SoBig : l’attaque mondiale est reportée

Cloud

Malgré le nombre d’ordinateurs encore infectés, le virus SoBig a échoué dans sa tentative d’attaque mondiale. Mais si l’alerte semble passée, le ver pourrait bien revenir sous une forme encore plus malicieuse.

Plus de peur que de mal. Et même pas de mal du tout, a priori. SoBig.F a échoué dans sa tentative d’attaque mondiale qui devait se dérouler vendredi à 21 heures (heure française, voir édition du 22 août 2003). Rappelons que SoBig – un ver qui ne s’active que si l’utilisateur ouvre la pièce jointe au courrier que le virus s’emploie à renvoyer de lui-même sur la base des adresses e-mail collectées localement – devait se connecter à vingt machines serveurs chargées de renvoyer une adresse Internet qui aurait permis de télécharger un logiciel. Si, avant l’attaque, les experts en sécurité ignoraient encore tout du contenu de ce programme que l’on peut penser malveillant, ils n’en savent pas plus aujourd’hui.

Et pour cause : la grande majorité des vingt serveurs indirectement complices avaient été désactivés. Seule une machine, située à Verona dans le New Jersey, communiquait encore, deux heures après le début de l’attaque, avec des ordinateurs infectés, selon Sophos. Trois serveurs, selon Networks Associates, restaient actifs ce week-end. Quel que soit leur nombre exact, les deux éditeurs s’accordent à constater l’absence totale d’activité anormale des serveurs. « Il n’y a aucune manifestation qui indique que le ver communique avec succès avec [le serveur] et aucun téléchargement malicieux n’apparaît », lit-on sur la page de Sophos consacrée à SoBig. « De tout le week-end, nous n’avons constaté aucun téléchargement », confirme François Paget, ingénieur au centre de recherches antivirales de Network Associates.

Rester vigilant

SoBig a donc – apparemment – échoué. La médiatisation du danger a certes permis de considérablement réduire le nombre d’ordinateurs infectés. Selon Trend Micro, des quelque 670 000 machines infectées par SoBig dans le monde en début de semaine dernière (SoBig.F est apparu le 18 août 2003), on est passé à un peu plus de 104 000. « Mais il faut rester vigilant », prévient François Paget, « tout le monde n’est pas rentré de vacances. » D’autant que des virus plus anciens comme Slammer ou CodeRed continuent de circuler sur la Toile, précise l’ingénieur de Network Associates.

Surtout, SoBig.F n’est « que » la sixième version d’un virus qui évolue en permanence. Programmé pour disparaître le 10 septembre 2003, il devrait laisser la place à un probable SoBig.G. Pour François Paget, « comme avec les précédentes versions du virus, SoBig.F a permis de tester la réaction du réseau et ses auteurs réfléchissent probablement à leur échec ». Une analyse confirmée par le site français K-Otik, spécialisé en sécurité informatique. On peut notamment y lire que « le but n’était peut-être pas de lancer une attaque, mais de tester la réaction des ‘experts’ ainsi que le temps de réponse vis-à-vis d’un virus comme SoBig.F, ce qui permettra en temps voulu de lancer une nouvelle variante (SoBig.G?) qui tiendra compte de tous ces paramètres de neutralisation. A ce moment-là, l’attaque sera incontournable ! » SoBig.F n’aurait donc reculé que pour mieux sauter. Mais on ignore toujours dans quel but.