On
croyait la tactique remisée au placard depuis l’affaire du
Michelangelo en 1992. Mais non, la firme américaine Network
Associates (NAI), qui a racheté l’antivirus McAfee, ne s’est pas
privée de réactiver la stratégie de la terreur au
virus. Le lundi 21 décembre, soit quelques jours avant la
clôture de la Bourse pour les fêtes de fin d’année,
NAI alerte la presse du monde entier pour lui annoncer avoir mis la
main sur un spécimen de «
nouveau »
virus, que l’éditeur a
baptisé Remote Explorer et qu’il décrit de manière
terrifiante, allant jusqu’à le qualifier d’acte de
cyberterrorisme.
Tous les bataillons d’attachés de presse de son agence de
relations publiques (CopyThorne & Bellows) sont priés
d’appeler un par un les journalistes, dans chaque pays, pour leur
annoncer la nouvelle effrayante et leur proposer - quel honneur ! - une
interview individuelle par téléphone de Peter Watkins
(responsable de la division Sécurité de NAI). Au passage,
quelques journalistes français contactés par NAI au
téléphone ne se privent pas de plaisanter entre eux,
assurant que si NAI a préféré contacter les
journalistes par téléphone et non par courrier
électronique, c’est sans doute pour éviter de refaire la
grosse bourde du mois précédent qui avait
déclenché des fous rires dans les newsgroups : en effet,
en novembre dernier, l’agence de presse de NAI avait diffusé un
communiqué de presse... malencontreusement infecté
par un virus
(WM97/ClassB) !
Dans le
newsgroup alt.comp.virus,
Jack Clark, l’un des analystes de NAI, reconnaissait les faits en
citant l’explication donnée par Caroline Kuiper, du service
Marketing de NAI : «
Il y a
500 nouveaux virus par mois. Le virus n’a pas été
détecté parce que l’émetteur n’avait pas les
dernières mises à jour. » Inutile de vous
dire que dans le
newsgroup,
tout le monde a bien rigolé. Pour l’occasion, Nick Fitzgerald,
éditeur du mensuel antivirus
Virus
Bulletin, avait même rapporté que ce n’était
pas la première fois : en juin 1998, l’agence de presse de NAI
en Grande-Bretagne avait déjà transmis un
communiqué infecté par un virus (
Laroux).
Revenons à notre Remote Explorer
Pendant que les attachés de presse sont cloués au
téléphone pour alarmer les journalistes sur le virus
Remote Explorer, les commerciaux de
NAI partent cueillir le client. Ils contactent les entreprises pour les
convaincre de changer d’antivirus pour le leur, ce qui a choqué
plus d’un responsable informatique. Vous trouverez en bas de cette page
comment le virus
Remote Explorer
est décrit par NAI en France.
Dans un premier temps, l’information procurée par NAI est
relayée sans aucun recul par quelques organes de presse (entre
autres, les chaînes américaines ABC, CNN, les sites CNET
et ZDNet, le quotidien
Wall Street
Journal, etc.) et, grande première, le nom de
l’entreprise cliente de NAI victime du virus est dévoilé
! On apprend rapidement qu’il s’agit de MCI-WorldCom, un géant
américain de la téléphonie. Des chiffres
ahurissants sur l’étendue de l’infection sont publiés par
la presse : plusieurs milliers d’ordinateurs touchés. Bien plus
énorme, un journaliste américain, Jim Goldman, va
jusqu’à affirmer que le virus aurait pu détruire tout
l’internet !
La mayonnaise a pris, NAI peut se frotter les mains : à la
Bourse, ses actions grimpent de 22 % dans les jours qui suivent cette
campagne d’hystérie.
Renversement de situation
Mais, en quelques heures, les mêmes organes de presse qui avaient
répercuté les premiers l’information se mettent
maintenant à publier des articles minimisant l’affaire du
Remote Explorer. On ne parle plus
de milliers d’ordinateurs touchés, mais tout au plus d’une
cinquantaine. Des experts informatiques précisent à CNN
que l’infection a plutôt toutes les apparences d’un sabotage en
interne dirigé spécifiquement contre la firme MCI
(peut-être l’œuvre d’un employé mécontent) et qu’il
y a peu de chances que le virus se retrouve à l’extérieur
de MCI. Russ Cooper, un informaticien de chez NetbugTraq, indique qu’il
s’est mis en relation avec des gens de chez MCI-WorldCom et que
jusque-là, seules 18 à 20 machines sur les 7 000 semblent
avoir été touchées. Sur le site ZDNet (groupe Ziff
Davis), le chroniqueur Charles Cooper ne cache pas son
écoeurement face à la méthode NAI. Pour sa part,
Rob Rosenberger, le webmaster du plus célèbre site
Internet sur les rumeurs concernant les virus informatiques (
http://www.kumite.com/myths)
n’était jamais tombé dans le panneau : il accuse
ouvertement NAI d’avoir fait grimper ses actions en Bourse sur le dos
d’un de ses clients. Interrogé par nous, il indique qu’à
la place du p.-d.g. de MCI, il convoquerait immédiatement dans
son bureau Bill Larson, le p.-d.g.de NAI, pour lui réclamer des
explications !
Tollé quasi général
sur les méthodes de NAI
Du côté des éditeurs d’antivirus concurrents, c’est
le tollé quasi général sur les méthodes de
NAI. Pour la première fois dans les annales du petit monde des
antivirus, pourtant quasiment tous habitués à crier
« au loup ! » sur de nouveaux virus, on prend la
parole pour dégonfler le scoop et se plaindre de ce que NAI a
non seulement délibérément exagéré
les faits mais, encore, a pratiqué la rétention
d’information entre confrères. On apprend ainsi que NAI a mis
cinq jours pour communiquer l’échantillon du virus à ses
confrères et l’a fait seulement après avoir
organisé sa propre campagne de presse. Symantec (antivirus
Norton) indique que la firme
Microsoft, elle, en a pourtant reçu un, à la condition de
ne le communiquer à personne d’autre. En réponse à
ce reproche, le chercheur antivirus de NAI en France expliquera ce
retard à l’un de nos confrères de
Décision Micro & Réseaux
en assurant que les représentants de Network Associates au Caro
(l’organisme d’échanges entre éditeurs d’antivirus)
«
n’étaient pas
joignables lors de la découverte du virus Explorer
». Ciel ! Alors comment Microsoft a-t-il reçu son propre
échantillon ? Les chercheurs « injoignables »
étaient donc partis en week-end malgré la gravité
de la situation ? Ont-ils été licenciés depuis
pour cette insouciance impardonnable ? Les publicités des
antivirus affirmant disposer d’un grand nombre de chercheurs,
travaillant par équipes 24 heures sur 24, seraient-elles
mensongères ? Ou bien les « injoignables » de NAI
seraient-ils soudain tombés tous mystérieusement en panne
de messagerie électronique ?
Ce virus n’a rien de spécial
Quoi qu’il en soit, la nouveauté et la dangerosité
réelle du fameux virus, n’est pas évaluée de la
même manière par les concurrents. Lorsqu’ils ont enfin pu
récupérer un échantillon de virus et l’analyser
eux-mêmes, les concurrents de NAI en produisent des descriptions
techniques qui ramènent les faits à une
réalité nettement moins dramatique que celle
claironnée par NAI. Eugène Kapersky (AVP) se fâche
dans un communiqué titré : «
NAI a fait un éléphant d’une
mouche. » Il déclare que «
le virus ne détourne aucun
événement Windows NT
, ne fait appel à aucun protocole
réseau NT
et ne se
reproduit pas sur l’ensemble du Réseau hôte. De plus, des
virus DOS
ordinaires
possèdent les mêmes fonctionnalités Réseau
que ce virus et peuvent infecter des fichiers sur des unités
partagées, demeurer résident, etc. » «
Ce n’est jamais qu’un virus
parasite standard simplement assorti de la capacité de
fonctionner comme un Service NT » ajoute le
communiqué d’AVP, qui conclut : «
Ce virus n’a rien démontré
de spécial, mise à part la malhonnêteté d’un
des plus gros éditeurs antivirus qui a, ce faisant, jeté
le discrédit sur la communauté des chercheurs antivirus.
»
«
Ce n’est pas une menace
majeure », lit-on sur le site de Datafellows (antivirus
F-Secure), qui indique que «
le virus utilise des méthodes
avancées qui peuvent causer des soucis dans une organisation
basée NT
, mais il ne se
répand pas facilement d’une organisation à une autre
». Rob Rosenberger confirme que le virus n’a rien de
spécial, et que le fait qu’il fonctionne comme un Service
NT n’a rien d’étonnant.
«
Les produits antivirus de
NAI fonctionnent comme Service NT
, aussi, exactement comme des centaines
d’utilitaires NT
du
marché aujourd’hui. Des sociétés procurent des
utilitaires NT
qui ont la
capacité de déployer sur le réseau les produits
NAI (demandez à votre vendeur d’antivirus si vous ne me croyez
pas). Pour quelle raison devrions-nous frémir de peur quand un
virus se met à exploiter les mêmes techniques
trouvées dans les utilitaires Microsoft, dont Windows NT
? Un virus exploite finalement les
techniques utilisées dans des centaines d’utilitaires Windows
NT
. Et alors ? Les auteurs de virus
n’ont pas fait avancer l’état de l’art. Cette fois, ils ont pris
le train en marche. »
Moralité
Dans sa colère, il va même jusqu’à prédire
qu’un auteur de virus pourrait créer de cette manière un
virus dont la mission serait d’aller désinstaller tous les
antivirus NAI. Dans les
newsgroups,
même réprobation : des internautes reprochent
à NAI sa tactique marchande de la frayeur, et se disent
dégoûtés par l’hystérie provoquée.
Nick Fitzgerald, l’éditeur de
Virus
Bulletin, n’hésite pas non plus à critiquer
NAI pour cette opération de désinformation : «
Remote Explorer
n’est pas du tout la
menace dépeinte par NAI. » «
Tout le cirque fait par NAI ne sert
à rien ni pour les utilisateurs, ni pour les antivirus.
» D’ailleurs, à notre connaissance, le virus
Remote Explorer n’a bel et bien
jamais été rencontré ailleurs depuis. La montagne
a accouché d’une souris.
Morale de l’histoire :
- La tactique de la frayeur marche toujours bien, et peut
rapporter gros.
- Cette tactique a encore de beaux jours devant elle, tant que des
journalistes la crédibiliseront en se bornant à
répéter sans réfléchir le contenu des
communiqués de presse.
Si l’on décrypte un peu l’information, on peut aisément
se rendre compte que derrière le tapage orchestré par
l’éditeur d’antivirus, un de ses gros clients a quand même
subi une infection. Et une infection grave, si on prend à la
lettre son alerte internationale à la presse. Dans cette
histoire, l’éditeur antivirus semble n’être venu à
bout du problème de son client qu’au bout de trois jours. Quant
aux autres utilisateurs, il leur aura fallu patienter quatre jours
après le début de l’infection chez un client victime pour
qu’une mise à jour du logiciel détectant ce «
dangereux » virus soit mise à leur disposition sur le site
Web de l’éditeur...)
- Pas de quoi pavoiser ! Quant à la pseudo-solidarité des
chercheurs antivirus pour le bien des utilisateurs du monde entier,
à d’autres !
Extrait du communiqué de presse NAI
« Remote Explorer » (alias IE403E)
Par le biais de son équipe AVERT (Anti Virus Emergency Response
Team), Network Associates vient d’identifier un virus d’une nouvelle
génération qui a la capacité de se propager
très rapidement à travers les réseaux
informatiques publics ou privés. En s’installant de
lui-même sur des serveurs Windows NT, ce nouveau virus a une
capacité de diffusion déconcertante et un pouvoir
destructeur certain. Remote Explorer se propage sans aucune action de
l’utilisateur et crypte au passage des documents et des programmes
aussi bien sur LAN que WAN.
Remote Explorer prouve qu’une nouvelle étape a été
franchie dans la mise en oeuvre de code malveillant. Ecrit en langage
« C », sa mise au point semble avoir
nécessité de nombreuses heures de travail par des
programmeurs très qualifiés.
Remote Explorer a été découvert jeudi 17
décembre 1998 chez une des cent plus importantes entreprises
américaines (Fortune 100). Le virus avait attaqué plus de
10 sites centraux et des milliers de stations de travail. Une partie de
l’activité industrielle de ce client a dû être
arrêtée et divers segments de son infrastructure
Réseau ont dû être isolés pour éviter
la poursuite de la propagation du virus. Après un week-end de
travail, et grâce aux efforts concertés de Network
Associates et de Microsoft, l’activité a repris son cours normal
hier.
L’équipe AVERT met à la disposition de ses clients un
moyen de détection aussi bien avec la V3 qu’avec la V4.
Vous trouverez les mises à jour sur notre site, à
l’adresse http://www.nai.com/products/antivirus/remote_explorer.asp.
[…]
Se propageant de lui-même à travers
l’entreprise ciblée, cryptant des données et
d’empêchant l’exécution de programme, ce virus a la
capacité d’arrêter l’activité des entreprises qui
deviennent maintenant dépendantes de leur système
d’information. Ce type de scénario avait été
envisagé par des chercheurs et agences gouvernementales comme le
résultat d’un futur « cyberterrorisme ». Nous y
voila aujourd’hui !
Nous vous recommandons donc fortement d’utiliser les
moyens mis à votre disposition sur notre site Web pour
éviter la propagation de ce virus.
[…]
|
|
Comment les éditeurs
récupèrent les virus ?
Un éditeur d’antivirus qui proclame avoir découvert un
virus et profite de l’occasion pour faire croire qu’il est le meilleur
expert de la question, c’est courant. Mais c’est de la pure
désinformation. Car, en réalité, les virus
arrivent le plus souvent par hasard chez les éditeurs
d’antivirus.
Cas le plus commun : un utilisateur se fait contaminer par un virus qui
n’est pas détecté par l’antivirus qu’il a acheté.
L’éditeur d’antivirus en question lui demande alors de lui
envoyer le fichier contaminé pour analyse. Après cette
analyse, l’éditeur d’antivirus en incorpore la signature dans sa
base de signatures et propose un peu plus tard une mise à jour
de son logiciel. Dans ce cas, récupérer un nouveau virus,
c’est aussi hasardeux que de jouer à la loterie. Soit le virus
tape un client de l’antivirus X, soit il frappe le client de
l’antivirus Y.
Autre cas : le virus est récupéré par un antivirus
concurrent qui, après analyse, le communique aux autres
antivirus, qui l’analyseront à leur tour, etc.
Enfin, il arrive que pour aller plus vite dans la course aux virus, des
éditeurs d’antivirus reçoivent ou recherchent le concours
des auteurs de virus. Soit l’éditeur d’antivirus va
récupérer sur les sites Web d’auteurs de virus les
dernières créations virales, soit des auteurs de virus
transmettent directement leurs dernières créatures
à des éditeurs d’antivirus choisis, soit, selon des
auteurs de virus, des éditeurs d’antivirus les sollicitent pour
qu’ils leur livrent leurs programmes viraux.
|
|