Donut : le virus pas tout à fait .Net

Cloud

Pour ne s’attaquer qu’aux fichiers .Net, W32.Donut a été qualifié de « premier virus pour la plate-forme .Net ». Il s’agit en fait d’un « banal » virus Windows 32 bits qui a toutefois la particularité de prendre pour cible les fichiers .Net. Une particularité qui ne permet pas pour autant de juger de la fiabilité de .Net.

Mercredi 9 janvier 2002, plusieurs éditeurs d’antivirus recevaient un e-mail accompagné d’un virus intitulé « dotNET » par son auteur anonyme. Le virus, rebaptisé « W32.Donut » par Symantec, a la particularité de ne s’attaquer qu’aux fichiers destinés à .Net, la future plate-forme de services en ligne que doit lancer Microsoft à la fin du mois. Le premier virus .Net est-il né pour autant ?

« Ce n’est pas un virus .Net », estime Antoine Driard, chef de produit des outils de développement chez Microsoft France, « c’est un virus Windows qui s’attaque aux fichiers .Net. » Une nuance de taille que confirme Eyal Dotan, directeur de recherche et développement chez Tegam, éditeur de l’antivirus Viguard : « C’est un exécutable Windows 32 bits traditionnel ». En fait, Donut s’en prend uniquement aux fichiers .Net qui se distinguent des fichiers Windows par un entête spécifique de 5 octets et sont caractérisés par le langage intermédiaire MSIL. Le virus se propage par e-mail en tant que pièce jointe et se contente de prévenir, une fois sur dix, sa victime par un message laconique du type « Ce fichier est infecté par Donut ». Etant donné le peu de fichiers .Net actuellement en service, Donut ne devrait faire que peu de dégât, voire aucun. Mais qu’en sera-t-il lorsque .Net sera commercialisé à l’échelle mondiale ?

« Donut n’est pas la démonstration de failles dans .Net »« A partir du moment où le virus est un fichier exécutable reconnu par le système, il peut faire ce qu’il veut », explique Eyal Dotan. Destruction volontaire, mise en place d’outils d’espionnage, localement ou à distance, .Net ne semble pas plus à l’abri des virus que n’importe quel autre environnement. « C’est au fournisseur de services de bien protéger son système et ses services », estime le directeur R&D de Tegam, « Donut ne veut pas dire qu’il y a des failles dans .Net ». Effectivement, Donut n’a pas été détecté suite à une contamination mais par envoi d’e-mail. Pour contaminer un environnement, il aurait fallu que l’administrateur exécute la pièce jointe les yeux fermés. Attitude peu digne d’un responsable qualifié. Il n’empêche. Une simple erreur d’inattention et ce peut être la catastrophe pour le prestataire comme pour les clients qui exploiteront .Net ou toute autre plate-forme qui s’appuie sur le réseau pour offrir des services distants.

.Net plus sécurisé que Windows

Chez Microsoft, on se veut plutôt rassurant. « Actuellement, dans la version bêta de .Net, le lancement d’un fichier .exe fait appel à la DLL du runtime et Donut remplace cet appel par son propre programme », explique Antoine Driard, « mais la version définitive de .Net éliminera cet appel », supprimant du même coup un mode de contamination possible. L’entête des fichiers .Net devrait également disparaître et les applications téléchargées le seront dans un répertoire spécifique et ne pourront en sortir. Enfin, toujours selon le porte-parole de Microsoft, un programme .Net s’exécute au sein d’une machine virtuelle de laquelle il ne peut pas s’extraire lui interdisant ainsi toute contamination distante. « Les règles de sécurité de .Net seront bien plus fines que celles de Windows », explique Antoine Driard. La mise en pratique permettra de le vérifier.

Bref, Donut a fait beaucoup de bruit pour pas grand chose si ce n’est pour faire parler de lui. « Pour montrer que c’était possible », suggère Damas Tricard, chef de produit chez Symantec France. « Les créateurs de virus savent que le carnet d’adresses n’est plus un vecteur de propagation efficace et se tournent vers d’autres moyens dont les plate-formes réseau. » Reste à savoir si Donut n’est qu’un coup de pub ou un coup d’essai, premier d’une longue série.