ACBM - Le Virus Informatique qui vous défend !Retour à l'accueilLes brèvesLe magasinContacts Ecrire dans le virusListe de diffusionPetites annoncesLes concours



Paru dans Le Virus Informatique n°HS2
1999-04-02 00:00

Network Associates (McAfee) et le virus Remote Explorer : votre peur les intéresse !


On croyait la tactique remisée au placard depuis l’affaire du Michelangelo en 1992. Mais non, la firme américaine Network Associates (NAI), qui a racheté l’antivirus McAfee, ne s’est pas privée de réactiver la stratégie de la terreur au virus. Le lundi 21 décembre, soit quelques jours avant la clôture de la Bourse pour les fêtes de fin d’année, NAI alerte la presse du monde entier pour lui annoncer avoir mis la main sur un spécimen de « nouveau » virus, que l’éditeur a baptisé Remote Explorer et qu’il décrit de manière terrifiante, allant jusqu’à le qualifier d’acte de cyberterrorisme.

Tous les bataillons d’attachés de presse de son agence de relations publiques (CopyThorne & Bellows) sont priés d’appeler un par un les journalistes, dans chaque pays, pour leur annoncer la nouvelle effrayante et leur proposer - quel honneur ! - une interview individuelle par téléphone de Peter Watkins (responsable de la division Sécurité de NAI). Au passage, quelques journalistes français con­tactés par NAI au téléphone ne se privent pas de plaisanter entre eux, assurant que si NAI a préféré contacter les journalistes par téléphone et non par courrier électronique, c’est sans doute pour éviter de refaire la grosse bourde du mois précédent qui avait déclenché des fous rires dans les newsgroups : en effet, en novembre dernier, l’agence de presse de NAI avait diffusé un communiqué de presse... malencontreusement in­fecté par un virus (WM97/ClassB) ! Dans le newsgroup alt.comp.virus, Jack Clark, l’un des analystes de NAI, reconnaissait les faits en citant l’explication donnée par Caroline Kuiper, du service Marketing de NAI : « Il y a 500 nouveaux virus par mois. Le virus n’a pas été détecté parce que l’émetteur n’avait pas les dernières mises à jour. » Inutile de vous dire que dans le newsgroup, tout le monde a bien rigolé. Pour l’occasion, Nick Fitzgerald, éditeur du mensuel antivirus Virus Bulletin, avait même rapporté que ce n’était pas la première fois : en juin 1998, l’agence de presse de NAI en Grande-Bretagne avait déjà transmis un communiqué infecté par un virus (Laroux).

Revenons à notre Remote Explorer

Pendant que les attachés de presse sont cloués au téléphone pour alarmer les journalistes sur le virus Remote Explorer, les commerciaux de NAI partent cueillir le client. Ils contactent les entreprises pour les convaincre de changer d’antivirus pour le leur, ce qui a choqué plus d’un responsable informatique. Vous trouverez en bas de cette page comment le virus Remote Explorer est décrit par NAI en France.
Dans un premier temps, l’information procurée par NAI est relayée sans aucun recul par quelques organes de presse (entre autres, les chaînes américaines ABC, CNN, les sites CNET et ZDNet, le quotidien Wall Street Journal, etc.) et, grande première, le nom de l’entreprise cliente de NAI victime du virus est dévoilé ! On apprend rapidement qu’il s’agit de MCI-WorldCom, un géant américain de la téléphonie. Des chiffres ahurissants sur l’étendue de l’infection sont publiés par la presse : plusieurs milliers d’ordinateurs touchés. Bien plus énorme, un journaliste américain, Jim Goldman, va jusqu’à affirmer que le virus aurait pu détruire tout l’internet !
La mayonnaise a pris, NAI peut se frotter les mains : à la Bourse, ses actions grimpent de 22 % dans les jours qui suivent cette campagne d’hystérie.

Renversement de situation

Mais, en quelques heures, les mêmes organes de presse qui avaient répercuté les premiers l’information se mettent maintenant à publier des articles minimisant l’affaire du Remote Explorer. On ne parle plus de milliers d’ordinateurs touchés, mais tout au plus d’une cinquantaine. Des experts informatiques précisent à CNN que l’infection a plutôt toutes les apparences d’un sabotage en interne dirigé spécifiquement contre la firme MCI (peut-être l’œuvre d’un employé mécontent) et qu’il y a peu de chances que le virus se retrouve à l’extérieur de MCI. Russ Cooper, un informaticien de chez NetbugTraq, indique qu’il s’est mis en relation avec des gens de chez MCI-WorldCom et que jusque-là, seules 18 à 20 machines sur les 7 000 semblent avoir été touchées. Sur le site ZDNet (groupe Ziff Davis), le chroniqueur Charles Cooper ne cache pas son écoeurement face à la méthode NAI. Pour sa part, Rob Rosenberger, le webmaster du plus célèbre site Internet sur les rumeurs concernant les virus informatiques (http://www.kumite.com/myths) n’était jamais tombé dans le panneau : il accuse ouvertement NAI d’avoir fait grimper ses actions en Bourse sur le dos d’un de ses clients. Interrogé par nous, il indique qu’à la place du p.-d.g. de MCI, il convoquerait immédiatement dans son bureau Bill Larson, le p.-d.g.de NAI, pour lui réclamer des explications !

Tollé quasi général sur les méthodes de NAI

Du côté des éditeurs d’antivirus concurrents, c’est le tollé quasi général sur les méthodes de NAI. Pour la première fois dans les annales du petit monde des antivirus, pourtant quasiment tous habitués à crier « au loup ! » sur de nou­veaux virus, on prend la parole pour dégonfler le scoop et se plaindre de ce que NAI a non seulement délibérément exagéré les faits mais, encore, a pratiqué la rétention d’information entre confrères. On apprend ainsi que NAI a mis cinq jours pour communiquer l’échantillon du virus à ses confrères et l’a fait seulement après avoir organisé sa propre campagne de presse. Symantec (antivirus Norton) indique que la firme Microsoft, elle, en a pourtant reçu un, à la condition de ne le communiquer à personne d’autre. En réponse à ce reproche, le chercheur antivirus de NAI en France expliquera ce retard à l’un de nos con­frères de Décision Micro & Réseaux en assurant que les représentants de Network Associates au Caro (l’organisme d’échanges entre éditeurs d’antivirus) « n’étaient pas joignables lors de la découverte du virus Explorer ». Ciel ! Alors comment Microsoft a-t-il reçu son propre échantillon ? Les chercheurs « injoignables » étaient donc partis en week-end malgré la gravité de la situation ? Ont-ils été licenciés depuis pour cette insouciance impardonnable ? Les publicités des antivirus affirmant disposer d’un grand nombre de chercheurs, travaillant par équipes 24 heures sur 24, seraient-elles mensongères ? Ou bien les « injoignables » de NAI seraient-ils soudain tombés tous mystérieusement en panne de messagerie électronique ?

Ce virus n’a rien de spécial

Quoi qu’il en soit, la nouveauté et la dangerosité réelle du fameux virus, n’est pas évaluée de la même manière par les concurrents. Lorsqu’ils ont enfin pu récupérer un échantillon de virus et l’analyser eux-mêmes, les concurrents de NAI en produisent des descriptions techniques qui ramènent les faits à une réalité nettement moins dramatique que celle claironnée par NAI. Eugène Kapersky (AVP) se fâche dans un communiqué titré : « NAI a fait un éléphant d’une mouche. » Il déclare que « le virus ne détourne aucun événement Windows NT, ne fait appel à aucun protocole réseau NT et ne se reproduit pas sur l’ensemble du Réseau hôte. De plus, des virus DOS ordinaires possèdent les mêmes fonctionnalités Réseau que ce virus et peuvent infecter des fichiers sur des unités partagées, demeurer résident, etc. » « Ce n’est jamais qu’un virus parasite standard simplement assorti de la capacité de fonctionner comme un Service NT » ajoute le communiqué d’AVP, qui conclut : « Ce virus n’a rien démontré de spécial, mise à part la malhonnêteté d’un des plus gros éditeurs antivirus qui a, ce faisant, jeté le discrédit sur la communauté des chercheurs antivirus. »
« Ce n’est pas une menace majeure », lit-on sur le site de Datafellows (antivirus F-Secure), qui indique que « le virus utilise des méthodes avancées qui peuvent causer des soucis dans une organisation basée NT, mais il ne se répand pas facilement d’une organisation à une autre ». Rob Rosenberger confirme que le virus n’a rien de spécial, et que le fait qu’il fonctionne comme un Service NT n’a rien d’étonnant. « Les produits antivirus de NAI fonctionnent comme Service NT, aussi, exactement comme des centaines d’utilitaires NT du marché aujourd’hui. Des sociétés procurent des utilitaires NT qui ont la capacité de déployer sur le réseau les produits NAI (demandez à votre vendeur d’antivirus si vous ne me croyez pas). Pour quelle raison devrions-nous frémir de peur quand un virus se met à exploiter les mêmes techniques trouvées dans les utilitaires Microsoft, dont Windows NT ? Un virus exploite finalement les techniques utilisées dans des centaines d’utilitaires Windows NT. Et alors ? Les auteurs de virus n’ont pas fait avancer l’état de l’art. Cette fois, ils ont pris le train en marche. »

Moralité

Dans sa colère, il va même jusqu’à prédire qu’un auteur de virus pourrait créer de cette manière un virus dont la mission serait d’aller désinstaller tous les antivirus NAI. Dans les newsgroups, même ré­probation : des internautes reprochent à NAI sa tactique marchande de la frayeur, et se disent dégoûtés par l’hystérie provoquée. Nick Fitzgerald, l’éditeur de Virus Bulletin, n’hé­site pas non plus à critiquer NAI pour cette opération de désinformation : « Remote Explorer n’est pas du tout la menace dépeinte par NAI. » « Tout le cirque fait par NAI ne sert à rien ni pour les utilisateurs, ni pour les antivirus. » D’ailleurs, à notre con­naissance, le virus Remote Explorer n’a bel et bien jamais été rencontré ailleurs depuis. La montagne a accouché d’une souris.
Morale de l’histoire :
-  La tactique de la frayeur marche toujours bien, et peut rapporter gros.
- Cette tactique a encore de beaux jours devant elle, tant que des journalistes la crédibiliseront en se bornant à répéter sans réfléchir le contenu des communiqués de presse.
Si l’on décrypte un peu l’information, on peut aisément se rendre compte que derrière le tapage orchestré par l’éditeur d’antivirus, un de ses gros clients a quand même subi une infection. Et une infection grave, si on prend à la lettre son alerte internationale à la presse. Dans cette histoire, l’éditeur antivirus semble n’être venu à bout du problème de son client qu’au bout de trois jours. Quant aux autres utilisateurs, il leur aura fallu patienter quatre jours après le début de l’infection chez un client victime pour qu’une mise à jour du logiciel détectant ce « dangereux » virus soit mise à leur disposition sur le site Web de l’éditeur...)
- Pas de quoi pavoiser ! Quant à la pseudo-solidarité des chercheurs antivirus pour le bien des utilisateurs du monde entier, à d’autres !


Extrait du communiqué de presse NAI
« Remote Explorer » (alias IE403E)

Par le biais de son équipe AVERT (Anti Virus Emergency Response Team), Network Associates vient d’identifier un virus d’une nouvelle génération qui a la capacité de se propager très rapidement à travers les réseaux informatiques publics ou privés. En s’installant de lui-même sur des serveurs Windows NT, ce nouveau virus a une capacité de diffusion déconcertante et un pouvoir destructeur certain. Remote Explorer se propage sans aucune action de l’utilisateur et crypte au passage des documents et des programmes aussi bien sur LAN que WAN.
Remote Explorer prouve qu’une nouvelle étape a été franchie dans la mise en oeuvre de code malveillant. Ecrit en langage « C », sa mise au point semble avoir nécessité de nombreuses heures de travail par des programmeurs très qualifiés.
Remote Explorer a été découvert jeudi 17 décembre 1998 chez une des cent plus importantes entreprises américaines (Fortune 100). Le virus avait attaqué plus de 10 sites centraux et des milliers de stations de travail. Une partie de l’activité industrielle de ce client a dû être arrêtée et divers segments de son infrastructure Réseau ont dû être isolés pour éviter la poursuite de la propagation du virus. Après un week-end de travail, et grâce aux efforts concertés de Network Associates et de Microsoft, l’activité a repris son cours normal hier.
L’équipe AVERT met à la disposition de ses clients un moyen de détection aussi bien avec la V3 qu’avec la V4.
Vous trouverez les mises à jour sur notre site, à l’adresse http://www.nai.com/products/antivirus/remote_explorer.asp.
[…]
    Se propageant de lui-même à travers l’entreprise ciblée, cryptant des données et d’empêchant l’exécution de programme, ce virus a la capacité d’arrêter l’activité des entreprises qui deviennent maintenant dépendantes de leur système d’information. Ce type de scénario avait été envisagé par des chercheurs et agences gouvernementales comme le résultat d’un futur « cyberterrorisme ». Nous y voila aujourd’hui !
    Nous vous recommandons donc fortement d’utiliser les moyens mis à votre disposition sur notre site Web pour éviter la propagation de ce virus.
[…]

Comment les éditeurs récupèrent les virus ?

Un éditeur d’antivirus qui proclame avoir découvert un virus et profite de l’occasion pour faire croire qu’il est le meilleur expert de la question, c’est courant. Mais c’est de la pure désinformation. Car, en réalité, les virus arrivent le plus souvent par hasard chez les éditeurs d’antivirus.
Cas le plus commun : un utilisateur se fait contaminer par un virus qui n’est pas détecté par l’antivirus qu’il a acheté. L’éditeur d’antivirus en question lui demande alors de lui envoyer le fichier contaminé pour analyse. Après cette analyse, l’éditeur d’antivirus en incorpore la signature dans sa base de signatures et propose un peu plus tard une mise à jour de son logiciel. Dans ce cas, récupérer un nouveau virus, c’est aussi hasardeux que de jouer à la loterie. Soit le virus tape un client de l’antivirus X, soit il frappe le client de l’antivirus Y.
Autre cas : le virus est récupéré par un antivirus concurrent qui, après analyse, le communique aux autres antivirus, qui l’analyseront à leur tour, etc.
Enfin, il arrive que pour aller plus vite dans la course aux virus, des éditeurs d’antivirus reçoivent ou recherchent le concours des auteurs de virus. Soit l’éditeur d’antivirus va récupérer sur les sites Web d’auteurs de virus les dernières créations virales, soit des auteurs de virus transmettent directement leurs dernières créatures à des éditeurs d’antivirus choisis, soit, selon des auteurs de virus, des éditeurs d’antivirus les sollicitent pour qu’ils leur livrent leurs programmes viraux.

Sam Dirien


Vous aimez cette page ? Partagez-en le lien sur les réseaux sociaux !

Facebook
Twitter
Google+
LinkedIn


Retour aux archives
Retour à l'accueil
[RSS]
Legal & cookies