Agences Selectour Paris” pour un internaute, “Les comptes du cuchon” pour un Lyonnais, etc. Le corps du message (en anglais ou en espagnol, du style : Hi ! How are you ?) pourrait vous intriguer mais, curieux, vous cliquez sur la PJ sans voir ou remarquer l’extension attachée au nom du fichier, et c’est le feu d’artifice. Sircam contamine votre PC, installe son propre logiciel d’envoi de courriels, puise dans votre disque dur et diffuse aux membres de votre carnet d’adresses l’un de vos fichiers dans lequel il aura pris soin de se dissimuler pour contaminer les PC de ses victimes. L’internaute contaminé pensera que vous êtes la source de tous ses maux. Le procédé est astucieux. DONNÉES CLINIQUES quelques heures près de 300 000 sites Web servis par le logiciel IIS de Microsoft. Le second, connu sous le nom de Sircam (3), circule en pièce jointe (PJ) d’un courriel dans un fichier volé sur l’ordinateur infecté après avoir détruit au hasard d’autres fichiers sensibles. Tous les pneumologues sont concernés par ce risque de voir ainsi partir à leur insu des secrets médicaux ; tous les internautes le sont tout autant pour protéger leur vie privée. Voyons d’un peu plus près ces virus informatiques, leur provenance, leur fonctionnement et la manière de s’en protéger. EXPOSITION AU VIRUS SIRCAM Ce virus, apparu aux États-Unis le 17 juillet 2001 au matin (4), touchait la Norvège 12 heures plus tard et la France le lendemain pour se répandre sur tout le réseau Internet et contaminer des centaines de milliers d’ordinateurs. Comme son grand frère “I Love You”, qui a fait tant de ravages en mai 2000, il se présente sous la forme d’un fichier attaché à un courriel envoyé par une personne de votre connaissance. Instruit par l’expérience, vous êtes désormais beaucoup plus méfiant sur ces “pièces jointes”, mais le pirate concepteur de Sircam a trouvé le moyen d’endormir votre vigilance. Non seulement le message semble provenir d’une personne connue, mais son titre et le nom du fichier attaché vous sont familiers, voire vraisemblables : ce sera une PJ intitulée * Croisix SARL, Paris. Pour mieux vous protéger des virus, vous allez devoir, entre autres choses, apprendre à reconnaître certains indices. Le cas du virus Sircam fournit un bon exemple pour identifier les détails utiles à votre protection. Le virus pénètre sur votre ordinateur par voie de messagerie électronique (un modem et une connexion à l’Internet). Il aurait pu tout aussi bien entrer chez vous par une disquette ou un cédérom, mais ce procédé est démodé : 99 % des virus arrivent en PJ par courrier électronique. À son entrée, le virus est emballé dans un fichier stocké sur votre disque dur ; il est inerte. Il n’entrera en action que sur initiative d’un agent extérieur – c’est vous, l’internaute au clavier de commande, qui allez l’activer en cliquant sur le nom du fichier d’apparence inoffensive. Bien que renfermant des données confidentielles volées sur l’ordinateur de l’expéditeur, le fichier pourri par le virus (pourriciel, cf. InternetActu #98) (5) est un fichier exécutable qui déroule un programme dès lors que vous cliquez sur son nom. Il existe en effet deux sortes de fichiers sur votre ordinateur : des fichiers de programme (ce sont des applications comme Word pour écrire une lettre, Netscape pour naviguer sur le Net, Eudora pour traiter vos courriels, etc.) qui exécutent des instructions de programme, et des fichiers de données qui ont besoin d’un programme particulier pour être interprétés (matériovigilance.doc pour le logiciel Word, asthme.html pour le navigateur Netscape, etc.). Les fichiers de programme se remarquent par leur extension de la forme “.exe”, “.com”, voire “.pif”. Ce sont les plus dangereux, puisqu’ils exécutent des instructions de programme et peuvent donner des ordres à votre ordinateur. Ils sont donc dangereux, mais ils ne peu- La Lettre du Pneumologue : http://www.vivactis-media.com 204 La Lettre du Pneumologue - Volume IV - no 5 - sept.-oct. 2001 I N T E R N E T vent tourner que sur un ordinateur d’un type particulier ; c’est ainsi qu’un programme écrit pour PC/Windows ne tournera pas sur un Macintosh, dont le jeu d’instructions est différent. Les fichiers de données se reconnaissent aussi par leurs extensions, qui indiquent au système d’exploitation de votre ordinateur le nom du logiciel qui saura reconnaître ces données. Une extension “.doc” indique que le fichier doit être lu par le programme word.exe, l’extension “.xls” par le programme excel.exe, etc. Un fichier de données n’est pas dangereux en soi. Il peut le devenir s’il exploite un défaut d’un programme exécutable déjà installé sur votre ordinateur. Cela étant, un fichier de données peut marcher aussi bien sur un Mac que sur un PC pour autant que l’ordinateur correspondant ait le bon programme (un Word Mac et un Word PC vont pouvoir lire le même fichier “Matériovigilance.doc”). Le fichier pourri contaminé par le virus Sircam va se présenter avec un nom de fichier dont l’extension finale sera du type “.exe”, “.com”, “.pif”, voire “.lnk”. L’œil averti du spécialiste trouvera ici un indice de méfiance, car cette extension sera souvent précédée de l’extension affectée au fichier volé sur l’ordinateur infecté. Il y aura donc deux extensions au nom du fichier de la pièce jointe (“.doc.pif” par exemple, ou bien “.xls.exe”). Seule la seconde extension est valable. Le virus Sircam est un programme exécutable qui, selon la littérature spécialisée disponible auprès des marchands de logiciels d’antivirus (6), aurait plusieurs effets : – vol d’un fichier confidentiel dans le dossier “Mes documents” de l’ordinateur infecté et diffusion sur l’Internet aux mèls trouvés dans le carnet d’adresse local ainsi qu’aux adresses récoltées dans le dossier des fichiers temporaires Internet (c:\windows\ Temporary Internet Files) ; – suppression de fichiers sur le disque dur de la victime ; – colonisation progressive de l’espace disque disponible à travers un fichier (syscam.sys) qui grossirait peu à peu jusqu’à saturation de l’espace libre ; – reproduction par voie de courrier électronique et diffusion automatique sur le réseau local d’une entreprise. Pour corser le tableau, tous ces effets sont conditionnels. C’est ainsi, par exemple, que la destruction de tous les fichiers du disque dur se produirait après 8 000 exécutions du “pourriciel” (le virus serait activé à chaque démarrage de l’ordinateur et par chaque lancement d’un programme d’application comme Word ou Internet Explorer) ou bien, condition qui ne manque pas d’intriguer les spécialistes, le 16 octobre 2001 ! Corps du message On ne connaît aucun cas de contamination par le texte contenu dans le corps du message. En d’autres termes, un message sans pièce jointe n’aurait jamais infecté un ordinateur. Cela tient au simple fait qu’aucun programme ne traite le texte du courriel proprement dit. Vos yeux sont les seuls outils d’interprétation de la missive. C’est rassurant, mais la protection pourrait disparaître avec les nouvelles possibilités que vous offrent les logiciels de courrier électronique. L’utilisation du langage HTML pourrait ouvrir une brèche et violer ce sanctuaire. On y trouve déjà des “web-bugs” pour vous espionner ; les virus ne sont peut-être pas loin. Protégez-vous en débrayant tous les automatismes prévus par votre logiciel de courrier électronique, surtout s’il est de la famille Microsoft (exemple sur OutlookExpress : menu outils/ options/envoyer/format d’envoi du courrier/texte brut). Innocuité des Macintosh Le programme du virus est conçu pour s’exécuter sur les microprocesseurs de la famille Intel. Il ne peut donc pas tourner sur les microprocesseurs du Macintosh (attention, pourtant, sur les machines dotées d’un émulateur PC). Antivirus Bonne protection de votre PC s’il est muni d’un logiciel antivirus et pour autant que vous ayez mis à jour sa table des signatures connues. La procédure de mise à jour est assez simple en général, mais la table à télécharger sur l’Internet grossit dangereusement au fil du temps. C’est ainsi que celle du logiciel Norton (que nous utilisons) pèse désormais près de 3 mégaoctets, ce qui implique, par beau temps sur le Net et sur ligne téléphonique, une durée de téléchargement de plus de 15 minutes, à refaire parfois tous les deux jours en période de déferlante virale. De nombreux internautes s’en lassent et s’exposent à un accident. Il existe, bien sûr, d’autres fournisseurs de logiciels d’antivirus, comme McAfee ou Panda (7, 8), qui fonctionnent sur le même principe à partir d’une table des signatures des virus à mettre à jour régulièrement pour se protéger des nouveaux virus. LES BONNES NOUVELLES Ce tableau alarmiste des méfaits du virus Sircam permet d’entrevoir le bon côté de la situation, c’est-à-dire les cas où ce pourriciel aurait peu d’effets, voire resterait sans pouvoir. La Lettre du Pneumologue : http://www.vivactis-media.com La Lettre du Pneumologue - Volume IV - no 5 - sept.-oct. 2001 205 I N T E R N E T La Lettre du Pneumologue ISP/FAI Certains fournisseurs d’accès à l’Internet protègent discrètement leurs abonnés en filtrant les courriels pour éliminer les pourriciels. La procédure est sans garantie, car aucun entrepreneur sérieux ne saurait s’engager sur une protection efficace, mais certains sont meilleurs que d’autres. On commence à voir certains fournisseurs d’accès se substituer aux spécialistes de l’antivirus en proposant un abonnement mensuel pour mettre à jour vos tables des virus connus. Prudence, toutefois, si vous utilisez un service de webmail ; le pourriciel réside sur le serveur quand vous prenez connaissance de la liste de vos messages, mais il viendra tout aussi bien sur votre ordinateur ensuite. Ordinateurs en réseau Qui dit “réseau local d’ordinateurs” implique une organisation avec, le plus souvent, un serveur de courrier commun. La surveillance est alors confiée à un seul responsable, qui saura vous protéger. C’est une fonction assez chère à mettre en œuvre, mais la plupart des grands groupes l’ont fait depuis les grandes attaques virales de l’an 2000 et les résultats semblent probants. Le revers de la médaille du “tout réseau Microsoft” réside dans les failles du logiciel d’interconnexion. Tout virus Sircam en activité sur une machine branchée en réseau local essaiera de se copier dans le répertoire ad hoc des autres machines du réseau pour s’activer automatiquement au démarrage de ses victimes. Pour vous protéger, il vous faut empêcher l’accès à vos répertoires, accès implicitement autorisé par Windows (9). Boucliers (fire-walls) Vous pouvez installer aujourd’hui, sur votre ordinateur, d’excellents logiciels qui vont filtrer ce qui entre et ce qui sort sur l’Internet. Ce type de protection reste soumis aux aléas de la nouveauté pour tout ce qui entre, mais un bon bouclier bloquera l’envoi sauvage d’informations sur le Net par un programme qui n’aura pas reçu votre autorisation [exemple du logiciel ZoneAlarm gratuit (10) pour un usage privé]. En cas de contamination, vous aurez la (maigre) consolation de bloquer toute propagation du virus hors de vos frontières. Les bonnes nouvelles sont pour ceux qui les entendent et dont la culture Internet est suffisante pour s’en servir. Après 6 semaines de vie, l’épidémie Sircam n’est toujours pas enrayée, ce qui ne manquera pas d’encourager de nouveaux pirates à profiter de la brèche. Le sondage en cours sur notre attitude d’internaute visà-vis des fichiers en PJ (11) montre bien que ce mode de propagation a de beaux jours devant lui. CONCLUSION Sircam est un virus de la classe des “vers” (worm), c’est-à-dire de ceux qui se propagent par leurs propres moyens. Les virus du type “cheval de Troie” sont moins courants et les “hoax” (12), une sorte de canular pour internautes, ne sont pas à négliger, mais c’est une autre histoire. Quoi qu’il en soit, le risque zéro n’existe pas et les nouveaux virus passeront toujours, du fait de leur nouveauté, au travers des filtres automatiques des premières victimes. La PJ étant leur moyen de locomotion préféré, ne les utilisez qu’à bon escient, après avoir mis au point avec vos correspondants un véritable code de reconnaissance qu’ils seront seuls à comprendre comme, par exemple, du temps de l’émission “Les Français parlent aux Français”, où l’on pouvait entendre : “Les bégonias sont dans les ■ choux ! Je répète : les bégonias sont dans les choux !”. R Culture Windows Vous devez apprendre à mieux connaître votre ordinateur pour mieux suspecter les tentatives d’intrusion. Un point essentiel consiste à bien lire le nom des fichiers que vous manipulez, en particulier les fameuses “extensions” qui indiquent le type du fichier. Pour ce faire, il faut pouvoir les afficher, et Windows commence par vous les cacher. Changez donc cette option : icône Poste de Travail, menu Affichage/Options des dossiers/Affichage/ et décochez l’option “Masquer les extensions des fichiers”. Vous pouvez aussi choisir l’option “Afficher tous les fichiers”. É F É R E N C E S I N T E R N E T 1. http://www.c-i-a.com/200107cu.htm 2. http://www.cert.org/advisories/CA-2001-23.html 3. http://news.secuser.com/urgences/alertes/2001/sircam.htm 4. http://www.messagelabs.co.uk/viruseye/report.asp?id=72 5. http://www.internetactu.com/archives/edito/edito98.html 6. http://www.fsecure.com/v-descs/sircam.shtml 7. http://www.mcafee.com/anti-virus/viruses/sircam/default.asp?cid=2360 8. http://www.pandasecurity.com/utilities/sircam.htm 9. http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2000091415173339 10. http://websec.arcady.fr/proteger.htm 11. http://www.pouroucontre.com/cgi-file/result.cgi?num=10744 12. http://www.symantec.com/avcenter/venc/data/aol.exe.hoax.html La Lettre du Pneumologue : http://www.vivactis-media.com 206 La Lettre du Pneumologue - Volume IV - no 5 - sept.-oct. 2001