Quand le FBI fait une annonce pour la Saint-Valentin, on ne s’attend pas forcément à une longue déclaration d’amour. L’alerte que le Bureau a publié le 12 février le confirme : « Si vous recevez une e-card de la Saint-Valentin à laquelle vous ne vous attendiez pas, soyez prudent, indique le communiqué. Il est possible qu’elle n’ait pas été envoyée par un admirateur anonyme, mais qu’elle contienne plutôt le virus Storm Worm. »
L’alerte est un grand classique du genre. Les concepteurs de virus profitent systématiquement des événements exceptionnels (Saint-Valentin, Noël, le Nouvel an) ou d’actualité (mort d’un chef d’Etat, guerre, etc.) pour tenter de piéger les internautes crédules.
Le mode opératoire de Storm Worm est tout ce qu’il y a de plus classique. Ce virus se présente sous la forme d’un e-mail (rédigé en anglais) contenant un lien sur lequel l’internaute est invité à cliquer pour accéder à une carte électronique. S’il le fait, il télécharge alors à son insu un virus permettant à un pirate de contrôler sa machine, pour expédier des spams, pour usurper l’identité de la victime en récupérant des données de connexion et des identifiants, pour provoquer des attaques par déni de service (afin de paralyser des sites Web) ou encore infecter d’autres machines, en utilisant celle qu’il vient de véroler comme relais.
Un ver capable de se métamorphoser
Ce ver n’est pas un nouveau venu, il a déjà été repéré en plusieurs occasions en 2007, affirme le FBI. Sur son site Internet, l’éditeur de logiciels de sécurité F-Secure fait remonter son existence au 8 avril 2007, où un autre sujet remplaçait la Saint-Valentin pour inciter l’internaute à cliquer. De son côté, Secuser définit la diffusion de Storm Worm comme « une opération d’une grande envergure destinée à contaminer un maximum d’ordinateurs au niveau mondial ». Il s’agit pour les pirates de constituer de vastes botnets, des réseaux d’ordinateurs zombies, capables de mener des attaques massives. Storm Worm est connu sous d’autres noms, comme Peacomm, Agent.AF, Zhelatin, Tibs.BS, etc.
Secuser signale que ce virus (qui apparaît sous diverses formes, et pas seulement derrière un lien ou un fichier attaché) exploite « un point faible des antivirus à signature ». Ces derniers mettent un certain temps à détecter et analyser un logiciel malicieux avant de diffuser la « signature » qui permettra de le bloquer. « Le fichier exécutable de Storm Worm est ainsi modifié jusqu’à une fois toutes les trente minutes, afin de pouvoir contaminer un maximum d’internautes, y compris les possesseurs d’un antivirus à jour qui se montreraient imprudents et ouvriraient un fichier infecté avant que leur logiciel ait reçu la nouvelle signature », prévient Secuser. Selon McAfee, qui publie lui aussi une alerte contre Storm Worm, dix millions de PC seraient infectés. Ce spécialiste de la sécurité a dénombré au moins vingt variantes du ver.
Le FBI, comme les firmes de sécurité informatique, recommandent donc d’être très vigilant. Il offre aussi la possibilité aux internautes de signaler un problème en remplissant un formulaire sur le site de l’Internet Crime Complaint Center, littéralement Centre des plaintes liées aux crimes sur Internet. En cas d’infection, les éditeurs d’antivirus indiquent sur leurs sites Web la marche à suivre pour décontaminer son ordinateur.
Source : Arnaud Devillard, 01net.
MeTaL-NaB|L
