"Le voleur moderne peut voler plus avec un ordinateur qu'avec un fusil. Le terroriste de demain peut causer plus de dégâts avec un clavier qu'avec une bombe"
| LONDRES (Reuters) - Un adolescent britannique a été condamné lundi à 200 heures de travail d'intérêt général après s'être introduit dans le système informatique d'un laboratoire de recherche aux Etats-Unis pour y stocker sa collection de fichiers contenant des films et de la musique. Joseph James McElroy, âgé de 18 ans, a expliqué au tribunal de Southwark Crown avoir piraté 17 ordinateurs du Fermi National Accelerator Laboratory, près de Chicago, sur une période de deux semaines, en juin 2002. Le jeune homme en avait alors profité pour échanger des centaines de gigaoctets de fichiers avec ses amis. Le département américain de l'Energie demandait 21.000 livres de dommages et intérêts. Le piratage avait contraint les techniciens du laboratoire, spécialisé dans la recherche sur les particules subatomiques ainsi que sur les armes nucléaires, à fermer un partie du réseau informatique pendant trois jours. Joseph McElroy, étudiant de l'université d'Exeter, dans le sud-ouest de l'Angleterre, avait plaidé coupable d'infraction au Computer Misuse Act, qui couvre une palette de délits informatiques, dont le piratage ou la diffusion de virus. La peine maximale prévue par ce texte est de cinq années d'emprisonnement. Le juge Andrew Goymer a décidé de ne pas demander le remboursement des frais au laboratoire américain, estimant que le piratage n'avait jamais compromis la confidentialité des données stockées sur le réseau informatique. Reuters 02.02.2004 | LONDRES (Reuters) - Un adolescent britannique a été condamné lundi à 200 heures de travail d'intérêt général après s'être introduit dans le système informatique d'un laboratoire de recherche aux Etats-Unis pour y stocker sa collection de fichiers contenant des films et de la musique. Joseph James McElroy, âgé de 18 ans, a expliqué au tribunal de Southwark Crown avoir piraté 17 ordinateurs du Fermi National Accelerator Laboratory, près de Chicago, sur une période de deux semaines, en juin 2002. Le jeune homme en avait alors profité pour échanger des centaines de gigaoctets de fichiers avec ses amis. Le département américain de l'Energie demandait 21.000 livres de dommages et intérêts. Le piratage avait contraint les techniciens du laboratoire, spécialisé dans la recherche sur les particules subatomiques ainsi que sur les armes nucléaires, à fermer un partie du réseau informatique pendant trois jours. Joseph McElroy, étudiant de l'université d'Exeter, dans le sud-ouest de l'Angleterre, avait plaidé coupable d'infraction au Computer Misuse Act, qui couvre une palette de délits informatiques, dont le piratage ou la diffusion de virus. La peine maximale prévue par ce texte est de cinq années d'emprisonnement. Le juge Andrew Goymer a décidé de ne pas demander le remboursement des frais au laboratoire américain, estimant que le piratage n'avait jamais compromis la confidentialité des données stockées sur le réseau informatique. Reuters 01.02.2004 | Pour 5 euros par mois en moyenne, les fournisseurs d’accès proposent à leurs abonnés de se protéger des virus, spams et autres intrusions. Des solutions de sécurité qui évolueront en 2004, suite à des accords passés avec des éditeurs d’antivirus. À l'heure où l'activité virale bat son plein en ce début d'année, les fournisseurs d'accès à internet (FAI) rivalisent sur leurs offres de solutions de sécurité. Des services en général payants, en plus du coût de l'abonnement internet. Par "sécurité", les FAI entendent surtout la protection de la messagerie accessible sur le web (webmail); mais depuis quelque temps les services s'étoffent. Il s'agit non seulement de se protéger des virus et d'éliminer les spams, messages publicitaires non sollicités, mais aussi de contrôler les flux de données entrants et sortants de l'ordinateur grâce à un pare-feu. La croissance continue des abonnés à l'ADSL entraîne une hausse proportionnelle de la demande pour ce type de services. Un ordinateur connecté à haut débit rime avec connexion illimitée, ce qui n'incite pas l'utilisateur à éteindre sa machine comme on fermerait une fenêtre. Du coup, les risques d'intrusions, via un virus ou à cause d'un pirate, sont plus importants. 250.000 abonnés de Wanadoo ont choisi l'option "antivirus PC" Pas étonnant donc que ces solutions de sécurité remportent un succès grandissant. Chez Wanadoo, premier FAI français, 250.000 abonnés (sur les 4,5 millions qu'il compte dans l'Hexagone) disposent de l'option "antivirus PC". Ce service basé sur un petit programme à installer sur sa machine est régulièrement mis à jour afin de disposer des dernières signatures de virus. Son coût: 5 euros par mois en supplément de l'abonnement pour l'accès internet. «L'antivirus PC est un produit complet et autonome, qui sécurise les échanges par messagerie Wanadoo (webmail), mais aussi ceux par d'autres messageries du client, ainsi que toutes les autres formes d'échanges de données (téléchargements, lecture de CD-Rom, de disquettes, etc.)», explique un porte-parole de Wanadoo. Depuis le 27 janvier, le FAI a complété cette solution avec un pare-feu. «Le principe du "firewall" est de filtrer le trafic entre l'ordinateur du client et internet, en interceptant toute application tentant de se connecter. L'utilisateur peut alors autoriser ou bloquer tout trafic entrant pour se protéger contre les attaques et les intrusions», poursuit le responsable. Le service devrait bientôt être complété par un module "anti-spam", proposé aujourd'hui sur le webmail uniquement. Tiscali, Club-Internet et AOL également sur les rangs Dans le même registre, Tiscali propose depuis décembre 2003, son "super-mail" élaboré avec l'éditeur de logiciels antivirus Symantec. Pour un peu moins de 3 euros par mois, les abonnés disposent d'un service en ligne offrant des fonctions antivirus et firewall, ainsi que d'un filtre anti-spam. Cette année, Tiscali deviendra distributeur de la gamme de produits Norton (en ligne et en boîte) auprès de ses abonnés à la faveur d'un contrat passer avec Symantec. Chez Club-Internet, l'offre baptisée "pack sécurité" est accessible pour 5 euros par mois. Le client peut choisir de ne s'abonner qu'à une partie du service: le pare-feu pour 3 euros, ou l'antivirus pour 2 euros. Le câblo-opérateur Noos offre pour sa part jusqu'au 30 avril 2004, un kit de sécurité intégrant un antivirus et un firewall à ses abonnés internet. Il s'agit d'une offre basée sur les produits PC-Cillin de l'éditeur Trend Micro. Enfin, chez AOL, les options de sécurité sont comprises dans l'abonnement. Depuis juin dernier, le FAI intègre un antivirus de Network Associates (McAfee) et un filtre anti-spam à la version 8.0 de son interface. MacOS n'est pas la cible Parce que les ordinateurs Macintosh sont nettement moins concernés par les épidémies virales, tous ces services s'adressent avant tout aux utilisateurs de PC fonctionnant sous Windows. Chez Wanadoo, le service "anti-virus + firewall" n'est ainsi compatible qu'avec l'OS de Microsoft, de la version 95 jusqu'à XP. «Le service ne fonctionne actuellement que sous Windows, l'OS qui est utilisé par la très grande majorité de nos clients», précise un porte-parole. «Des produits équivalents à l'antivirus PC sont à l'étude pour Macintosh, mais, à ce stade, nous n'avons pas pris la décision de proposer un tel service.» ZDNet 03.02.2004 |
| SEATTLE (Reuters) - Un nouveau virus appelé "Doomjuice", apparu lundi sur internet, s'est attaqué au site de Microsoft, réduisant l'accès aux pages web de l'éditeur de logiciels, ont indiqué des experts en sécurité informatique. Doomjuice, que certains experts décrivent comme une variante du ver informatique MyDoom, se propage par les messageries électroniques déjà infectées par le virus qui serait donc son "grand-frère". "Il recherche les machines fragilisées par MyDoom A ou B", a déclaré Vincent Gullotto, vice-président du centre d'alerte antivirus de Network Associates. Il a indiqué qu'il ne se propageait pas aussi rapidement que les versions initiales du ver MyDoom. Le fait que Doomjuice ne se propage qu'entre ordinateurs déjà infectés, plutôt que par e-mail, fait dire à certains experts qu'il n'est pas exact d'y voir une variante de MyDoom, qui a occupé jusqu'à près d'un cinquième du trafic des messages électroniques. Mais certaines entreprises de sécurité informatique et Microsoft l'appellent déjà "MyDoom.C". Pour certains, Doomjuice a été conçu par les mêmes personnes qui ont créé MyDoom et a pour objectif de submerger le site de Microsoft de requêtes. La firme de Redmond a déclaré que "la totalité des fonctionnalités de Microsoft.com étaient stables et accessibles aux clients", mais des experts ont noté cependant que le site avait été plus lent et inaccessible par intermittence pendant le week-end. Reuters 10.02.2004 | Des combinés Bluetooth des constructeurs Nokia et Sony Ericsson sont vulnérables à des attaques à distance, qui permettent de voler les informations contenues dans l'agenda ou le carnet d'adresses. Sans laisser aucune trace d’un quelconque passage. Des failles de sécurité critiques ont été décelées dans dix modèles de téléphones mobiles intégrant la technologie de communication radio Bluetooth. La plus dangereuse peut être exploitée pour lire, modifier ou copier l'agenda ou le carnet d'adresses à distance, sans laisser aucune trace. «Si votre téléphone est dans votre poche, vous ne vous en rendrez même pas compte», explique à ZDNet UK Adam Laurie, P-DG de la société britannique de sécurité réseau AL Digital, qui a découvert les failles. Il explique les avoir décelées en utilisant simplement un PC portable équipé d'une carte Bluetooth, communiquant avec une série de téléphones, et après avoir changé quelques paramètres de connexion. Les failles ont été isolées au niveau des «mécanismes d'authentification et de transfert de données en mode Bluetooth», précise AL Digital dans un communiqué. Les modèles de Nokia sont les plus vulnérables Les modèles vulnérables sont: l'Ericsson T68, les Sony Ericsson R520m, T68i, T610, Z1010, ainsi que les Nokia 6310, 6310i, 7650, 8910 et 8910i. Les téléphones du géant finlandais présentent le plus de risques. Nokia a confirmé à notre rédaction britannique l'existence de ces vulnérabilités, tout en précisant qu'elles n'étaient exploitables que lorsque les combinés sont en "mode visible", c'est-à-dire lorsqu'ils sont paramétrés pour être détectés par d'autres appareils Bluetooth. Le constructeur, qui considère le risque comme mineur, n'a pas prévu de développer de correctif. Il conseille en revanche de ne pas laisser son mobile en mode visible dans les lieux publics ou au pire de désactiver la fonction Bluetooth. Pour sa part, Sony Ericsson a indiqué qu'il étudiait les faiblesses découvertes par AL Digital. ZDNet 11.02.2004 | Deux sociétés américaines ont lancé une campagne de marketing reposant sur une publicité abusive qui inonde de messages les internautes, prend en otage leur navigateur internet et ouvre le lecteur CD-ROM de leur ordinateur dans l'unique but de promouvoir un logiciel contre l'espionnage de données, s'insurge une organisation de défense des consommateurs. Cette campagne pour le logiciel Spy Wiper entend démontrer la vulnérabilité des internautes face à l'espionnage de leurs données, sans pour autant installer un logiciel espion dans leur ordinateur, précise mercredi le Center for Democracy and Technology qui a déposé un recours devant la Federal Trade Commission (FTC) contre Mail Wiper, Seismic Entertainment Productions et toute entreprise impliquée. L'inquiétude face aux logiciels espions a augmenté ces dernières années avec l'installation, par des publicitaires en ligne ou des sites d'échanges de fichiers musicaux comme Kazaa, de programmes sur les ordinateurs des utilisateurs pour surveiller leur activité et utiliser la puissance de leurs microprocesseurs à d'autres tâches. Mail Wiper dit que le programme Spy Wiper peut débarrasser les ordinateurs des fichiers de logiciels espions et de publicités non désirées, mais la tactique marketing de la société a donné lieu à des centaines de messages de plaintes sur internet. LE LOGICIEL EXPLOITE DES FAILLES DES PRODUITS MICROSOFT Les victimes racontent que la page habituelle de démarrage de leur navigateur internet est remplacée par une publicité pour Spy Wiper, suivie de plusieurs pages qui apparaissent automatiquement. Selon une démonstration réalisée par les enquêteurs du Center for Democracy and Technology (CDT), le lecteur CD-ROM d'un ordinateur infecté s'ouvre mystérieusement et l'on peut ensuite lire sur des pages internet: "WARNING! You DESPERATELY NEED to rid your system of spyware pop-ups IMMEDIATELY! Download Spy Wiper NOW!" ("Avertissement! Vous avez désespérément besoin de vous débarrasser immédiatement de vos pages de logiciel espion! Téléchargez Wiper maintenant!". Les messages peuvent aussi parfois s'afficher sur le logiciel Bloc-notes de Windows, qui se lance aussi tout seul. Les ordinateurs sont infectés lors d'une navigation ordinaire sur internet, en cliquant sur des bannières de publicité qui contiennent des parties de code nuisibles, explique le CDT. Ce code exploite des failles dans les programmes de Microsoft mais n'installe aucun logiciel espion, précise l'organisation. Seismic Entertainment semble avoir distribué ces publicités et Mail Wiper vend le logiciel Spy Wiper. Mais trouver qui est responsable de cette campagne est difficile et plusieurs autres sociétés pourraient être impliquées, estime le CDT. /SD Reuters 12.02.2004 |
| Microsoft a confirmé l'information selon laquelle une partie du code source de son système d'exploitation circulerait sur l'Internet, en particulier sur les réseaux d'échanges peer-to-peer. Dans un communiqué de presse, le géant des logiciels reconnaît en effet que "des parties du code source de Microsoft Windows 2000 et Windows NT ont été illégalement mises à disposition sur Internet". Ces portions de code se trouveraient dans un fichier compressé de 203 Mo, dont l'existence a été révélée sur les forums des sites Slashdot et Neowin dans la soirée du 12 février. Selon l'éditeur, rien ne permet d'affirmer que la fuite proviendrait de sources internes. Pour le moment, les soupçons semblent se tourner vers les participants à la Microsoft Shared Source Initiative, un programme mis en place par Microsoft pour permettre à des sociétés tierces d'avoir accès au code source de ses systèmes d'exploitation dans le cadre de partenariats commerciaux. Selon notre confrère eWeek, les portions de code en circulation proviendraient d'un serveur de l'éditeur Mainsoft, lequel participe au programme de partage des sources de Microsoft depuis plusieurs années. Rappelons que, depuis peu, Microsoft met également une partie du code de Windows à disposition des gouvernements dans le cadre du Government security program (voir édition du 16 janvier 2003). Une affaire de copyright plus que de sécurité Si Microsoft reconnaît "prendre cette affaire très au sérieux", il entend néanmoins rassurer les utilisateurs des systèmes d'exploitation concernés. Selon lui, cette fuite constitue avant tout une infraction au code de la propriété intellectuelle et ne présente aucun danger pour ses clients dans la mesure où seules des bribes du système se retrouvent à disposition des pirates et autres hackers. Cependant, des experts s'inquiètent du fait que d'éventuelles vulnérabilités des systèmes d'exploitation pourraient être découvertes à travers l'étude de ces portions de code. VNUNET 14.02.2004 | Microsoft a annoncé que des éléments du code source de ses systèmes d'exploitation Windows NT et Windows 2000 ont fait l'objet de fuites sur internet, pouvant exposer ses produits à des piratages ou à des copies illicites. La société américaine a précisé que des copies du code source de ces logiciels s'échangeaient sur internet, mais que ces copies ne représentaient qu'une toute petite portion des millions de lignes de code utilisées pour créer ses produits très lucratifs. Le code source est la propriété intellectuelle et la force vitale d'une société de logiciels, son langage de base étant utilisé pour créer les programmes. Microsoft n'a partagé son code source qu'avec des partenaires proches et des organisations soigneusement choisies, des accords légaux menaçant de poursuites en cas de fuite. Le niveau de secret autour du code source s'apparente à celui protégeant la formule des boissons de Coca-Cola. "Il est illégal pour des tiers d'expédier le code source de Microsoft et nous prenons cela très au sérieux", a annoncé dans un communiqué le porte-parole de Microsoft, Tom Pilla. Il semble que l'auteur de la fuite soit un développeur non identifié qui avait accès au code source. Les sociétés qui créent des programmes fonctionnant avec Windows ont besoin d'accéder à son noyau pour concevoir leurs propres produits. Un des principaux risques en exposant ce code au public est que des pirates s'introduisent dans des ordinateurs fonctionnant avec Windows NT ou Windows 2000 et détruisent ou volent des données. Le numéro un mondial des logiciels estime ce risque improbable, étant donné que la portion de code qui circule sur la toile est relativement faible. Mais le groupe est plus préoccupé par l'utilisation de ce code comme base pour développer un logiciel concurrent de Windows. Reuters 13.02.2004 | Un morceau du code source de Windows 2000 et NT4 circule depuis jeudi dernier sur le web. Incomplet pour servir de base au développement d’un système d’exploitation pirate, il pourrait toutefois être utilisé par des auteurs de virus. Depuis jeudi 12 février, une partie du code source des systèmes d'exploitations Windows 2000 et NT 4 circule illégalement sur le web, via surtout les réseaux d'échanges de type "peer-to-peer". «Les premières investigations ont montré que cela n'était pas le résultat d'une intrusion sur le réseau interne de Microsoft», a indiqué vendredi, l'éditeur dans un communiqué. Le numéro un des logiciels précise qu'il collabore étroitement avec le FBI pour identifier la source de cette fuite. Les enquêtes portent surtout sur l'éditeur de logiciels californien Mainsoft, partenaire de Microsoft qui disposait du code. Vendredi toujours, un porte-parole de la société a confirmé qu'une adresse électronique d'un de ses employés avait été décelée dans le code volé. Plus qu'un danger technique, Microsoft estime que cette fuite constitue avant tout un problème de propriété intellectuelle. «Actuellement il n'y a aucun impact connu pour les clients», assure le géant de Redmond. Mais «le code source de Microsoft est protégé par le copyright (…). En tant que tel, il est illégal de le rendre disponible à d'autres personnes, le télécharger ou l'utiliser sans autorisation de Microsoft». L'éditeur assure par conséquent qu'il «prendra toutes les actions judiciaires appropriées pour protéger sa propriété intellectuelle». Une aubaine pour les auteurs de virus Le fichier pèse 203 Mo (600 une fois décompressé) et est largement incomplet, indique à notre rédaction américaine Dragos Ruiu, consultant en sécurité informatique qui l'a examiné. Le code source entier pèse lui quelque 40 Go. Or, avec seulement 600 Mo du code complet, personne ne serait en mesure de réaliser un système d'exploitation pirate, précise-t-il. Reste que ce morceau de code pourrait être une aubaine pour les créateurs de virus et autres bidouilleurs malveillants. «Ce n'est certainement pas une bonne chose si des hackers disposent de ce code source», estime ainsi Oliver Friedrichs, un des responsables de l'éditeur de logiciels antivirus Symantec. «La communauté "underground" peut disséquer le code sans que les chercheurs en sécurité n'aient auparavant décelé de vulnérabilités», poursuit-il. La plupart des virus exploitent en effet des failles connues. Avec ce code dans la nature, ils pourraient exploiter des failles encore non découvertes. Contacté par ZDNet, Microsoft France n'a pas été en mesure de répondre à nos questions sur ce sujet. CNEt 16.02.2004 |
| SEATTLE (Reuters) - Un nouveau virus informatique de type ver, appelé "netsky.B", est apparu sur internet mercredi, la plupart des experts en sécurité informatique ne le considérant cependant que moyennement dangereux. "C'est un virus dont le taux d'infection est très faible", a déclaré David Perry de la société de sécurité informatique Trend Micro, des considérations qui en font un ver plus gênant que dangereux pour les ordinateurs contaminés. Une fois activé, le ver s'expédie lui-même grâce aux carnets d'adresses de messageries électroniques contenus sur le disque dur. Netsky.B se présente en général comme un message provenant d'une personne connue avec en pièce jointe un fichier de type Microsoft Word le titre peut être "à lire immédiatement (read it immediately)" ou "quelque chose pour toi (something for you)". La société spécialisée dans les programmes et services antivirus Network Associates a déclaré que l'activité de netsky.B semblait être concentrée en Europe, et plus particulièrement aux Pays-Bas. Reuters 18.02.2004 | HELSINKI, 18 fév (AFP) - Des experts plaçaient en troisième position des virus les plus virulents de l'histoire la variante B du "ver" informatique Bagle, qui continuait de se propager à grande vitesse dans le monde mercredi. "C'est un ver très sérieux, il s'est diffusé assez rapidement mais il n'atteindra pas les mêmes proportions catastrophiques que Mydoom.A et Sobig. F", a indiqué à l'AFP Snorre Fagerland, de la société norvégienne de sécurité informatique Norman. "Sur l'échelle des virus les plus dangereux, il obtient la troisième place", a-t-il ajouté. Selon la société américaine MessageLabs, Bagle.B avait été repéré dans 66 pays mercredi et atteignait un taux d'infection des courriers électroniques de 1 sur 16. Les Etats-Unis étaient les plus touchés avec 16% des e-mails contaminés, suivis par la Grande-Bretagne avec 13% et l'Allemagne avec 10%. "Il se répand toujours rapidement. C'est un cas sérieux. Mais les caractéristiques techniques du virus ne sont pas si particulières", a précisé Mikael Albrecht, de la société de sécurité informatique finlandaise F-Secure. Bagle.B, qui est programmé pour s'autodésactiver le 25 février, semble avoir d'abord été détecté en Allemagne. Sa propagation était particulièrement virulente en Pologne, en Italie et en Grande-Bretagne mardi. AFP 18.02.2004 | Le virus-ver Bagle fait son retour avec la variante Bagle.B. Si les notifications d'infection demeurent encore faibles, la France arrive cependant en deuxième position parmi les pays les plus touchés. Les utilisateurs de Windows doivent rester vigilants. Les éditeurs de logiciels antivirus alertent leurs clients sur la propagation rapide sur le net d'un nouveau virus-ver baptisé Bagle.B (alias Tanx.A). Il s'agit d'une variante de Bagle, le ver apparu en janvier dernier et qui transformait les machines contaminées en autant de relais pour envoyer des "spams", ces messages électroniques non sollicités à caractère commercial. Découvert le 17 février, Bagle.B est passé du stade d'alerte "modérée" à celui de "critique" chez le finlandais F-Secure. Pour sa part, Symantec l'a laissé en niveau 3 sur son échelle de risque qui en compte 5. «L'ampleur de l'épidémie n'a rien à voir avec un Mydoom dont la propagation était encore exponentielle 12 heures après son apparition», tempère Damase Tricart, chef de produit chez Symantec France. ZDNet lui attribue un indice de dangerosité de 6 sur une échelle de 10. Un correctif est disponible dans notre rubrique "Télécharger". Si des notifications d'infections ont été rapportées depuis la France, l'Allemagne et les États-Unis, elles demeurent en effet faibles. L'Hexagone arrive cependant en deuxième position des pays les plus touchés avec une vingtaine de machines infectées, selon Trend Micro contre 263 aux États-Unis. Un "mass mailler" spammeur Bagle.B est un mass mailler des plus classiques. Il cible les machines équipées du système d'exploitation Windows. Les utilisateurs d'un OS GNU/Linux ou de MacOS sont donc à l'abri. Ce ver arrive via la messagerie internet sous la forme d'un e-mail, accompagné d'une pièce jointe contenant le virus. L'objet, en anglais, est de type : "ID / caractères variables / … thanks" avec un fichier exécutable (extension ".exe") pesant 11,3 Ko. En arrivant sur le système, Bagle.B s'exécute automatiquement même si l'utilisateur n'ouvre pas la pièce jointe. Il collecte alors toutes les adresses e-mails qu'il peut trouver dans les fichiers HTM, HTML, TXT et WAB. Il se renvoie alors à toutes ses adresses grâce à son propre moteur d'envoi de courrier (protocole SMTP). Le ver se copie également sur le système afin d'être lancé en mémoire à chaque démarrage de la machine. S'il ne détruit aucune donnée, il peut, comme tout mass mailer, saturer les réseaux. Mais à l'instar de Bagle, sa principale fonction est d'ouvrir une porte dérobée ("backdoor") sur la machine infectée. Bagle.B ouvre ainsi le port TCP 8866 et envoie un message comportant des informations à propos de la machine infectée à différents sites internet, notamment en Allemagne. Tant que la porte n'est pas close, la machine contaminée peut être exploitée en y plaçant, par exemple, un serveur "proxy", afin de l'utiliser comme relais pour envoyer des spams. «Nous pensons que, comme pour la famille Sobig, nous allons assister à l'apparition d'une famille Bagle, utilisée pour véhiculer du spam sur Internet», explique ainsi Eugenio Correnti, directeur technique de F-Secure France. Enfin, Bagle.B est programmé pour cesser toute activité le 25 février prochain. D'autres variantes sont donc attendues. Comme à l'accoutumée, les éditeurs de logiciels antivirus recommandent à leurs clients de mettre à jour leur protection; des additifs sont d'ores et déjà disponibles. ZDNet 18.02.2004 |
| jeudi 19 février 2004, 16h35 Le virus informatique Bagle.B s'essouffle HELSINKI, 19 fév (AFP) - La propagation de la variante B du "ver" informatique Bagle s'essoufflait jeudi, contrée par les programmes antivirus, ont indiqué des experts en sécurité informatique. "La propagation semble ralentir, car la plupart des gens ont mis à jour leurs logiciels antivirus, mais il va rester encore un peu", a noté Katrin Tocheva, de la société finlandaise F-Secure. De toutes façons, le virus est autoprogrammé pour mourir le 25 février, a-t-elle ajouté. Découvert mardi, Bagle.B est une variante du ver Bagle.A qui était apparu le 18 janvier. Selon la société américaine MessageLabs, Bagle.B avait été repéré dans 66 pays mercredi et a atteint un taux d'infection des courriers électroniques de 1 sur 16, ce qui en a fait le troisième virus le plus virulent de l'histoire, après Mydoom.A et Sobig.F. Comme Mydoom, Bagle.B installe des portes dérobées sur les machines des internautes, les ouvrant littéralement à des utilisateurs étrangers. Le ver amène également la machine à ouvrir quatre pages sur l'internet. Les deux versions de Bagle étant apparues avec un mois d'écart, un Bagle.C pourrait faire son apparition le 18 mars, avertissaient jeudi les analystes. "Si le schéma est suivi, il semble que nous aurons un ver similaire, hautement perturbant, dans un mois", a mis en garde Mme Tocheva. AFP 19.02.2004 | SEATTLE - Un nouveau virus informatique de type ver, appelé "netsky.B", est apparu sur internet mercredi, la plupart des experts en sécurité informatique ne le considérant cependant que moyennement dangereux. "C'est un virus dont le taux d'infection est très faible", a déclaré David Perry de la société de sécurité informatique Trend Micro, des considérations qui en font un ver plus gênant que dangereux pour les ordinateurs contaminés. Une fois activé, le ver s'expédie lui-même grâce aux carnets d'adresses de messageries électroniques contenus sur le disque dur. Netsky.B se présente en général comme un message provenant d'une personne connue avec en pièce jointe un fichier de type Microsoft Word le titre peut être "à lire immédiatement (read it immediately)" ou "quelque chose pour toi (something for you)". La société spécialisée dans les programmes et services antivirus Network Associates a déclaré que l'activité de netsky.B semblait être concentrée en Europe, et plus particulièrement aux Pays-Bas. Liberation 18.02.2004 | Les fournisseurs d'accès semblent soulagés, mais restent mobilisés. Face à la grogne générale provoquée par un amendement de la LEN (loi sur l'économie numérique), qui prévoit une obligation de surveillance des contenus par les hébergeurs, Nicole Fontaine a décidé de mettre de l'eau dans son vin. Fin de l'obligation de surveillance ? Ainsi, lors du vote de la loi sur les communications électroniques la semaine dernière à l'Assemblée nationale, la ministre de l'Industrie a souhaité qu'un amendement similaire soit retiré. Elle préférait en effet que la solution à cette question "soit trouvée dans le cadre de la deuxième lecture de la loi sur l'économie numérique" qui aura lieu en avril. Depuis, le dialogue entre les FAI et la ministre semble porter ses fruits. Lundi, l'Association des fournisseurs d'accès (AFA) a publié un communiqué dans lequel elle dit "accueillir avec satisfaction le volonté de Nicole Fontaine de faire retirer de la LEN l'obligation de surveillance des contenus qui, en l'état actuel, s'imposait aux fournisseurs d'hébergement". Le filtrage, "notoirement inefficace" Pour l'AFA, tous les points litigieux ne sont pas pour autant réglés. Dans le même communiqué, l'association attire l'attention sur un autre article de la LEN, qui concerne l'obligation de filtrage par les fournisseurs d'accès, qui pourrait être imposée par un juge. Pour les FAI, de telles mesures "ne sont pas prévues par la directive européenne sur le commerce électronique et sont notoirement inefficaces", car il est possible à "n'importe quel utilisateur" de le contourner. Plutôt qu'un nouveau texte dont les mesures comportent de nombreux "aspects pervers", les FAI préféreraient travailler conjointement avec le gouvernement pour "renforcer toutes les mesures existantes sans en passer par une inscription de cette obligation de surveillance dans la loi", a expliqué un porte-parole de l'AFA à nos confrères de Grandlink. Cela pourrait passer par la rédaction d'une charte, l'amélioration des mesures déjà mises en œuvre. "Nous ne réinventons pas la poudre, les moyens juridiques existent, il s'agit de les renforcer pour les rendre plus visibles", affirme l'AFA. tf1 17.02.2004 |
| Le virus-ver Bagle fait son retour avec la variante Bagle.B. Si les notifications d'infection demeurent encore faibles, la France arrive cependant en deuxième position parmi les pays les plus touchés. Les utilisateurs de Windows doivent rester vigilants. Les éditeurs de logiciels antivirus alertent leurs clients sur la propagation rapide sur le net d'un nouveau virus-ver baptisé Bagle.B (alias Tanx.A). Il s'agit d'une variante de Bagle, le ver apparu en janvier dernier et qui transformait les machines contaminées en autant de relais pour envoyer des "spams", ces messages électroniques non sollicités à caractère commercial. Découvert le 17 février, Bagle.B est passé du stade d'alerte "modérée" à celui de "critique" chez le finlandais F-Secure. Pour sa part, Symantec l'a laissé en niveau 3 sur son échelle de risque qui en compte 5. «L'ampleur de l'épidémie n'a rien à voir avec un Mydoom dont la propagation était encore exponentielle 12 heures après son apparition», tempère Damase Tricart, chef de produit chez Symantec France. ZDNet lui attribue un indice de dangerosité de 6 sur une échelle de 10. Un correctif est disponible dans notre rubrique "Télécharger". Si des notifications d'infections ont été rapportées depuis la France, l'Allemagne et les États-Unis, elles demeurent en effet faibles. L'Hexagone arrive cependant en deuxième position des pays les plus touchés avec une vingtaine de machines infectées, selon Trend Micro contre 263 aux États-Unis. Un "mass mailler" spammeur Bagle.B est un mass mailler des plus classiques. Il cible les machines équipées du système d'exploitation Windows. Les utilisateurs d'un OS GNU/Linux ou de MacOS sont donc à l'abri. Ce ver arrive via la messagerie internet sous la forme d'un e-mail, accompagné d'une pièce jointe contenant le virus. L'objet, en anglais, est de type : "ID / caractères variables / … thanks" avec un fichier exécutable (extension ".exe") pesant 11,3 Ko. En arrivant sur le système, Bagle.B s'exécute automatiquement même si l'utilisateur n'ouvre pas la pièce jointe. Il collecte alors toutes les adresses e-mails qu'il peut trouver dans les fichiers HTM, HTML, TXT et WAB. Il se renvoie alors à toutes ses adresses grâce à son propre moteur d'envoi de courrier (protocole SMTP). Le ver se copie également sur le système afin d'être lancé en mémoire à chaque démarrage de la machine. S'il ne détruit aucune donnée, il peut, comme tout mass mailer, saturer les réseaux. Mais à l'instar de Bagle, sa principale fonction est d'ouvrir une porte dérobée ("backdoor") sur la machine infectée. Bagle.B ouvre ainsi le port TCP 8866 et envoie un message comportant des informations à propos de la machine infectée à différents sites internet, notamment en Allemagne. Tant que la porte n'est pas close, la machine contaminée peut être exploitée en y plaçant, par exemple, un serveur "proxy", afin de l'utiliser comme relais pour envoyer des spams. «Nous pensons que, comme pour la famille Sobig, nous allons assister à l'apparition d'une famille Bagle, utilisée pour véhiculer du spam sur Internet», explique ainsi Eugenio Correnti, directeur technique de F-Secure France. Enfin, Bagle.B est programmé pour cesser toute activité le 25 février prochain. D'autres variantes sont donc attendues. Comme à l'accoutumée, les éditeurs de logiciels antivirus recommandent à leurs clients de mettre à jour leur protection; des additifs sont d'ores et déjà disponibles. ZDNet 18.02.2004 | Encore peu répandu, le ver Bizex vise exclusivement l'application de messagerie instantanée ICQ, sur plateforme Windows. Un programme malicieux qui fait surtout figure de test pour un nouveau vecteur de propagation. L'éditeur de logiciels antivirus Kaspersky Labs signale la découverte de "Bizex", un virus-ver, pour l'instant très discret, mais plutôt innovant du point de vue du mode de propagation. En effet, ce virus ne cible que les utilisateurs du programme de messagerie instanée ICQ sur plateforme Windows. Ce logiciel est utilisé par 150 millions d'internautes dans le monde, selon son éditeur, une division d'America Online. «Cela est très rare et il s'agit à ma connaissance d'un des premiers du genre», explique à ZDNet Marc Blanchard, chercheur spécialisé en technologie antivirus chez Kaspersky France. «Il s'agit vraisemblablement d'un proof of concept, c'est-à-dire d'un test grandeur nature pour étudier l'efficacité du seul logiciel ICQ, comme vecteur de propagation. En général, les virus se propagent par ICQ, mais aussi par e-mail. Si l'expérience s'avère un succès, il pourrait faire des émules.» Depuis le 24 février au matin, le ver n'a été décelé que sur quelques ordinateurs en Russie. Concrètement, l’utilisateur reçoit un message sur une fenêtre ICQ qui l’invite à visiter un site internet de blagues (Jukebox ou Jukeworld). Le message intègre une URL censée mener à ce site. En cliquant sur cette adresse, l'internaute va se connecter, via son navigateur, vers un site web "appât" créé par les auteurs du ver. «Il voit alors un dessin animé. Pendant qu’il regarde cette vidéo anodine, un virus java pénètre dans son système» poursuit l'expert de Kaspersky. Un dessin animé qui fait diversion Des fichiers sont alors copiés sur le disque dur, puis le virus renvoie automatiquement le message piègé, via ICQ, à toutes les adresses figurant dans la liste des correspondants de l'outil de messagerie instantanée. Ce programme malicieux est encore en cours d'analyse afin d'en déterminer toutes les subtilités, précise l'éditeur. Dans l'immédiat, Kaspersky Labs recommande vivement aux utilisateurs de ICQ de supprimer immédiatement tout message, contenant un lien vers les sites "jokebox" ou "jukeworld", et de ne chercher à les visiter sous aucun prétexte. ZDNet 24.02.2004 | |
Si vous connaissez votre ennemi et si vous savez ce que vous valez, vous n'avez pas besoin de craindre vos prochaines batailles. Si vous savez ce que vous valez et rien sur votre ennemi, pour chaque victoire remportée, vous subirez une défaite. Si vous ne connaissez rien sur vous-même ni sur votre ennemi, vous succomberez à chaque bataille. Sun Tzu-The Art of War
Cette chronique vous intéresse, indiquez-moi des liens intéressants...
