Centre de Recherche sur les Matériaux à Haute Température

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Centre de Recherche sur les Matériaux à Haute Température

 

Blanche neige

Blanche neige au scalpel : 

Article de  Florent Latrive. 

Libération du Vendredi 19 Janvier 2001

Apparu en novembre en Amérique latine, le virus Hybris, "surprise des sept nains" débarque chez nous.

Le message déboule par Email: pour les dix-huit ans de blanche neige, les sept nains, devenus coquins, lui préparent une grosse surprise, promet un certain hahaha@sexy.fun.net. Un clic sur le fichier joint censé contenir une orgie de conte de fées, et c'est la contamination: Hybris, un virus informatique apparu en novembre, poursuit sa course sur le Net, d'ordinateurs en ordinateurs. Ces dernières semaines, les cas d'infections se sont multipliés dans le monde, le propulsant notamment en tête du dernier "Top 10" français du fabriquant d'antivirus Trend Micro. Et il faudra s'habituer à le recevoir dans sa boîte aux lettres régulièrement tout au long de l'année. Pour éviter la contamination une parade simple : ne pas cliquer sur le fichier tentateur. A la fois mutant et à la propagation lente, Hybris sort du lot des centaines de virus qui apparaissent chaque année. Et mérite une dissection en règle.

 

Virus brésilien …

L'auteur principal d'Hybris est connu sous le pseudo de Vecna. Il vivait au Brésil, comme semble le confirmer les premières alertes, venues d'Amérique du Sud. Dans le petit milieu des coders il est considéré comme l'un des meilleurs selon l'un d'eux. Assez éloigné du profil du franc-tireur philippin à l'origine de I love You que personne ne connaissait avant son arrestation, Vecna est connu pour ces dons en programmation de virus. Et sa sensibilité à la quasi-mystique du genre, telle que décrite par un autre coder : «programmer un virus, c'est approcher l'émotion de ceux qui, dans les légendes, créent de la vie à partir de rien : Frankenstein, le Golem…»

De fait, le virus mutant de Vecna est l'un des plus aboutis qui soit. L'idée lui est venue juste après la diffusion de Babylonia, un virus datant de décembre 1999 qui mutait lui aussi, en allant pêcher de nouvelles propriétés sur un site web. Inconvénient : pour bloquer les mutations, il suffisait de fermer le dit site. Illico Vecna décide de perfectionner l'idée avec un virus capable de se régénérer dans un forum de discussion très couru alt.comp.virus. Au contraire d'un site web impossible ici de couper la source des charges virales : les forums sont répartis sur des centaines de machines disséminées dans le monde, et faudrait toutes les arrêter en même temps. Le concept au point, il lui faudra quasiment une année de travail et l'aide d'autre coders pour accoucher d'Hydris.

…polyglotte…

Blanche-Neige n’évoque rien en Amérique du Sud. Pour se faire comprendre de tous, Hybris peut donc s’adresser aux internautes en quatre langues : anglais, français, espagnol ou portugais. Les anglais se voient promettre les galipettes de SnowWhite. Et les espagnols, celles de Blanca de Nievey y los Enanitos. Pas de magie noire là-dessous : «C’est un virus semi-polymorphique  explique Marc Blanchard Directeur du laboratoire de recherche de l’éditeur d’antivirus Trend Micro. Il s’adapte à l’environnement de la machine infectée. Quand c’est un ordinateur français, il se réexpédie en français» ainsi si vous recevez Hybris d’un ami contaminé à New-York, vous aurez droit aux aventures de SnowWhite. S’il habite Arpajon, c’est Blanche-Neige.

…mutant…

Les coders, les auteurs de virus informatiques, ont toujours cherché à mimer au plus près les comportements les plus pointus des virus biologiques. Hybris est ainsi un mutant : une fois infiltré sur la machine cible, il ne se contente pas de se reproduire et de se réexpédier à d’autres internautes. Il se connecte via le Net sur des machines lointaines contenants différentes charges virales mises à disposition par son auteur : des plug-in, autant de fonctions différentes modifiant son mode d’action… et les dommages causés à l’ordinateur contaminé. Aucun, pour l’instant, ne semble détruire les données. C’est à peine si l’un de ces plug-in affiche une spirale à l’écran.

« depuis quelque temps, on recense une dizaine de virus de ce type, qui se servent du Net pour modifier leurs propriétés » signale Pascal Lointier, expert en virologie, qui les appelle des « virus communicants ». on est loin du rudimentaire I Love You : une fois lâché sur le Net par son créateur, celui-ci ne changeait plus. Hybris peut être contrôlé à distance par son auteur et ainsi muter sur commande : il suffit au coder, de mettre à disposition un nouveau plug-in, et tous les rejetons dispersés dans le monde se mettront à jour avant de continuer leur course. Racontant peut être cette fois PanPan le lapin et détruisant tous les fichiers des internautes.

…infectant lentement

En matière de propagation de virus, il y a le Blitzkrieg et les stratégies plus douces, selon Spanka, l’auteur du virus Happy99, très virulent il y a deux ans. I Love You était de la première catégorie : une fois parvenu sur la machine infectées, il plongeait dans le carnet d’adresses et s’expédiait tout seul à tous les correspondants de l‘utilisateur. Hybris, lui, une fois en planque sur le disque dur, surveille les e-mails sortants. Puis s’expédie dans la foulée, à chaque envoi. Résultat, alors que I Love You, parti des Philippines début mai, avait semé le bazar sur les ordinateurs de la planète en quelques heures, cette épidémie se montre beaucoup plus lente : elle suit le rythme des envois de e-mails des utilisateurs infectés. Certains internautes n’en expédient que peu. D’autres arrosent et les quelques 1600 abonnés d’une lettre d’information du site Actu ont écopé la semaine dernière d’Hybris dans leur boîte aux lettres. Repéré in the wild (dans la nature, selon le jargon des coders) début novembre 2000 en Amérique du Sud, la bête commence seulement ces temps-ci à toucher le reste de la planète. Et devrait poursuivre sa course encore de longs mois. Spanska, adepte de ce rythme lent de diffusion, aimait ainsi à recevoir dans sa boîte son propre virus Happy99 des mois après l’avoir lâché : « c’est comme un fils qui rentre à la maison pour dire bonjour »

Article de Florent Latrive

Page Up Updated 24 septembre, 2003 Hervé Chaudret
C.N.R.S.

-   Home   -  News   -   Conseils   -   Sécurité   -   Mise à jour   -   Liens   -   Accès   -

C.N.R.S.