MyDoom.B : les raisons d’un flop

Cloud

Contrairement à SCO, Microsoft n’a pas eu à fermer son serveur Web pour parer l’attaque du virus MyDoom.B. Si l’offensive a eu lieu, elle a été de faible ampleur.

Plus de peur que de mal. Découverte le 28 janvier 2004, la deuxième version de MyDoom.A n’a pas provoqué les effets probablement escomptés par ses auteurs, à savoir l’arrêt des serveurs Web de Microsoft par une attaque incapacitante (denial of service) pour laquelle MyDoom.B est programmé jusqu’au 1er mars. Autrement dit, l’adresse “www.microsoft.com” est restée valide pendant les heures qui ont suivi le déclenchement de l’attaque programmée le 3 février 2004 à 13h09. Mais cette offensive a-t-elle seulement eu lieu ?

“Je ne dispose pas d’informations sur les chiffres éventuels d’une attaque”, explique Cyril Voisin, responsable des programmes sécurité chez Microsoft France, “ce qui est plutôt bon signe”. Le porte-parole n’est pas non plus en mesure de divulguer la stratégie que Microsoft a adoptée face à l’attaque. On saura seulement que l’éditeur de Windows a pris la précaution d’ouvrir l’URL “http://information.microsoft.com” au cas où il aurait fallu désactiver l’adresse officielle. Une stratégie déjà adoptée cet été avec Blaster qui s’en prenait à l’adresse “www.windowsupdate.com”, le site de mise à jour de Windows. L’entreprise en avait profité pour multiplier les points d’accès à son site en le dupliquant sur des milliers de serveurs caches opérés par Akamai. Mais pour MyDoom.B, “nous n’avons pas eu recours aux services de ce prestataire”, assure Cyril Voisin.

Un bogue dans le virus

Et pour cause : le virus s’est révélé beaucoup moins virulent que sa première version. D’une part, échaudés par MyDoom.A, les internautes victimes ont pris leurs précautions et ont nettoyé massivement leurs systèmes. Ce qui a, selon toute probabilité, fortement réduit la capacité d’attaque du virus. D’autres part, selon l’éditeur McAfee, un bogue du code empêche “dans 93 % des cas” le déclenchement des attaques. Mais, selon Kaspersky, ce bogue empêche l’arrêt des attaques aux dates prévues. Le danger n’est donc pas écarté et pourrait perdurer au delà du 1er mars 2004, date d’échéance de l’activité du virus.

D’autant que l’attaque des serveurs de Microsoft n’est pas le seul méfait du virus. “Je suis plus préoccupé par le fait que le ver installe une porte dérobée”, rappelle Cyril Voisin, “car les symptômes ne se voient pas immédiatement et cette porte d’accès peut servir plus tard.” Quand le virus se sera fait oublier, notamment. A quelles fins ? Difficile à dire, d’autant que les auteurs n’ont toujours pas été retrouvés malgré la prime de 250 000 dollars offerte par Microsoft. On sait seulement que nombre de spammers exploitent les ordinateurs des particuliers pour inonder la planète de leurs publicités litigieuses. Serait-ce le cas pour MyDoom ?


Lire la biographie de l´auteur  Masquer la biographie de l´auteur