[accueil]
Paru dans Le Virus Informatique n°HS2
Network Associates (McAfee) et le virus Remote Explorer : votre peur les intéresse !
On
croyait la tactique remisée au placard depuis l’affaire du
Michelangelo en 1992. Mais non, la firme américaine Network
Associates (NAI), qui a racheté l’antivirus McAfee, ne s’est pas
privée de réactiver la stratégie de la terreur au
virus. Le lundi 21 décembre, soit quelques jours avant la
clôture de la Bourse pour les fêtes de fin d’année,
NAI alerte la presse du monde entier pour lui annoncer avoir mis la
main sur un spécimen de « nouveau » virus, que l’éditeur a
baptisé Remote Explorer et qu’il décrit de manière
terrifiante, allant jusqu’à le qualifier d’acte de
cyberterrorisme.
Tous les bataillons d’attachés de presse de son agence de relations publiques (CopyThorne & Bellows) sont priés d’appeler un par un les journalistes, dans chaque pays, pour leur annoncer la nouvelle effrayante et leur proposer - quel honneur ! - une interview individuelle par téléphone de Peter Watkins (responsable de la division Sécurité de NAI). Au passage, quelques journalistes français contactés par NAI au téléphone ne se privent pas de plaisanter entre eux, assurant que si NAI a préféré contacter les journalistes par téléphone et non par courrier électronique, c’est sans doute pour éviter de refaire la grosse bourde du mois précédent qui avait déclenché des fous rires dans les newsgroups : en effet, en novembre dernier, l’agence de presse de NAI avait diffusé un communiqué de presse... malencontreusement infecté par un virus (WM97/ClassB) ! Dans le newsgroup alt.comp.virus, Jack Clark, l’un des analystes de NAI, reconnaissait les faits en citant l’explication donnée par Caroline Kuiper, du service Marketing de NAI : « Il y a 500 nouveaux virus par mois. Le virus n’a pas été détecté parce que l’émetteur n’avait pas les dernières mises à jour. » Inutile de vous dire que dans le newsgroup, tout le monde a bien rigolé. Pour l’occasion, Nick Fitzgerald, éditeur du mensuel antivirus Virus Bulletin, avait même rapporté que ce n’était pas la première fois : en juin 1998, l’agence de presse de NAI en Grande-Bretagne avait déjà transmis un communiqué infecté par un virus (Laroux).
Pendant que les attachés de presse sont cloués au téléphone pour alarmer les journalistes sur le virus Remote Explorer, les commerciaux de NAI partent cueillir le client. Ils contactent les entreprises pour les convaincre de changer d’antivirus pour le leur, ce qui a choqué plus d’un responsable informatique. Vous trouverez en bas de cette page comment le virus Remote Explorer est décrit par NAI en France.
Dans un premier temps, l’information procurée par NAI est relayée sans aucun recul par quelques organes de presse (entre autres, les chaînes américaines ABC, CNN, les sites CNET et ZDNet, le quotidien Wall Street Journal, etc.) et, grande première, le nom de l’entreprise cliente de NAI victime du virus est dévoilé ! On apprend rapidement qu’il s’agit de MCI-WorldCom, un géant américain de la téléphonie. Des chiffres ahurissants sur l’étendue de l’infection sont publiés par la presse : plusieurs milliers d’ordinateurs touchés. Bien plus énorme, un journaliste américain, Jim Goldman, va jusqu’à affirmer que le virus aurait pu détruire tout l’internet !
La mayonnaise a pris, NAI peut se frotter les mains : à la Bourse, ses actions grimpent de 22 % dans les jours qui suivent cette campagne d’hystérie.
Mais, en quelques heures, les mêmes organes de presse qui avaient répercuté les premiers l’information se mettent maintenant à publier des articles minimisant l’affaire du Remote Explorer. On ne parle plus de milliers d’ordinateurs touchés, mais tout au plus d’une cinquantaine. Des experts informatiques précisent à CNN que l’infection a plutôt toutes les apparences d’un sabotage en interne dirigé spécifiquement contre la firme MCI (peut-être l’œuvre d’un employé mécontent) et qu’il y a peu de chances que le virus se retrouve à l’extérieur de MCI. Russ Cooper, un informaticien de chez NetbugTraq, indique qu’il s’est mis en relation avec des gens de chez MCI-WorldCom et que jusque-là, seules 18 à 20 machines sur les 7 000 semblent avoir été touchées. Sur le site ZDNet (groupe Ziff Davis), le chroniqueur Charles Cooper ne cache pas son écoeurement face à la méthode NAI. Pour sa part, Rob Rosenberger, le webmaster du plus célèbre site Internet sur les rumeurs concernant les virus informatiques (http://www.kumite.com/myths) n’était jamais tombé dans le panneau : il accuse ouvertement NAI d’avoir fait grimper ses actions en Bourse sur le dos d’un de ses clients. Interrogé par nous, il indique qu’à la place du p.-d.g. de MCI, il convoquerait immédiatement dans son bureau Bill Larson, le p.-d.g.de NAI, pour lui réclamer des explications !
Du côté des éditeurs d’antivirus concurrents, c’est le tollé quasi général sur les méthodes de NAI. Pour la première fois dans les annales du petit monde des antivirus, pourtant quasiment tous habitués à crier « au loup ! » sur de nouveaux virus, on prend la parole pour dégonfler le scoop et se plaindre de ce que NAI a non seulement délibérément exagéré les faits mais, encore, a pratiqué la rétention d’information entre confrères. On apprend ainsi que NAI a mis cinq jours pour communiquer l’échantillon du virus à ses confrères et l’a fait seulement après avoir organisé sa propre campagne de presse. Symantec (antivirus Norton) indique que la firme Microsoft, elle, en a pourtant reçu un, à la condition de ne le communiquer à personne d’autre. En réponse à ce reproche, le chercheur antivirus de NAI en France expliquera ce retard à l’un de nos confrères de Décision Micro & Réseaux en assurant que les représentants de Network Associates au Caro (l’organisme d’échanges entre éditeurs d’antivirus) « n’étaient pas joignables lors de la découverte du virus Explorer ». Ciel ! Alors comment Microsoft a-t-il reçu son propre échantillon ? Les chercheurs « injoignables » étaient donc partis en week-end malgré la gravité de la situation ? Ont-ils été licenciés depuis pour cette insouciance impardonnable ? Les publicités des antivirus affirmant disposer d’un grand nombre de chercheurs, travaillant par équipes 24 heures sur 24, seraient-elles mensongères ? Ou bien les « injoignables » de NAI seraient-ils soudain tombés tous mystérieusement en panne de messagerie électronique ?
Quoi qu’il en soit, la nouveauté et la dangerosité réelle du fameux virus, n’est pas évaluée de la même manière par les concurrents. Lorsqu’ils ont enfin pu récupérer un échantillon de virus et l’analyser eux-mêmes, les concurrents de NAI en produisent des descriptions techniques qui ramènent les faits à une réalité nettement moins dramatique que celle claironnée par NAI. Eugène Kapersky (AVP) se fâche dans un communiqué titré : « NAI a fait un éléphant d’une mouche. » Il déclare que « le virus ne détourne aucun événement Windows NT, ne fait appel à aucun protocole réseau NT et ne se reproduit pas sur l’ensemble du Réseau hôte. De plus, des virus DOS ordinaires possèdent les mêmes fonctionnalités Réseau que ce virus et peuvent infecter des fichiers sur des unités partagées, demeurer résident, etc. » « Ce n’est jamais qu’un virus parasite standard simplement assorti de la capacité de fonctionner comme un Service NT » ajoute le communiqué d’AVP, qui conclut : « Ce virus n’a rien démontré de spécial, mise à part la malhonnêteté d’un des plus gros éditeurs antivirus qui a, ce faisant, jeté le discrédit sur la communauté des chercheurs antivirus. »
« Ce n’est pas une menace majeure », lit-on sur le site de Datafellows (antivirus F-Secure), qui indique que « le virus utilise des méthodes avancées qui peuvent causer des soucis dans une organisation basée NT, mais il ne se répand pas facilement d’une organisation à une autre ». Rob Rosenberger confirme que le virus n’a rien de spécial, et que le fait qu’il fonctionne comme un Service NT n’a rien d’étonnant. « Les produits antivirus de NAI fonctionnent comme Service NT, aussi, exactement comme des centaines d’utilitaires NT du marché aujourd’hui. Des sociétés procurent des utilitaires NT qui ont la capacité de déployer sur le réseau les produits NAI (demandez à votre vendeur d’antivirus si vous ne me croyez pas). Pour quelle raison devrions-nous frémir de peur quand un virus se met à exploiter les mêmes techniques trouvées dans les utilitaires Microsoft, dont Windows NT ? Un virus exploite finalement les techniques utilisées dans des centaines d’utilitaires Windows NT. Et alors ? Les auteurs de virus n’ont pas fait avancer l’état de l’art. Cette fois, ils ont pris le train en marche. »
Dans sa colère, il va même jusqu’à prédire qu’un auteur de virus pourrait créer de cette manière un virus dont la mission serait d’aller désinstaller tous les antivirus NAI. Dans les newsgroups, même réprobation : des internautes reprochent à NAI sa tactique marchande de la frayeur, et se disent dégoûtés par l’hystérie provoquée. Nick Fitzgerald, l’éditeur de Virus Bulletin, n’hésite pas non plus à critiquer NAI pour cette opération de désinformation : « Remote Explorer n’est pas du tout la menace dépeinte par NAI. » « Tout le cirque fait par NAI ne sert à rien ni pour les utilisateurs, ni pour les antivirus. » D’ailleurs, à notre connaissance, le virus Remote Explorer n’a bel et bien jamais été rencontré ailleurs depuis. La montagne a accouché d’une souris.
Morale de l’histoire :
- La tactique de la frayeur marche toujours bien, et peut rapporter gros.
- Cette tactique a encore de beaux jours devant elle, tant que des journalistes la crédibiliseront en se bornant à répéter sans réfléchir le contenu des communiqués de presse.
Si l’on décrypte un peu l’information, on peut aisément se rendre compte que derrière le tapage orchestré par l’éditeur d’antivirus, un de ses gros clients a quand même subi une infection. Et une infection grave, si on prend à la lettre son alerte internationale à la presse. Dans cette histoire, l’éditeur antivirus semble n’être venu à bout du problème de son client qu’au bout de trois jours. Quant aux autres utilisateurs, il leur aura fallu patienter quatre jours après le début de l’infection chez un client victime pour qu’une mise à jour du logiciel détectant ce « dangereux » virus soit mise à leur disposition sur le site Web de l’éditeur...)
- Pas de quoi pavoiser ! Quant à la pseudo-solidarité des chercheurs antivirus pour le bien des utilisateurs du monde entier, à d’autres !
Tous les bataillons d’attachés de presse de son agence de relations publiques (CopyThorne & Bellows) sont priés d’appeler un par un les journalistes, dans chaque pays, pour leur annoncer la nouvelle effrayante et leur proposer - quel honneur ! - une interview individuelle par téléphone de Peter Watkins (responsable de la division Sécurité de NAI). Au passage, quelques journalistes français contactés par NAI au téléphone ne se privent pas de plaisanter entre eux, assurant que si NAI a préféré contacter les journalistes par téléphone et non par courrier électronique, c’est sans doute pour éviter de refaire la grosse bourde du mois précédent qui avait déclenché des fous rires dans les newsgroups : en effet, en novembre dernier, l’agence de presse de NAI avait diffusé un communiqué de presse... malencontreusement infecté par un virus (WM97/ClassB) ! Dans le newsgroup alt.comp.virus, Jack Clark, l’un des analystes de NAI, reconnaissait les faits en citant l’explication donnée par Caroline Kuiper, du service Marketing de NAI : « Il y a 500 nouveaux virus par mois. Le virus n’a pas été détecté parce que l’émetteur n’avait pas les dernières mises à jour. » Inutile de vous dire que dans le newsgroup, tout le monde a bien rigolé. Pour l’occasion, Nick Fitzgerald, éditeur du mensuel antivirus Virus Bulletin, avait même rapporté que ce n’était pas la première fois : en juin 1998, l’agence de presse de NAI en Grande-Bretagne avait déjà transmis un communiqué infecté par un virus (Laroux).
Revenons à notre Remote Explorer
Pendant que les attachés de presse sont cloués au téléphone pour alarmer les journalistes sur le virus Remote Explorer, les commerciaux de NAI partent cueillir le client. Ils contactent les entreprises pour les convaincre de changer d’antivirus pour le leur, ce qui a choqué plus d’un responsable informatique. Vous trouverez en bas de cette page comment le virus Remote Explorer est décrit par NAI en France.
Dans un premier temps, l’information procurée par NAI est relayée sans aucun recul par quelques organes de presse (entre autres, les chaînes américaines ABC, CNN, les sites CNET et ZDNet, le quotidien Wall Street Journal, etc.) et, grande première, le nom de l’entreprise cliente de NAI victime du virus est dévoilé ! On apprend rapidement qu’il s’agit de MCI-WorldCom, un géant américain de la téléphonie. Des chiffres ahurissants sur l’étendue de l’infection sont publiés par la presse : plusieurs milliers d’ordinateurs touchés. Bien plus énorme, un journaliste américain, Jim Goldman, va jusqu’à affirmer que le virus aurait pu détruire tout l’internet !
La mayonnaise a pris, NAI peut se frotter les mains : à la Bourse, ses actions grimpent de 22 % dans les jours qui suivent cette campagne d’hystérie.
Renversement de situation
Mais, en quelques heures, les mêmes organes de presse qui avaient répercuté les premiers l’information se mettent maintenant à publier des articles minimisant l’affaire du Remote Explorer. On ne parle plus de milliers d’ordinateurs touchés, mais tout au plus d’une cinquantaine. Des experts informatiques précisent à CNN que l’infection a plutôt toutes les apparences d’un sabotage en interne dirigé spécifiquement contre la firme MCI (peut-être l’œuvre d’un employé mécontent) et qu’il y a peu de chances que le virus se retrouve à l’extérieur de MCI. Russ Cooper, un informaticien de chez NetbugTraq, indique qu’il s’est mis en relation avec des gens de chez MCI-WorldCom et que jusque-là, seules 18 à 20 machines sur les 7 000 semblent avoir été touchées. Sur le site ZDNet (groupe Ziff Davis), le chroniqueur Charles Cooper ne cache pas son écoeurement face à la méthode NAI. Pour sa part, Rob Rosenberger, le webmaster du plus célèbre site Internet sur les rumeurs concernant les virus informatiques (http://www.kumite.com/myths) n’était jamais tombé dans le panneau : il accuse ouvertement NAI d’avoir fait grimper ses actions en Bourse sur le dos d’un de ses clients. Interrogé par nous, il indique qu’à la place du p.-d.g. de MCI, il convoquerait immédiatement dans son bureau Bill Larson, le p.-d.g.de NAI, pour lui réclamer des explications !
Tollé quasi général
sur les méthodes de NAI
Du côté des éditeurs d’antivirus concurrents, c’est le tollé quasi général sur les méthodes de NAI. Pour la première fois dans les annales du petit monde des antivirus, pourtant quasiment tous habitués à crier « au loup ! » sur de nouveaux virus, on prend la parole pour dégonfler le scoop et se plaindre de ce que NAI a non seulement délibérément exagéré les faits mais, encore, a pratiqué la rétention d’information entre confrères. On apprend ainsi que NAI a mis cinq jours pour communiquer l’échantillon du virus à ses confrères et l’a fait seulement après avoir organisé sa propre campagne de presse. Symantec (antivirus Norton) indique que la firme Microsoft, elle, en a pourtant reçu un, à la condition de ne le communiquer à personne d’autre. En réponse à ce reproche, le chercheur antivirus de NAI en France expliquera ce retard à l’un de nos confrères de Décision Micro & Réseaux en assurant que les représentants de Network Associates au Caro (l’organisme d’échanges entre éditeurs d’antivirus) « n’étaient pas joignables lors de la découverte du virus Explorer ». Ciel ! Alors comment Microsoft a-t-il reçu son propre échantillon ? Les chercheurs « injoignables » étaient donc partis en week-end malgré la gravité de la situation ? Ont-ils été licenciés depuis pour cette insouciance impardonnable ? Les publicités des antivirus affirmant disposer d’un grand nombre de chercheurs, travaillant par équipes 24 heures sur 24, seraient-elles mensongères ? Ou bien les « injoignables » de NAI seraient-ils soudain tombés tous mystérieusement en panne de messagerie électronique ?
Ce virus n’a rien de spécial
Quoi qu’il en soit, la nouveauté et la dangerosité réelle du fameux virus, n’est pas évaluée de la même manière par les concurrents. Lorsqu’ils ont enfin pu récupérer un échantillon de virus et l’analyser eux-mêmes, les concurrents de NAI en produisent des descriptions techniques qui ramènent les faits à une réalité nettement moins dramatique que celle claironnée par NAI. Eugène Kapersky (AVP) se fâche dans un communiqué titré : « NAI a fait un éléphant d’une mouche. » Il déclare que « le virus ne détourne aucun événement Windows NT, ne fait appel à aucun protocole réseau NT et ne se reproduit pas sur l’ensemble du Réseau hôte. De plus, des virus DOS ordinaires possèdent les mêmes fonctionnalités Réseau que ce virus et peuvent infecter des fichiers sur des unités partagées, demeurer résident, etc. » « Ce n’est jamais qu’un virus parasite standard simplement assorti de la capacité de fonctionner comme un Service NT » ajoute le communiqué d’AVP, qui conclut : « Ce virus n’a rien démontré de spécial, mise à part la malhonnêteté d’un des plus gros éditeurs antivirus qui a, ce faisant, jeté le discrédit sur la communauté des chercheurs antivirus. »
« Ce n’est pas une menace majeure », lit-on sur le site de Datafellows (antivirus F-Secure), qui indique que « le virus utilise des méthodes avancées qui peuvent causer des soucis dans une organisation basée NT, mais il ne se répand pas facilement d’une organisation à une autre ». Rob Rosenberger confirme que le virus n’a rien de spécial, et que le fait qu’il fonctionne comme un Service NT n’a rien d’étonnant. « Les produits antivirus de NAI fonctionnent comme Service NT, aussi, exactement comme des centaines d’utilitaires NT du marché aujourd’hui. Des sociétés procurent des utilitaires NT qui ont la capacité de déployer sur le réseau les produits NAI (demandez à votre vendeur d’antivirus si vous ne me croyez pas). Pour quelle raison devrions-nous frémir de peur quand un virus se met à exploiter les mêmes techniques trouvées dans les utilitaires Microsoft, dont Windows NT ? Un virus exploite finalement les techniques utilisées dans des centaines d’utilitaires Windows NT. Et alors ? Les auteurs de virus n’ont pas fait avancer l’état de l’art. Cette fois, ils ont pris le train en marche. »
Moralité
Dans sa colère, il va même jusqu’à prédire qu’un auteur de virus pourrait créer de cette manière un virus dont la mission serait d’aller désinstaller tous les antivirus NAI. Dans les newsgroups, même réprobation : des internautes reprochent à NAI sa tactique marchande de la frayeur, et se disent dégoûtés par l’hystérie provoquée. Nick Fitzgerald, l’éditeur de Virus Bulletin, n’hésite pas non plus à critiquer NAI pour cette opération de désinformation : « Remote Explorer n’est pas du tout la menace dépeinte par NAI. » « Tout le cirque fait par NAI ne sert à rien ni pour les utilisateurs, ni pour les antivirus. » D’ailleurs, à notre connaissance, le virus Remote Explorer n’a bel et bien jamais été rencontré ailleurs depuis. La montagne a accouché d’une souris.
Morale de l’histoire :
- La tactique de la frayeur marche toujours bien, et peut rapporter gros.
- Cette tactique a encore de beaux jours devant elle, tant que des journalistes la crédibiliseront en se bornant à répéter sans réfléchir le contenu des communiqués de presse.
Si l’on décrypte un peu l’information, on peut aisément se rendre compte que derrière le tapage orchestré par l’éditeur d’antivirus, un de ses gros clients a quand même subi une infection. Et une infection grave, si on prend à la lettre son alerte internationale à la presse. Dans cette histoire, l’éditeur antivirus semble n’être venu à bout du problème de son client qu’au bout de trois jours. Quant aux autres utilisateurs, il leur aura fallu patienter quatre jours après le début de l’infection chez un client victime pour qu’une mise à jour du logiciel détectant ce « dangereux » virus soit mise à leur disposition sur le site Web de l’éditeur...)
- Pas de quoi pavoiser ! Quant à la pseudo-solidarité des chercheurs antivirus pour le bien des utilisateurs du monde entier, à d’autres !
|
|
Sam Dirien
Vous voulez soutenir une information indépendante ? Rejoignez notre Club privé !
[contact & legal & cookies] [since 1997]