SoBig : attaque mondiale prévue à 21 heures

Les dégâts causés par SoBig depuis quelques jours risquent de s’intensifier (voir édition du 20 août 2003). Selon l’éditeur F-Secure, le virus va déclencher une attaque mondiale ce vendredi 22 août au soir. L’offensive se déroulera selon un procédé assez complexe pour déjouer, dans un premier temps, les contre-attaques. A 21 heures, heure française (19 heures GMT), les ordinateurs infectés par SoBig.F (qui, rappelons-le, se propage par e-mail à l’aide d’une pièce jointe qu’il faut avoir ouverte pour déclencher l’infection) vont se connecter à une vingtaine d’ordinateurs situés aux quatre coins de la planète (Etats-Unis, Canada, Corée du Sud… ainsi qu’en France), qui leur renverront une adresse Internet. Celle-ci déclenchera le téléchargement d’un logiciel et son exécution. On ignore totalement le rôle de ce programme à l’heure actuelle…

Complices à leur insu

Si les éditeurs sont parvenus à casser le cryptage du corps du virus, ce n’est que pour mieux constater leur impuissance. L’adresse Web qui y est référencée ne mène nulle part. Elle sera probablement mise à jour « manuellement » quelques instants avant l’attaque par les auteurs du virus, interdisant ainsi de télécharger le logiciel afin d’en connaître les fonctions. Quant à la vingtaine de machines serveurs susceptibles de délivrer l’URL en question, il semble, selon F-Secure, qu’elles appartiennent à des particuliers connectés en permanence sur une ligne à haut débit de type ADSL. Des particuliers qui, vraisemblablement, ignorent l’usage qui va être fait de leur PC.

Outre la désinfection, d’ici ce soir, des ordinateurs victimes de SoBig, la parade la plus évidente serait la déconnexion des 20 serveurs dédiés à l’attaque du ver. Mais « les auteurs du virus ont probablement choisi des machines en fonction de leurs habitudes et savent qu’elles restent connectées en permanence », estime Alexandre Durante de F-Secure France. De plus, ces machines sont connectées à des réseaux de différents opérateurs, ce qui complique considérablement la tâche des autorités pour les déconnecter. « Même si une seule machine reste active, ce sera suffisant pour le virus », ajoute Mikko Hypponen, directeur du centre de recherche antivirale de F-Secure. Chez Network Associates, on se veut plus optimiste : « Les adresses IP des machines serveurs seront peut-être fermées [à temps] », estime François Paget, ingénieur au centre de recherche de l’éditeur.

Un danger bien réel

Les éditeurs d’antivirus s’accordent en tout cas sur un point : SoBig n’est pas l’oeuvre d’adolescents en mal de sensations mais émane de toute évidence d’une équipe organisée et probablement malintentionnée. « Il est vrai que SoBig met en oeuvre un processus pernicieux lié au piratage voire à la criminalité organisée », estime François Paget, « c’est une action qui va au-delà du simple amusement. » Tentative de fraude bancaire ? Récupération de numéros de cartes de crédit ? Exploitation de la puissance de calcul des ordinateurs pour casser un chiffrement ? Impossible à dire pour le moment. Mais le danger est réel. Si 100 millions de courriers électroniques transportent SoBig à travers le réseau, on estime, chez Network Associates, à entre 100 000 et 200 000 le nombre d’ordinateurs infectés. SoBig.E, la précédente version du virus, téléchargeait un programme qui l’effaçait avant de collecter nombre d’identifiants et mots de passe d’utilisateurs chez qui le ver installait un proxy e-mail. Celui-ci avait été utilisé par des spammers pour envoyer du courrier non sollicité. Sobig.F se contentera-t-il d’une simple action publicitaire abusive ? Difficile à croire.

D’autant que, programmé pour s’annihiler le 10 septembre 2003, SoBig.F pourrait bien céder sa place à SoBig.G. Tout comme Sobig.C avait, le 8 juin dernier, été remplacépar SoBig.E. « Cela permet notamment aux auteurs d’améliorer l’action du virus », justifie François Paget qui estime qu’un système protégé par un firewall et un antivirus à jour suffit à se protéger. Bref, la saga Sobig n’est pas prête de se terminer…