"Le voleur moderne peut voler plus avec un ordinateur qu'avec un fusil. Le terroriste de demain peut causer plus de dégâts avec un clavier qu'avec une bombe"
| LAS VEGAS (Reuters) - Des experts d'internet s'inquiètent des menaces posées par une faille découverte dans les logiciels Windows de Microsoft qui peut permettre à des pirates informatiques de prendre à distance le contrôle d'ordinateurs. "Une fois par an ou une fois tous les deux ans - pas souvent -, vous voyez ce type de vulnérabilité répandue affecter un très grand nombre de systèmes", a déclaré samedi Marcus Sachs, directeur de la National Cyber Security Division au département américain de la sécurité intérieure, au cours du DefCon de Las Vegas, la plus grande conférence annuelle mondiale sur la sécurité internet réunissant des milliers de personnes. Sachs et d'autres participants à cette conférence de trois jours ont estimé que cette faille dans la sécurité affectait différentes versions du logiciel Windows très utilisées dans le monde de l'entreprise. Cette vulnérabilité peut permettre à un pirate de prendre le contrôle à distance d'un ordinateur ou d'un réseau d'ordinateurs et de les mettre hors service. "En théorie, cette faille présente toutes les caractéristiques d'un ver", c'est-à-dire un virus qui peut se répandre à d'autres machines, a expliqué Sachs. Un avertissement du gouvernement, lancé il y a plus d'une semaine, a été actualisé jeudi après que plusieurs programmes conçus pour exploiter la faiblesse du logiciel de Microsoft ont commencé à se répandre sur Internet, a précisé Sachs. Au moins 2.000 machines balayent l'internet à la recherche d'ordinateurs vulnérables et qui pourraient faire l'objet d'attaques, selon le SANS Institute. "C'est sans aucun doute l'un des plus grands problèmes de sécurité de ces dernières années parce qu'il est tellement répandu", a estimé Chris Wysopal qui travaille pour AtStake, une société de conseil sur la sécurité informatique. "Cela pourrait facilement se transformer en un ver comme Slammer ou Code Red, a-t-il ajouté, faisant référence à des attaques qui ont touché des millions d'internautes ces dernières années. Microsoft a mis à disposition de ses clients une solution contre cette faille, à l'adresse http:/ /microsoft.com/technet/ et incite les administrateurs réseau à l'appliquer.Reuters 04.08.2003 | Les ordinateurs assistants personnels, qui permettent de stocker des numéros de téléphone, des adresses ou d'autres données personnelles, peuvent être aisément piratés par des logiciels spécialisés, surtout s'ils sont connectés à d'autres ordinateurs, selon des experts. Un logiciel désormais largement disponible permet de pirater des mots de passe et d'autres informations d'ordinateurs basés sur une technologie de type Palm, surtout lorsqu'ils sont reliés à d'autres machines pour partager des données, a estimé samedi Bryan Glancey, un responsable de MobileArmor, une société de Saint Louis, dans le Missouri, spécialisée dans la fourniture de services de sécurité sans fil. Glancey s'exprimait à Las Vegas au DefCon, le plus grand salon annuel mondial sur la sécurité informatique. Parmi les millions d'utilisateurs d'assistants personnels, peu d'entre eux disposent de protections contre un vol de leurs données. Des programmes simples permettent de découvrir même des données cachées, a expliqué Glancey. D'autres logiciels rendent possible pour des pirates le vol des données en se maintenant à une certaine distance de leurs victimes, a-t-il ajouté. "Ne mettez pas des informations sensibles dans votre PocketPC ou votre Palm", a averti Glancey. "Ces appareils ne disposent d'aucun système de sécurité d'origine", a-t-il ajouté. Ces assistants personnels sont en même temps assez puissants pour lancer des attaques contre des réseaux sans fil. Paul Clip, consultant en sécurité internet chez AtStake, a cité des rapports sur des criminels ayant dérobé des mots de passe sécurisés pour voitures qui sont transmis par ondes radio infrarouge sur de courtes distances.Reuters 03.08.2003 | Un nouveau ver «nettoyeur» combat Blaster Plusieurs firmes antivirus annoncent aujourd'hui la propagation dans Internet d'un nouveau ver dont la mission est d'éliminer Blaster (LovSan). Nachi (Welchia, Blaster.D) est un «bon» ver qui utilise la même faille de sécurité que Blaster pour se diffuser. Les vers informatiques ne sont pas toujours mauvais. Nachi, qui a été découvert aujourd'hui même, est un «bon» ver dont la mission est de nettoyer les ordinateurs infectés par Blaster. Il se propage dans Internet en utilisant la même faille de sécurité que Blaster. Quand il trouve un PC où la brèche RPC n'a pas été colmatée, il s'installe, détruit le ver Blaster s'il est trouvé et télécharge le correctif de Microsoft pour la faille RPC. Le «bon» ver Nachi est programmé pour s'autodétruire le 1er janvier 2004, ce qui signifie que les ordinateurs infectés par ses soins balaieront Internet à la recherche de PC vulnérables jusqu'à cette date. Mais même si les intentions du ver Nachi sont bonnes, des experts en sécurité informatique estiment qu'il n'a pas que des conséquences positives. En effet, il cherche constamment des PC infectés, ce qui a pour conséquence de ralentir les connexions Internet et d'exploiter inutilement les ressources matérielles des ordinateurs infectés. Branchez-vous 18.08.2003 |
| LONDRES (Reuters) - Des centaines de milliers d'ordinateurs connectés à internet se préparent, parfois inconsciemment, à attaquer simultanément samedi un seul site web appartenant à l'éditeur américain de logiciels Microsoft. A partir du 16 août, chaque système contaminé par le virus informatique baptisé "Blaster" commencera à envoyer plusieurs fois par seconde des paquets de données vers le site Windows Update afin d'en paralyser le serveur. Le virus Blaster, un programme de type ver, s'est répandu sur internet depuis lundi, mais son rythme de propagation décroît. Il exploite une faille de sécurité des systèmes d'exploitation Windows de Microsoft dans leurs versions NT4, 2000, XP et Server 2003. Bien que ces systèmes soient surtout utilisés en entreprises, le virus a également touché de nombreux ordinateurs de particuliers, rendant le nombre total de machines infectées difficile à évaluer. Des experts en sécurité informatique estiment celui-ci à plusieurs centaines de milliers. L'attaque coordonnée prévue pour samedi générera un tel volume de données qu'un ralentissement général du trafic internet est à craindre, même si la plupart des spécialistes estiment qu'il engendrera surtout la fermeture de site Windows Update (http:// www.windowsupdate.com) qui permet aux utilisateurs de Windows de mettre à jour leur système. Un correctif logiciel disponible sur ce serveur constitue le seul moyen de se protéger contre le ver Blaster qui ne comporte pas de charge destructive. "C'est un jeu de course contre la montre", a expliqué Raimund Genes, directeur européen pour l'éditeur de logiciels de sécurité Trend Micro. "Les gens vont faire des heures supplémentaires pour patcher leurs systèmes avant samedi et se débarrasser de Blaster."Reuters 13.08.2003 | TOKYO, 13 aout (AFP) - Un virus informatique qui se répand via l'internet et s'attaque aux ordinateurs sous le système d'exploitation de Microsoft Windows a gagné le Japon où il a provoqué l'infection la plus importante depuis le début de l'année, a déclaré mercredi la société anti-virus Trend Micro. De mardi matin à mercredi en fin de matinée, Trend Micro a été informée de 247 cas d'infection causés par le virus qui prend les noms de "LovSan", "MSBlast" et "Blaster", a dit une porte-parole, Miyuki Akiyama. "Nous pensons que les informations que nous avons reçues ne sont que le sommet de l'iceberg et que leur nombre va continuer de grossir", a-t-elle dit notant que le virus était le plus rapide à se répandre depuis le début de l'année dans l'archipel. Trend Micro a mis en garde les utilisateurs, estimant que le virus était aussi grave que Slammer, le virus qui a parasité le web en janvier et paralysé les services en ligne de la Corée du sud. De grandes sociétés japonaises ont été touchées, selon Mme Akiyama, mais les services gouvernementaux n'ont pas signalé de dégats. Un responsable du Bureau du gouvernement a expliqué que le point faible auquel il s'attaque avait déjà été signalé en juillet et qu'un remède avait été trouvé. Selon Symantec Security Response, spécialiste américain de la lutte contre les virus, LovSan s'est répandu rapidement aux Etats- Unis et dans le monde depuis le début de la semaine.Yahoo 13.08.2003 | LAS VEGAS (Reuters) - Les vers informatiques, lignes de codes qui se propagent d'elles-mêmes à travers les réseaux d'ordinateurs et les messageries informatiques, deviennent de plus en plus rapides, de plus en plus indétectables et de plus en plus virulents, selon un expert de la sécurité informatique. Un scénario théorique serait une attaque lancée par des "vers flash" (flash worms) conçus pour se propager sur internet en une quinzaine de secondes et se divisant sans cesse en de plus petits morceaux pour infecter le plus d'ordinateurs possible, a déclaré Jonathan Wignall, président du directoire de l'organisation britannique Data and Network Security Council. Un autre scénario potentiel figurerait un ver qui progresserait lentement mais dont personne ne décèlerait la présence, a-t-il ajouté dimanche en marge du plus grand salon de la sécurité informatique sur internet, le DefCon à Las Vegas. Un tel ver installerait ainsi un grand nombre d'avant-postes à partir desquels il pourrait ensuite entrer en action à une date ultérieure. Wignall a aussi parlé d'un type de vers qu'il a appelés des "vers compagnons" qui recèleraient dans leurs lignes de code un autre ver, "ce qui permettrait au ver de passer de plates-formes en plates-formes", de Windows à Unix, par exemple. Mais ce cas de figure est resté marginal jusqu'à aujourd'hui, a-t-il ajouté. Enfin, un autre média de propagation pour les vers pourrait être les très populaires sites d'échanges de fichiers musicaux. "On pourrait imaginer un ver qui communique avec d'autres copies de ce même ver", a dit Wignall, précisant que de tels vers pourraient ainsi mettre à jour leurs lignes de codes via le réseau pour se rendre plus résistants aux défenses antivirus. Cela conduirait à une "infection décentralisée du réseau" qui renverrait aux pires scénarios catastrophes imaginés à Hollywood. Les vers sont la forme de virus informatiques la plus virulente parce qu'ils cherchent par eux-mêmes les ordinateurs à infecter plutôt que de dépendre d'un autre programme auquel ils s'accrocheraient pour pénétrer les défenses informatiques. Le plus souvent, les vers se propagent via les messageries électroniques, à l'instar de Melissa en 1999 et du Love Letter en 2000. Mais ils peuvent aussi profiter des failles logicielles comme Code rouge et Nimbda en 2001 qui exploitaient une brèche des logiciels de Microsoft.Reuters 05.08.2003 |
| WASHINGTON, 14 août (AFP) - Les analystes informatiques ont rejeté jeudi l'idée qu'un virus Internet puissant ait déclenché la gigantesque panne d'électricité touchant le nord-est des Etats-Unis et une partie du Canada, selon un communiqué d'un institut de recherche sur la sécurité de l'internet, le CERT. "Il n'y a pas d'information disponible pour le moment montrant que la coupure d'électricité dans le nord-est des Etats-Unis et au Canada soit liée à l'activité d'un virus", selon un communiqué du CERT, basé à l'Université Carnegie Mellon de Pittsburgh (Pennsylvanie, nord-est). Le virus informatique "LovSan", également appelé "W32.Blaster", a attaqué depuis lundi des centaines de milliers d'ordinateurs de plusieurs milliers de sociétés.AFP 14.08.2003 | HELSINKI (Reuters) - Le ver internet Blaster a provoqué jeudi son premier effet destructeur, bien qu'indirect, avec la fermeture pour une journée de 80 agences bancaires en Finlande du groupe scandinave Nordea. Le groupe bancaire a annoncé que le travail de mise à jour des serveurs dans la totalité de ses 440 agences serait terminé vendredi matin au plus tard, sans aucune perturbation des données de ses clients, ni du système de gestion de comptes par internet. Les experts en sécurité informatique ont constaté jeudi, pour la deuxième journée consécutive, un ralentissement de la propagation du virus, apparu lundi aux Etats-Unis. Le ver Blaster, aussi appelé MSBlaster ou LoveSan, exploite une faille de sécurité découverte en juillet dans tous les systèmes d'exploitation Windows récents du numéro un mondial des logiciels, Microsoft. Un correctif logiciel est disponible sur le site de mise à jour Windows Update (http://www.windowsupdate.com) pour les systèmes Windows 2000, Windows XP, Windows NT4 et Server 2003.Reuters 14.08.2003 | BANGALORE (Reuters) - Un jeune informaticien indien, spécialiste de la sécurité informatique, auteur à 16 ans d'un livre sur le "piratage éthique", a choisi de suivre des études à la prestigieuse université californienne de Stanford, aux Etats-Unis, plutôt que d'accepter des offres d'emploi lucratives. Ankit Fadia, maintenant âgé de 18 ans, était devenu célèbre en écrivant en 2001 un "Guide non officiel du piratage éthique" qui s'était vendu à environ 60.000 exemplaires en Inde et 30.000 à l'étranger. Il a depuis rédigé deux autres ouvrages, l'un sur la sécurité des réseaux informatiques et l'autre sur le système d'exploitation libre Linux. Fils d'un ingénieur électricien, Fadia a développé ses talents d'informaticien en passant de longues heures à pirater des sites web de manière "éthique", c'est à dire en prévenant ensuite ses victimes des failles de sécurité qu'il avait découvertes. Fadia ne manquait pas d'offres d'emploi en Inde. Depuis deux ans, il a parcouru le pays pour donner des conférences avec la police, chez des éditeurs de logiciels, dans des établissements scolaires ou des administrations afin de former le public à la sécurité informatique. En juillet, il a donné une conférence sur le "cyber- terrorisme" à Singapour devant les autorités locales. "J'ai reçu beaucoup d'offres d'emploi, mais je préfère ne pas compromettre ma formation", a-t-il déclaré à Reuters mercredi soir. Le jeune homme ira suivre un cursus de cinq ans à l'université californienne de Stanford. Il a déclaré vouloir revenir en Asie après ses études pour travailler à Singapour et y créer sa propre société de sécurité informatique.Reuters 14.08.2003 |
| Une semaine après la découverte du dangereux virus-ver Lovsan (W32/Lovsan ou également MSBLAST.A), un nouveau virus se répand sur les réseaux, avec l'étonnante mission de protéger les systèmes. Nommé Welchi (W32/Nachi.worm, W32.Welchia.worm ou WORM_MSBLAST.D), il utilise la même faille de Windows que Lovsan et exploite également une autre vulnérabilité détectée sur les serveurs Microsoft IIS en mars dernier. Welchi est un fichier exécutable qui ne transite pas par e- mail, mais via les réseaux en se répliquant de PC en PC. Une fois qu'il a contaminé un système, Welchi désactive Lovsan et installe les patchs de sécurité de Microsoft résorbant la faille exploitée par ce dernier. Il désinfecte donc le système et le protège contre de nouvelles attaques. Ce "chasseur de virus" est programmé pour s'autodétruire dès que l'horloge interne du système indiquera l'année 2004. «Ce virus a une action antivirus», explique à ZDNet Alexandre Durante, directeur général de l'éditeur antivirus F-Secure France. «Nous avons vu des choses similaires par le passé, avec le virus Slammer, mais de là à appliquer les patchs de sécurité Microsoft c'est une première.» «Malheureusement, poursuit Durante, il se répand actuellement à la même vitesse que Lovsan et plusieurs opérateurs internationaux nous ont indiqué que Welchi commençait également à saturer aussi leurs réseaux.» Welchi ne comprend pas le français Reste que les utilisateurs français de Windows sont pour l'instant à l'abri de Welchi. «Il ne fonctionne qu'avec les systèmes en anglais, chinois et coréen», précise le responsable. Toutefois, les éditeurs de logiciels antivirus conseillent de protéger les systèmes contre ce virus en mettant à jour leur programme de protection. Trend Micro fournit également une solution d'éradication manuelle. Apparu lundi 11 août, Lovsan est actuellement le ver qui se propage le plus rapidement avec déjà près de 600000 ordinateurs infectés dans le monde, majoritairement en Asie, selon Symantec. En Europe, la principale victime est la banque Nordea de Scandinavie qui a vu son réseau paralysé et a dû fermer 80 agences le 14 août. Une semaine après la découverte du dangereux virus-ver Lovsan (W32/Lovsan ou également MSBLAST.A), un nouveau virus se répand sur les réseaux, avec l'étonnante mission de protéger les systèmes. Nommé Welchi (W32/Nachi.worm, W32.Welchia.worm ou WORM_MSBLAST.D), il utilise la même faille de Windows que Lovsan et exploite également une autre vulnérabilité détectée sur les serveurs Microsoft IIS en mars deZdNet 19.08.2003 | SAN FRANCISCO (Reuters) - Un nouveau virus, qui utilise la même faille de sécurité de Windows que le ver Blaster apparu la semaine dernière, se propage actuellement via internet mais répare la faille des systèmes dans lesquels il s'introduit au lieu de les endommager, ont déclaré des experts en sécurité informatique. Baptisé "Welchia" ou "Nachi", ce nouveau virus de type ver ressemble beaucoup à Blaster, mais a été conçu pour détruire ce dernier. Quand il s'introduit dans un ordinateur, Welchia peut installer le patch destiné à éliminer la faille de sécurité de Windows grâce à laquelle Blaster se propage, et tenter de nettoyer l'ordinateur s'il a été contaminé. Mais il ne faut pas se fier aux bonnes intentions apparentes de ce nouveau ver, prévient Jimmy Kuo, chercheur chez le fabricant d'antivirus Network Associates, pour qui propager un "bon" virus est en fait une très mauvaise idée. "Quelles que soient ses intentions, il est préférable de ne pas laisser quelqu'un redémarrer votre machine alors que vous êtes en train de l'utiliser", explique-t-il. Blaster, également surnommé MSBlaster et LoveSan, a infecté plus de 570.000 ordinateurs équipés des systèmes d'exploitation Windows XP et Windows 2000 de Microsoft, selon le fabricant d'antivirus Symantec. Blaster exploite une faille de sécurité que les experts ont repéré vers la mi-juillet sur les version XP, 2000, NT et Server 2003 de Windows. Sur les versions en anglais, en coréen et en chinois de Windows, Welchia télécharge le patch qui répare l'ordinateur, mais n'exécute apparemment pas cette opération sur les autres versions, selon Joe Hartmann, directeur de recherche chez le fabricant japonais d'antivirus Trend Micro. Dans certaines circonstances, Welchia essaye de supprimer Blaster si l'ordinateur a été infecté par le virus. Welchia se propage ensuite dans d'autres ordinateurs qui présentent la même faille de sécurité, ajoute Jimmy Kuo. "BON" VIRUS, MAUVAISE IDEE Welchia, qui est programmé pour s'auto-supprimer en 2004, se propage de manière significative en Asie, et particulièrement au Japon, selon Joe Hartmann. Le ver a ralenti les réseaux de nombreuses d'entreprises, parce qu'il génère du trafic supplémentaire dans sa quête d'ordinateurs vulnérables et parce qu'il ordonne à plusieurs machines de télécharger le patch simultanément. Network Associates a classifié le virus comme étant de dangerosité "moyenne". Selon certaines sources, Welchia tenterait également d'attaquer les ordinateurs grâce à une faille de Windows différente de celle utilisée par Blaster. Par ailleurs, les experts mettent en garde les internautes contre un email mensonger, qui prétend contenir le patch conçu par Microsoft pour réparer la faille exploitée par Blaster. En fait, ce courrier électronique contient une application de type cheval de Troie, qui installe une porte dérobée permettant à un pirate de prendre le contrôle de l'ordinateur infecté. Microsoft précise qu'il ne distribue jamais de patch par email. Le ver Blaster endommage les ordinateurs, se propage vers d'autres machines, et leur a donné l'ordre samedi d'attaquer un site de Microsoft, qui a contrecarré l'offensive en supprimant la page web visée. Selon une étude portant sur 1.000 organisations réalisée par la firme de sécurité informatique TruSecure Corp, 20% des entreprises mondiales ont été contaminées par Blaster, la source d'infection principale étant les ordinateurs portables. Le coût moyen de nettoyage s'est élevé en moyenne à 6.500 dollars pour les infections modérées, et à 55.000 dollars pour les infections majeures, précise l'étude.Reuters 19.08.2003 | Un nouveau virus informatique, baptisé "Welchia" et exploitant la même faille de sécurité de Windows que le virus "Lovsan" - ou "Blaster" - apparu il y a huit jours, a été signalé mardi 19 août par les éditeurs de logiciels de sécurité, qui indiquent qu'il tente d'éliminer "Lovsan" et de réparer Windows. Selon l'éditeur F-Secure, qui a classé "Welchia" en niveau maximum de dangerosité, "car il se répand actuellement à la même vitesse que 'Lovsan'", le nouveau virus "active trois processus assez particuliers : il tue (désactive) 'Lovsan' dans sa version A. Les machines sont donc désinfectées. Ensuite, il installe les patches de sécurité relatifs à la faille RPC (Remote procedure control, permettant notamment de partager des fichiers en réseau) exploitée par 'Lovsan', et enfin il s'auto-détruit une fois ces actions achevées." "Le virus a une action anti-virus", a indiqué Alexandre Durante, directeur général de F-Secure France. "Nous avons vu des choses similaires par le passé, mais de là à appliquer les patches de sécurité Microsoft, c'est une première, a-t-il ajouté. Malheureusement, a-t-il conclu, ce virus n'est pas parfait et risque d'engendrer d'autres problèmes pour les utilisateurs." MISES EN GARDE De son côté, l'éditeur américain Symantec a souligné que "la conséquence de la propagation de ce ver sur le réseau d'une entreprise sera une saturation de la bande passante, le ver recherchant constamment de nouvelles machines à infecter". Il ne faut donc pas se fier aux bonnes intentions apparentes de ce nouveau ver, prévient Jimmy Kuo, chercheur chez le fabricant d'antivirus Network Associates. "Quelles que soient ses intentions, il est préférable de ne pas laisser quelqu'un redémarrer votre machine alors que vous êtes en train de l'utiliser", explique-t-il. Sur les versions en anglais, en coréen et en chinois de Windows, "Welchia" télécharge le patch qui répare l'ordinateur, mais n'exécute apparemment pas cette opération sur les autres versions, selon Joe Hartmann, directeur de recherche chez le fabricant japonais d'antivirus Trend Micro. Dans certaines circonstances, "Welchia" essaye de supprimer "Blaster" si l'ordinateur a été infecté par le virus. "Welchia" se propage ensuite dans d'autres ordinateurs qui présentent la même faille de sécurité, ajoute Jimmy Kuo. "Welchia", qui est programmé pour s'auto-supprimer en 2004, se propage de manière significative en Asie, et particulièrement au Japon, selon Joe Hartmann. Le ver a ralenti les réseaux de nombreuses d'entreprises, parce qu'il génère du trafic supplémentaire dans sa quête d'ordinateurs vulnérables et parce qu'il ordonne à plusieurs machines de télécharger le patch simultanément. Network Associates a classifié le virus comme étant de dangerosité "moyenne". Selon certaines sources, "Welchia" tenterait également d'attaquer les ordinateurs grâce à une faille de Windows différente de celle utilisée par "Blaster". 20 % DES ENTREPRISES TOUCHÉES PAR "BLASTER" Le virus "Lovsan", alias "Blaster", avait attaqué la semaine dernière des centaines de milliers d'ordinateurs équipés des systèmes d'exploitation Windows 2000 ou XP de Microsoft, en provoquant des redémarrages à répétition de l'ordinateur infecté sans toutefois s'en prendre au disque dur. Selon une étude portant sur 1 000 organisations réalisée par la firme de sécurité informatique TruSecure Corp, 20 % des entreprises mondiales ont été contaminées par "Blaster", la source d'infection principale étant les ordinateurs portables. Le coût moyen de nettoyage s'est élevé en moyenne à 6 500 dollars pour les infections modérées, et à 55 000 dollars pour les infections majeures, précise l'étude. Les éditeurs de logiciels de sécurité dénoncent actuellement un regain d'activité des créateurs de virus, comme tous les ans au mois d'août. F- Secure avertit ainsi également mardi les utilisateurs d'ordinateurs de l'apparition de deux autres nouveaux vers ce jour : une nouvelle variante du virus Lovsan, baptisé "Lovsan.D", et le virus "Sobig.F". Par ailleurs, les experts mettent en garde les internautes contre un e- mail mensonger, qui prétend contenir le patch conçu par Microsoft pour réparer la faille exploitée par "Blaster". En fait, ce courrier électronique contient une application de type "cheval de Troie", qui installe une porte dérobée permettant à un pirate de prendre le contrôle de l'ordinateur infecté. Microsoft précise qu'il ne distribue jamais de patch par e-mail.Le Monde 19.08.2003 |
| LONDRES (Reuters) - Un nouveau virus informatique se propage à grande vitesse sur internet jeudi, perturbant gravement les réseaux de courrier électronique et mettant sur les dents les informaticiens déjà éprouvés par deux précédentes alertes. Un message électronique sur 17 envoyés depuis lundi dans le monde serait contaminé par la dernière variante du ver SoBig et celui-ci aurait causé une augmentation du trafic mondial de courrier électronique de l'ordre de 60%, selon la société britannique de sécurité informatique MessageLabs. Le virus SoBig.F, sixième variante d'un ver bien connu, se répand depuis lundi en utilisant le courrier électronique Microsoft Outlook et Outlook Express, par un fichier joint comportant une extension ".pif" ou ".scr", dans un message intitulé avec des expressions courantes en anglais, comme "Thank you", "Re: Details" ou "Re: approved". Lorsque le fichier attaché est ouvert, le virus recherche des adresses électroniques dans le carnet d'adresses, les documents Word, l'historique internet et les messages sauvegardés, puis leur envoie automatiquement un message contaminé. TROISIEME VIRUS EN UNE SEMAINE En tant que virus de type ver, Sobig.F ne contient pas de charge destructive, mais augmente le trafic de données sur internet et ralentit l'ensemble du réseau informatique mondial. Il constitue le troisième virus de ce type apparu en une semaine, après "Blaster", aussi appelé "LovSan", qui exploitait une faille du système d'exploitation Windows de Microsoft, puis "Welchia", ou "Nachi", qui proposait un fichier censé résoudre cette même faille. Mais à force de chercher des ordinateurs infectés par Blaster à "réparer", Welchia a provoqué l'encombrement voire l'effondrement de grands réseaux informatiques comme ceux des entreprises ABB et Air Canada, ou des armées américaines, comme l'U.S. Navy et le Corps des Marines. Il est recommandé aux utilisateurs d'ordinateurs, particuliers et professionnels, de protéger leur machine avec un logiciel anti-virus récent et mis à jour, et de supprimer sans même les ouvrir les messages électroniques suspects, envoyés par un inconnu ou sans motif.Reuters 21.08.2003 | NEW YORK (AP) - Les experts en sécurité informatique estiment avoir contenu vendredi une attaque massive du virus Sobig.F, en identifiant et en bloquant les vecteurs de propagation de ce programme malveillant apparu mardi sur Internet. Ce "ver", capable de s'auto-reproduire, est considéré comme le virus à la diffusion la plus rapide jamais rencontrée. En quelques jours, il a infecté des centaines de milliers d'ordinateurs à travers le monde. Il se répand via le courrier électronique et vise les ordinateurs utilisant le système d'exploitation Windows de Microsoft. Le virus était programmé pour déclencher une attaque d'envergure à partir de vendredi 19h gmt (21h heure française). Les experts redoutaient qu'il détruise alors des fichiers, dérobe des mots de passe ou inonde de messages non sollicités (spams) les boîtes aux lettres électroniques. A l'heure dite, Sobig.F est passé à l'attaque en tentant de contacter un des 20 serveurs, situés principalement aux Etats-Unis et au Canada, susceptibles de relayer l'épidémie. Les spécialistes avaient cependant identifié ces serveurs, dont certains ont été déconnectés du réseau. Cela a apparemment permis de contenir la propagation de Sobig.F qui s'est contenté de visiter un site pornographique, selon Vincent Weafer, un des responsables de la société Symantec. L'attaque lancée par le virus a généré une augmentation "mesurable" du trafic sur Internet, mais insuffisante pour entraîner une congestion de la Toile mondiale, a expliqué Chris Rouland, vice-président du département recherche et développement de la société Internet Security System Inc. Sobig n'endommage pas les ordinateurs et les fichiers contenus dans les disques durs, mais a ralenti serveurs et réseaux, notamment d'entreprises, universités et institutions diverses. Le virus se diffuse lorsqu'on clique sur la pièce jointe à un e-mail dont la ligne sujet comporte des mentions du type "Details", "Approved" ou "Thank You!". Le FBI, la sûreté fédérale américaine, a annoncé enquêter pour découvrir les auteurs de ce virus, inconnus jusqu'à présent. Easynews.com, un fournisseur d'accès à Internet de Phoenix (Arizona), dans le sud-ouest des Etats-Unis, a déclaré avoir obéi à une injonction du FBI de lui fournir des informations sur un compte utilisé pour disséminer le virus. Selon Easynews, ce compte semble avoir été ouvert avec une carte de crédit volée, information non confirmée par les enquêteurs. Sobig, dans sa version "F" suivant les lettres de l'alphabet, est le dernier virus en date apparu sur Internet, une semaine après "Lovsan" -également baptisé "Blaster"- qui profitait d'une faille de sécurité sur le système d'exploitation Windows. Sobig a été conçu pour tenter de relancer sa diffusion tous les vendredis et dimanches entre 19h et 22h gmt (21h et 0h heure française). "Il y a un risque potentiel pour dimanche, mais je crois qu'il est vraiment atténué", d'après Chris Rouland. Les principaux éditeurs de logiciels anti-virus ont mis en ligne des outils capables de désinfecter les ordinateurs touchés.AP 23.08.2003 | SAN FRANCISCO, LONDRES (Reuters) - La propagation du ver Sobig.F semble ralentir, mais le créateur du virus aurait toujours l'intention de constituer un vaste réseau d'ordinateurs infectés capables de lancer des attaques sur internet, estimaient dimanche des experts en sécurité informatique. "Il veut construire un réseau (d'ordinateurs) en créant des machines-zombies dont il peut prendre le contrôle", a déclaré Vincent Weafer, directeur du Security Response Center du fabricant d'antivirus Symantec. Sobig.F est apparu pour la première fois lundi sur un groupe de discussion internet pornographique, infectant les ordinateurs dont les utilisateurs cliquaient sur des photos de filles dénudées, ont déclaré plusieurs experts en sécurité informatique qui ont étudié le site. Une première attaque programmée pour se déclencher vendredi à 21h00, et qui aurait pu utiliser les 100.000 ordinateurs infectés dans le monde à cette date pour tenter de paralyser internet, a été déjouée par des experts privés et gouvernementaux. Sobig.F doit lancer une nouvelle attaque dimanche à 21h00 GMT. Mais le détonateur - un programme installé sur les ordinateurs de vingt particuliers à leur insu - ayant été désactivé par la contre-offensive des experts en sécurité informatique vendredi, la nouvelle attaque prévue devrait se révéler inoffensive, pronostiquent les experts. "Tout devrait bien se passer", estime Graham Cluley, consultant senior chez Sophos Antivirus au Royaume-Uni. Les versions précédentes de ce virus de type ver - la version F est la sixième variante de Sobig, apparu pour la première fois en janvier - semblent tester à chaque fois de nouvelles méthodes d'auto-reproduction et de propagation, les dernières versions devenant de plus en plus sophistiquées, explique Vincent Weafer. "Il s'agit d'une séquence de différents vers utilisés pour atteindre un but plus large - la création (d'ordinateurs-robots) dynamiques capables de se mettre à jour tout seuls", précise Weafer. Sobig.F, qui se diffuse sous forme de pièces jointes insérées dans des emails aux intitulés apparemment anodins ("Thank You!" ou "Re: Details"). Une fois qu'un utilisateur pas assez méfiant a cliqué sur la pièce jointe, Sobig.F se propage en envoyant de nouveaux courriers électroniques aux internautes dont l'email figure dans le carnet d'adresse de l'ordinateur infecté. C'est l'un des virus de ce type à la propagation la plus rapide jamais constatée par les entreprises de sécurité informatique. La progression du virus semblait toutefois ralentir ce week-end. Symantec a déclaré que le nombre d'exemplaires du virus qu'elle a reçu a diminué samedi de 25% par rapport à la veille et à l'avant-veille. Le nombre d'ordinateurs infectés dans le monde s'élevait à 109.000 dimanche à 10h00 GMT contre 145,264 samedi soir, soit une baisse de 25%, selon la société Trend Micro, concurrent de Symantec sur le marché des antivirus. Les Etats-Unis arrivent toujours en tête avec 75.000 machines contaminées (-14,1%), suivis par l'Europe (26.000, -50,8%) et l'Asie (3.700, -36,7%).Reuters 24.08.2003 |
| SAN FRANCISCO (Reuters) - L'attaque du virus Sobig, qui menaçait de perturber le trafic mondial d'internet semble finalement avoir été évitée vendredi grâce aux mesures prises par les experts en sécurité, ont annoncé des observateurs. "Je suis en train de regarder le 'Internet Health Report' (Bulletin de santé d'internet) en ce moment, et je ne vois rien d'anormal", a annoncé Lloyd Taylor, vice-président en charge de la technologie chez Keynote Systems, uns société spécialisée dans la gestion du trafic internet. "Nous ne constatons aucun effet sur internet", a-t-il ajouté. Le "bulletin de santé" d'internet peut être consulté à l'adresse http:// www.internethealthreport.com. Sobig.F s'est répandu sur les ordinateurs équipés du système d'exploitation Windows de Microsoft depuis lundi, devenant l'un des virus à la diffusion la plus rapide de l'histoire d'internet. Des réseaux d'entreprises comme ceux d'Air Canada, de CSX ou du New York Times ont été paralysés, à mesure que des emails infectés étaient interceptés par leurs systèmes de messageries. Selon les experts, une ligne de commande du virus devait déclencher à 19h00 GMT vendredi un flot d'emails à destination de 20 ordinateurs cibles disposant de connexions à haut débit à internet, ces ordinateurs déclenchant alors un programme à l'effet inconnu. Même dans le cas d'un programme inoffensif, la congestion prévisible des réseaux sous le flot d'emails faisait craindre de fortes perturbations de l'ensemble du réseau internet. Cinq minutes avant l'heure fatidique, 19 de ces 20 ordinateurs avaient pu être localisés et débranchés, a expliqué Mikko Hypponen, de l'éditeur de logiciels antivirus F-Secure. Selon le premier fournisseur d'accès mondial à internet America Online, filiale d'AOL Time Warner, Sobig était présent dans 21,6 millions de courriers électroniques, sur les 38 millions examinés par le fournisseur d'accès jeudi.Reuters 22.08.2003 | SAN FRANCISCO (Reuters) - Des experts en sécurité informatique ont déjoué vendredi l'attaque lancée par le ver Sobig.F, tandis que le FBI lançait une assignation à comparaître comme témoin à un fournisseur d'accès basé dans l'Arizona, afin de retrouver l'origine du virus, qui se serait disséminé à partir d'un site pornographique, selon les experts. Selon Jimmy Kuo, chercheur chez le fabricant d'antivirus Network Associates, Sobig.F était dissimulé dans un lien internet qui promettait l'accès à une photo pornographique. Dès que quelqu'un cliquait sur ce lien, son ordinateur devenait infecté, et le virus se dupliquait et se propageait automatiquement par email. "Sobig.F est apparu pour la première fois sur un groupe de discussion Usenet pornographique", précise Kuo. Usenet rassemble des groupes de discussions où les internautes se regroupent par centres d'intérêts pour s'envoyer et recevoir des messages. Jusqu'à présent, au moins 100.000 ordinateurs ont été contaminés par Sobig.F, qui les a utilisés pour inonder l'internet "de millions et de millions d'emails infectés", ajoute Kuo. Sobig.F se propage lorsque des internautes pas assez méfiants ouvrent les pièces jointes attachées à des emails aux intitulés apparemment inoffensifs, tels que "Thank You!" ("merci"), "Re: Details" ou encore "Re: That Movie." ("ce film") Une fois le fichier joint ouvert, Sobig.F se dissémine de lui-même en envoyant des emails aux internautes figurant dans le carnet d'adresses électronique de l'ordinateur infecté. Depuis lundi, des informaticiens coréens et norvégiens ont bataillé pour tenter de repousser une série d'attaques qui ont paralysé les réseaux d'entreprise et inondé les boîtes aux lettres électroniques des particuliers. Le cabinet de conseil Booz Allen Hamilton, la compagnie aérienne Air Canada, et peut-être le New York Times, font partie des entreprises touchées par les virus apparus récemment. ATTAQUES, DOMMAGES ET NOUVELLES MENACES Sobig.F a été programmé pour expirer le 10 septembre, mais les experts craignent qu'une nouvelle version assure la relève. Sobig.F est la sixième version de ce virus au nom pompeux (Sobig signifie "tellement important") depuis sa première apparition en janvier. Le ver a introduit une commande cachée dans les boîtes aux lettres électroniques, leur ordonnant d'entrer en contact avec 20 ordinateurs vulnérables tous les vendredis et dimanches à 21h00, jusqu'à ce que le virus expire, selon Steve Trilling, directeur de recherche chez le fabricant d'antivirus Symantec. Les experts des entreprises privées et du gouvernement américain ont engagé une course contre la montre vendredi pour déconnecter 19 des 20 ordinateurs visés, déjouant la première attaque avant la date limite, a déclaré Mikko Hypponen, chercheur chez le fabricant d'antivirus finlandais F-Secure. Les ordinateurs étaient situés aux Etats-Unis, au Canada et en Corée du Sud, a-t-il ajouté. Le vingtième ordinateur, qui a été déconnecté peu après la date de déclenchement de l'attaque, se trouvait aux Etats-Unis, ont précisé les experts. Les experts craignaient que cette attaque ralentisse le réseau internet, et propage de nouvelles commandes qui auraient déclenché d'autres attaques. Cependant, il est trop tôt pour affirmer que la menace liée à Sobig.F est terminée, préviennent- ils, et la prochaine attaque prévue pour dimanche pourrait causer de nouveaux problèmes. Par ailleurs, le fournisseur d'accès Easynews.com, basé à Phoenix, dans l'Arizona, a déclaré avoir été contacté jeudi par téléphone par des enquêteurs. L'entreprise a également reçu vendredi une assignation à comparaître comme témoin. "L'original de la nouvelle version du virus semble avoir été introduite via notre réseau sur Usenet le 18 (août)", a précisé à Reuters Michael Minor, directeur technique d'Easynews.com. Un porte-parole du FBI a déclaré que l'agence fédérale travaillait actuellement avec le département américain de la Sécurité intérieure pour déterminer l'auteur des attaques. Il s'est refusé à tout autre commentaire.Reuters 23.08.2003 | LONDRES (Reuters) - Les experts en sécurité internet ont annoncé vendredi avoir accompli des progrès significatifs pour combattre le virus Sobig.F, qui se propage par l'intermédiaire des boîtes aux lettres électroniques et menace de déverser sur internet un barrage paralysant de données. Des Etats-Unis à la Corée du Sud, une chasse mondiale est menée pour retrouver et éteindre 20 ordinateurs personnels dotés de connexions internet à haut débit qui devaient être la cible, vendredi à 19h00 GMT (21h00 à Paris), de centaines de milliers d'ordinateurs infectés par le virus Sobig.F. Le FBI a ouvert une enquête pour localiser la personne qui a programmé ce ver informatique, a annoncé une porte-parole du Bureau fédéral d'investigation. Les experts estiment que plus de la moitié des 20 ordinateurs pris pour cible ont été localisés et éteints mais le danger d'un ralentissement majeur du réseau demeure. Les spécialistes ont découvert jeudi le secret du virus qui a infecté depuis lundi des systèmes Windows et les a utilisés pour envoyer un déluge d' e-mails non sollicités. Caché dans le virus, une instruction commande aux machines infectées de prendre contact à 19h00 GMT avec 20 ordinateurs qui contiennent un programme non-identifié. "Le problème est que nous ne savons pas ce qu'est ce programme. Cela pourrait se traduire par un 'smiley' qui danse sur votre écran ou être quelque chose d'énorme", explique Carole Theriault, consultante chez Sophos Anti- Virus. "Cela reste sous le seul contrôle de la personne qui a écrit le virus." Même si le programme mystère est un gag sans danger, l'énorme volume de données convergeant vers les 20 ordinateurs pris pour cible pourrait ralentir considérablement l'ensemble du réseau. Une autre attaque est prévue dimanche 24 août, là encore à 19h00 GMT. Les autorités connaissent l'adresse internet des 20 ordinateurs à déconnecter, explique Johannes Ullrich, un responsable de l'Internet Storm Center du SANS Institute. "Nous en avons mis hors réseau plus de la moitié" a annoncé Mikko Hypponen, responsable anti-virus dans la société finlandaise F-Secure. "Mais s'il n'en reste qu'un, il y aura une attaque." Les experts avaient prédit qu'un nombre suffisant d'ordinateurs, parmi ces 20 cibles, serait déconnecté, de sorte que l'impact de l'attaque serait moindre. Selon eux, les ordinateurs touchés devraient se déconnecter, en raison du trafic trop important des données. Toutefois, la liste des 20 ordinateurs cible peut être mise à jour, ce qui signifie que d'autres ordinateurs pourraient entrer en action, explique Johannes Ullrich. LA SOLUTION : L'ANTI-VIRUS Les experts ont conseillé aux utilisateurs qui pensent être touchés par le virus Sobig.F de télécharger une des nombreuses solutions anti-virus distribuées par des sociétés comme Sophos (http://www.sophos.com), Symantec (www.symantec.com) et F-Secure (www.f- secure.com). Depuis son apparition lundi dernier, Sobig.F a paralysé des réseaux e-mail d'entreprises et engorgé les boîtes de réception personnelles des internautes. Mikko Hypponen estime que Sobig.F a déjà généré près de 100 millions d'emails. Sobig.F se propage quand un utilisateur ouvre un fichier joint à un message dont l'objet est souvent : "Thank You!", "Re: Details" ou "Re: That Movie". Une fois le fichier ouvert, Sobig.F s'envoie de lui-même à un grand nombre d'adresses e- mail, depuis l'ordinateur infecté, et signe les messages qu'il génère en utilisant un nom et une adresse pris au hasard dans le carnet d'adresses de cet ordinateur. Le virus a généré un flot d'emails potentiellement infectieux, provoquant l'arrêt de serveurs informatiques. Certains experts estiment que plus d'un million d'ordinateurs ont été infectés de par le monde, même s'ils soulignent qu'un décompte précis est difficile, avec autant de machines touchées. Les experts recommandent aux techniciens de réseaux d'entreprise de bloquer le trafic de données sortant du port 8998 pour empêcher les ordinateurs d'être utilisés dans une attaque.Reuters 22.08.2003 |
| Le ver Sobig.F, qui fait des ordinateurs infectés des relais de messages non sollicités (spam), a touché en Chine 30% des utilisateurs de courrier électronique, a estimé une société chinoise spécialisée dans la sécurité informatique. Plus de 20 millions d'internautes ont ouvert et transmis à des réseaux locaux ou régionaux des messages contenant le virus, considéré comme le ver à la diffusion la plus rapide jamais rencontré, a précisé Hao Ting, la porte-parole de Beijing Rising Technology Shareholding. "Nous n'avons rien vu se propager aussi rapidement", a déclaré Hao. "Cela pourrait empirer parce que la prise de conscience concernant les virus et les mesures préventives pour les combattre est très limitée." Sobig.F n'éteint pas ou ne paralyse pas les ordinateurs qu'il infecte, mais il peut provoquer l'arrêt de serveurs ou ralentir les opérations du logiciel Windows de Microsoft. Les messages avec le virus contiennent notamment dans la ligne "objet" des mots comme: "Thank you", "Movies", "Details" ou "Applications". Seulement 60 à 70% des internautes chinois (qui étaient 68 millions fin juin) ont installé sur leurs ordinateurs des logiciels anti-virus et seuls la moitié d'entre eux ont mis à jour assez régulièrement ces logiciels pour être protégés contre des virus qui évoluent.Reuters 22.08.2003 | Une organisation criminelle pourrait se cacher derrière Sobig Un expert en sécurité suspecte une organisation criminelle d'être à l'origine de la création de Sobig.F, un ver qui a battu des records de vitesse de propagation la semaine dernière. Pour Peter Simpson, un expert en sécurité informatique et le gérant de ThreatLab, les différentes versions de Sobig seraient des tests effectués par une organisation criminelle qui désire tirer profit d'Internet. Sobig.F est «la sixième d'une série de six expériences contrôlées» estime-t-il, avant d'ajouter qu'«il ne s'agit pas d'un adolescent qui programme un virus dans sa chambre à coucher; c'est un exemple très sophistiqué de crime organisé». L'expert en sécurité avance que la propagation fulgurante de Sobig.F a fait perdre de vue le vrai danger du ver: le téléchargement d'un cheval de Troie qui permet de prendre le contrôle à distance d'un PC et, éventuellement, de voler des informations personnelles dans le but de commettre des fraudes ou d'utiliser un ordinateur infecté comme relais pour expédier du pourriel. Jusqu'à présent, l'enquête du FBI aurait permis de déterminer que le ver Sobig.F a d'abord été disséminé dans un groupe de discussion Usenet via le service Easynews.com. Un compte y aurait été ouvert le 18 août dernier dans le seul but d'amorcer la propagation de ce ver. De plus, Easynews estime qu'une carte de crédit volée aurait été utilisée pour payer les frais d'ouverture du compte. Branchez-vous 25.08.2003 | Le petit frère de Sobig.F pourrait bien ne pas tarder à naître Agence France-Presse New York Un nouveau virus de la lignée Sobig, dont les versions successives ont déjà infecté des centaines de milliers d'ordinateurs, pourrait bien apparaître aux alentours du 10 septembre, date prévue de l'autodestruction de Sobig.F, selon un expert. «Le modus operandi de l'auteur (du virus) est de mettre en circulation une nouvelle version juste avant la date d'expiration de la précédente», a déclaré Mark Summer, responsable technique de la société spécialisée dans la sécurité du courrier électronique MessageLabs. «J'en déduirais qu'il y a une forte probabilité que nous voyions une nouvelle version le 10 septembre ou juste avant», a-t-il souligné. Steven Sundermeier, un autre expert de la société, Central Command, juge que «si l'histoire se répète, nous pourrions avoir à faire à une nouvelle création un peu après le 10 septembre». Les spécialistes de la sécurité qui ont décortiqué le programme informatique composant le virus Sobig.F se sont rendu compte qu'il allait s'autodétruire le 10 septembre. Sobig.F ne fait pas de dégâts apparents dans les ordinateurs-hôte mais il ralentit l'accès au courrier électronique. Vendredi, les entreprises de lutte contre les virus informatiques, aidées de la police fédérale aux États-Unis en particulier, semblaient avoir réussi à empêcher ce qui devait être un nouvel assaut de Sobig.F. Mais si le continent nord-américain était épargné il n'en était pas de même de la Chine, fortement touchée. Tous les éditeurs s'accordent à recommander aux administrateurs- réseau de fermer manuellement le logiciel concerné (le port 8998) et de mettre à jour les anti-virus, parfaitement capables d'éradiquer Sobig.F. D'autant que Sobig.F, le dernier avatar d'une longue lignée de virus apparue en janvier 2003 sous le sobriquet de Sobig.A, pourrait refaire ses tentatives tous les vendredi ou dimanche entre 19h et 22h GMT d'ici le 10 septembre. AFP 25.08.2003 |
| Microsoft (NASDAQ: MSFT - actualité) a admit hier qu'il lui faudrait au moins deux ans pour développer une technologie capable de prévenir les épidémies de virus informatiques similaire à celle Sobig apparue la semaine dernière. Detlef Eckert, le directeur senior responsable de la sécurité des logiciels de la firme, a déclaré que Microsoft ne pourrait éliminer les menaces similaires à Sobig sans un redesign complet des ordinateurs personnels, un effort qui ne pourrait être conclu avant 2005 ou 2006.AOF 28.08.2003 | SAN FRANCISCO (Reuters) - Une nouvelle version du virus informatique Sobig, dont la dernière variante a infecté des centaines de milliers d'ordinateurs la semaine dernière, pourrait apparaître à n'importe quel moment, même avant la date d'expiration de la version actuelle, prévue le 10 septembre. "Un autre virus peut être diffusé à tout moment", a souligné Steve Trilling, directeur de recherche du Security Response Team chez l'éditeur de logiciels anti-virus Symantec. "Nous ne pouvons jamais être satisfaits quand une menace semble baisser." Une des quatre précédentes variantes du virus Sobig est apparue avant que son prédécesseur n'ait expiré, a rappelé Mikko Hypponen, un responsable de l'éditeur finlandais F-Secure. La variante Sobig.E est apparue le 25 juin dernier, alors que la précédente variante Sobig.D n'expirait que la semaine suivante. La première version de Sobig est apparue en janvier 2003 et ne comportait pas de date d'expiration. Elle a été suivie environ quatre mois plus tard par la première variante, Sobig.B, puis les suivantes se sont succédé avec une à trois semaines d'écart. La cinquième et dernière variante en date, Sobig.F, est apparue la semaine dernière et s'est propagée à grande vitesse sur des centaines de milliers d'ordinateurs utilisant le système d'exploitation Windows et les clients de courrier électronique Outlook et Outlook Express. Le taux d'infection a diminué depuis la semaine dernière et le nombre d'ordinateurs contaminés est passé lundi en-dessous de la barre des 100.000, selon l'éditeur d'anti-virus Trend Micro. Sobig.F se propage quand un utilisateur ouvre un fichier joint à un e-mail dont l'objet est souvent : "Thank You!", "Re: Details" ou "Re: That Movie". Une fois le fichier ouvert, Sobig.F s'envoie de lui-même à un grand nombre d'adresses e-mail, depuis l'ordinateur infecté, et signe l'email en utilisant un nom et une adresse pris au hasard dans le carnet d'adresses de cet ordinateur.Reuters 26.08.2003 | Sobig: le premier virus à but lucratif On n’en aurait pas encore fini avec Sobig et ses différentes déclinaisons. Selon des spécialistes de la sécurité, son - ou ses - auteurs ne vont pas s’arrêter à sa variante Sobig.F, dernière en date, car les virus de cette famille auraient été créés dans un but "commercial". Outre le fait que leur objectif consiste à saturer les réseaux, il s’agit de "mass mailers", utilisés pour envoyer des spams. Or dès qu’une personne active le virus sur sa machine, celui-ci tente d’y installer un petit serveur relais ("proxy server"). Ce logiciel permet aux "spammeurs" de falsifier leur adresse IP (Internet Protocol) pour ne pas être ensuite repérés; ils peuvent ainsi envoyer en toute impunité des courriers électroniques non sollicités aux dizaines de milliers d’ordinateurs infectés. Les spammeurs clients? «Tout a été très bien planifié, conçu et exécuté»,a indiqué Mikko Hypponen, directeur de la société F-Secure spécialisée dans la sécurité, et chargé de la recherche sur les antivirus. Selon lui, il est probable que l’auteur du virus a monnayé la liste des ordinateurs infectés à des spammeurs. «Cette fois, nous sommes face à un virus créé pour une très bonne raison: l’argent.» Loin des bidouilleurs informatiques ou "script-kiddies" qui créent des virus par jeu, les virus de la famille Sobig sont peut-être les premiers à être utilisés pour l’appât du gain. C’est l’avis de Joe Stewart, chercheur en sécurité au sein de Lurhq, société spécialisée dans la protection réseau. Pour lui, son ou ses créateurs iront encore plus loin. «Je suis persuadé qu’une nouvelle variante apparaîtra bientôt», clame-t-il. Il assure, après avoir étudié les différentes versions, que son auteur ne s’arrêtera pas là. «La personne maîtrise de toute évidence l’utilisation des serveurs proxy (qui lui permettent de rester anonyme). Penser que l’on pourra le tracer à l’aide d’une adresse IP est dérisoire.» Premier indice: une carte de crédit volée Et l’auteur de Sobig a multiplié les précautions, allant apparemment jusqu’à utiliser une carte de crédit volée pour s’inscrire à Easynews.com, fournisseur d'accès au réseau de forums de discussion Usenet. Ceux-ci auraient, semble-t-il, servi de point de départ pour Sobig.F, qui a été diffusé sous le couvert d’une image à caractère pornographique. C’est ce qu’affirme Easynews.com qui a dû fournir au FBI le numéro d’une carte de crédit. «Il semble que le compte a été créé en utilisant une carte de crédit volée, dans le seul but de charger le virus sur le réseau Usenet», a déclaré Michael Minor, directeur technique d’Easynews. L’enquête du FBI ne sera pas facile. «La personne fait vraiment tout pour ne pas être repérée», indique Joe Hartmann, directeur de la recherche antivirus chez Trend Micro. «Des proxies ouverts et des cartes de crédit volées… la tâche s’annonce rude.» On n’en aurait pas encore fini avec Sobig et ses différentes déclinaisons. Selon des spécialistes de la sécurité, son - ou ses - auteurs ne vont pas s’arrêter à sa variante Sobig.F, dernière en date, car les virus de cette famille auraient été créés dans un but "commeZDNet 26.08.2003 |
| Le FBI estime qu'il pourra identifier les créateurs des vers informatiques Blaster et Sobig.F qui ont durement frappé Internet au cours des dernières semaines. Robert Mueller, le directeur du FBI, déclare que «nous employons les toutes dernières technologies et l'analyse de code afin de retracer les sources potentielles, et je suis confiant que nous allons trouver les coupables». Il précise également que le FBI travaille en collaboration avec un important département de sécurité américain, le Department of Homeland Security. Déjà, le FBI aurait trouvé la source utilisée pour disséminer le virus Sobig.F: des groupes de nouvelles Usenet où les internautes s'échangent des photos pour adultes. Une carte de crédit volée aurait été employée pour ouvrir le compte Usenet. Le FBI a déjà réussi à retracer des créateurs de virus, c'est par exemple le cas David Smith, l'auteur de Melissa, qui a propagé sa bestiole malfaisante en utilisant un compte volé d'AOL auquel, erreur fatale, il s'était connecté de son domicile. Branchez-vous 27.08.2003 | WASHINGTON, 29 août (AFP) - Un jeune Américain de 18 ans qui aurait propagé le virus informatique Blaster à la mi-août a été interpellé aux Etats-Unis, a annoncé vendredi la chaîne de télévision CNN. Selon la chaîne, ce pirate informatique présumé sera déféré devant un tribunal de Saint Paul (Minnesota - centre nord) pour être inculpé. Il devrait ensuite être transféré à Seattle (Etat de Washington, nord-ouest) où se trouve le siège de Microsoft. Le ver Blaster s'est répandu largement à partir du 12 août dans le monde entier, affectant les systèmes d'exploitation de Microsoft. Le ver est une forme de virus informatique qui s'installe automatiquement sur un ordinateur s'il n'est pas protégé lors d'une connexion internet. Le FBI n'a pas confirmé cette interpellation mais devait faire une annonce vendredi après-midi à propos de l'enquête lancée pour traquer les auteurs du virus Blaster. Selon le quotidien Seattle Times de vendredi, le jeune homme dont l'identité n'a pas été révélée, n'aurait pas créé le virus mais l'aurait modifié en le rendant encore plus néfaste sous une version "variante B". "Il y a une percée dans cette affaire", a dit un policier au quotidien. "Cette variante était une version virulente qui a provoqué beaucoup de dégâts ici et à travers le monde", a ajouté cette source. Le virus Blaster ou Lovssan s'était répandu rapidement par l'intermédiaire de sites web, et non pas par le courrier électronique comme le virus Sobig.F. Le virus Blaster était dirigé contre Microsoft et son créateur Bill Gates. "Billy Gates pourquoi permets-tu que ceci soit possible? Arrête de faire de l'argent et répare ton logiciel!!!", disait un message attribué au pirate informatique apparemment responsable du virus. Ce virus forçait à relancer constamment l'ordinateur et ses effets ont été ressentis aux Etats-Unis, en Europe et en Asie notamment.AFP 29.08.2003 | NEW YORK (Reuters) - Un jeune homme soupçonné d'être le créateur d'une variante du virus Blaster, qui a infecté les ordinateurs équipés du système Windows ces dernières semaines, est sur le point d'être placé en détention, ont annoncé des sources au sein des services de sécurité américains. Selon le journal Seattle Times, qui cite des sources au département américain de la Justice, le suspect, âgé de 18 ans, a déjà été interrogé et mis sous surveillance. Le journal ajoute que le jeune homme devrait être considéré par la justice comme un adulte. Les enquêteurs soupçonnent le jeune homme d'avoir modifié le code du ver informatique Blaster pour créer la variation B, encore plus dévastatrice que l'originale, rapporte le Seattle Times. Le programmeur du virus original n'a pas encore été trouvé, explique le journal. Blaster est un virus de type ver programmé pour s'infiltrer dans les ordinateurs personnels grâce à une faille de sécurité du système d'exploitation Windows de Microsoft. Une fois l'ordinateur infecté, le virus devait forcer la machine à se connecter sur un site internet de Microsoft, afin de créer un dépassement des capacités du serveur. Une entreprise sur cinq aux États-Unis aurait été touchée par le virus depuis le début du mois d'août, estime la société spécialisée dans la sécurité informatique TruSecure.Reuters 29.08.2003 |
| SEATTLE/SAN FRANCISCO (Reuters) - Les autorités américaines, adressant un avertissement à tous les pirates informatiques, ont arrêté vendredi un adolescent qui a reconnu avoir créé une variante du virus Blaster qui a infecté nombre d'ordinateurs équipés du système Windows ces dernières semaines. Jeffrey Lee Parson, 18 ans, a été arrêté à Hopkins, faubourg de Minneapolis (Minnesota) où il habitait, et inculpé pour avoir intentionnellement causé des dégâts à un ordinateur ou avoir tenté de le faire. S'il est jugé coupable, il risque un maximum de dix ans de prison et une amende de 250.000 dollars. "Avec cette arrestation, nous voulons envoyer un message aux pirates informatiques du monde entier", a déclaré John McKay, procureur du District occidental de Washington, lors d'une conférence de presse donnée peu après l'arrestation de Parson. "Les menottes n'étaient pas des menottes virtuelles, c'étaient de vraies menottes", a souligné McKay en faisant allusion à l'arrestation du jeune homme, qui a résulté d'une enquête conjointe des services secrets américains et du FBI. Parson, qui mesure 1m93 et pèse 145 kg, a comparu devant la cour fédérale de justice de St. Paul en arborant un tee-shirt gris délavé où s'étalaient les mots "Big Daddy", ainsi qu'un short et des chaussures de sport montantes. PIRATE SOUS SURVEILLANCE La juge Susan Nelson l'a fait placer en résidence surveillée, bien que des représentants du gouvernement aient cherché à le faire maintenir en détention en vertu du préjudice qu'il avait porté aux utilisateurs d'ordinateurs. Parson s'est vu interdire d'utiliser Internet, de "surfer sur le web" ou de faire appel à de services de messagerie. Nelson l'a également informé qu'il faisait l'objet de menaces et qu'elle se souciait de sa sécurité. Selon une plainte déposée auprès du District ouest de l'Etat de Washington, le jeune homme avait auparavant reconnu qu'il était l'auteur d'une variante du ver informatique Blaster, qui s'est propagé sur internet mais a, en définitive, touché moins d'ordinateurs que l'original. Le programmeur du virus original n'a pas encore été trouvé. La prochaine audition de Parson aura lieu le 17 septembre à Seattle. Blaster est un virus de type ver programmé pour s'infiltrer dans les ordinateurs personnels grâce à une faille de sécurité du système d'exploitation Windows de Microsoft. Une fois l'ordinateur infecté, le virus devait forcer la machine à se connecter sur un site internet de Microsoft, afin de créer un dépassement des capacités du serveur. Des chercheurs et des avocats de Microsoft, dont le siège de Redmond (Washington) se trouve à 24 km de Seattle, ont coopéré avec les autorités dans l'enquête. Des agents du FBI ont interrogé Parson lorsqu'ils ont fouillé son domicile le 19 août et y ont saisi sept ordinateurs. Une entreprise sur trois en Amérique du Nord aurait été touchée par le virus depuis le début du mois d'août, selon de nouvelles données du laboratoire spécialisé dans la sécurité internet ICSA.Reuters 30.08.2003 | ||
Si vous connaissez votre ennemi et si vous savez ce que vous valez, vous n'avez pas besoin de craindre vos prochaines batailles. Si vous savez ce que vous valez et rien sur votre ennemi, pour chaque victoire remportée, vous subirez une défaite. Si vous ne connaissez rien sur vous-même ni sur votre ennemi, vous succomberez à chaque bataille. Sun Tzu-The Art of War
Cette chronique vous intéresse, indiquez-moi des liens intéressants...
