Détecté pour la première fois le 17 janvier 2007, le ver informatique nommé Storm Worm n'apparaissait pas à ce moment plus dangereux que les autres… Mais sa vitesse de propagation alliée à des caractéristiques surprenantes ont fait de lui l'ennemi public numéro un des ordinateurs de toute la planète !


au sommaire


    Crédit IBM.

    Crédit IBM.

    Le nouveau ver, dont le nom fait référence aux tempêtestempêtes qui se sont abattues sur l'Europe, se propage via des pièces jointes d'e-mails sur des sujets d'actualité ou d'aspect anodin évoquant le moins possible un vulgaire spam. Si un internaute sans méfiance exécute cette annexe, une "backdoor", ou porte dérobéeporte dérobée nommée Win32.agent.dh, s'installe discrètement sur l'ordinateur qui peut alors être utilisé à loisir comme intermédiaire pour transmettre du spam ou d'autres pourrielspourriels.

    Si ce scénario n'est pas nouveau, les experts américains s'inquiètent de la vitessevitesse à laquelle Storm Worm se propage et ne cesse de se répandre sur les ordinateurs équipés de systèmes d'exploitation MicrosoftMicrosoft. Bien qu'il soit extrêmement difficile de dénombrer les machines atteintes, on peut estimer celles-ci entre 1 et 50 millions. Mais ce n'est pas tout.

    De faux serveurs

    Le ver évolue très rapidement, et est à présent capable d'ouvrir sur certains PC infectés des serveurs de pages internet piégées destinées à lancer des attaques sur les ordinateurs qui tentent de s'y connecter, tout en maquillant leurs adresses en leur faisant croire qu'il s'agit du site de vidéos partagées YouTubeYouTube. Cette technologie réellement novatrice de propagation a permis à Storm Worm de se répandre de façon pratiquement exponentielle à travers toute la planète, ainsi que le montre cette vidéo :

    <//embed><//embed><//embed><//embed><//embed></><//>

    Bien que facilement détectable par la plupart des antivirusantivirus, Storm Worm parvient toutefois à échapper à l'analyse en utilisant une faille difficilement contournable : sa vitesse de modification supérieure à celle des mises à jour logicielles. Storm Worm étant capable de modifier sa signature toutes les trente minutes, il devient ainsi pratiquement invulnérable aux antivirus dits "à signature", même si leurs bases de donnéesbases de données ont été récemment réinitialisées.

    Mais il y a encore mieux. Chaque ordinateur infecté se voit attribuer une liste d'une trentaine d'adresses, correspondant à autant de PC "zombies", qui eux-mêmes... bref, Storm Worm a réussi à constituer un gigantesque réseau commandé à distance dans un but malveillant. La totale décentralisation de cet énorme dispositif, qui n'est pas sans rappeler le réseau internet lui-même, a jusqu'ici empêché les experts informatiques d'en déterminer l'origine ou même le pays d'où il provient.

    Une puissance phénoménale !

    La puissance phénoménale ainsi obtenue par accumulation inquiète de plus en plus les experts, américains entre autres. Le réseau assemblé par Storm Worm dépasse largement en capacité de traitement le plus puissant superordinateursuperordinateur actuel, l'IBM BlueGene/L de 280 téraflopstéraflops comportant 131 072 processeurs. Si l'on considère l'hypothèse de 2 millions d'ordinateurs infectés (alors que l'estimation la plus pessimiste en dénombre 50 millions), comportant chacun un processeur de 2 GHz et 1 Go de mémoire vivemémoire vive, on arrive à une puissance supérieure à l'ensemble du Top500 mondial ! (Approchant les 5 pétaflops en juin 2007).

    D'où la question de savoir si un tel dispositif n'a été mis en place que pour distribuer du spam, ce qui équivaudrait à utiliser une navette spatiale pour poster des cartes postales de vacances... Les experts évoquent la possibilité d'employer les capacités ainsi mises en place à d'autres fins, comme casser des clés cryptographiques actuellement hors de portée dans un but malhonnête, voire d'espionnage, ou même paralyser des réseaux de communication entiers par envoi massif de messages, ou de virus informatiquesvirus informatiques...

    A défaut de moyens de lutte efficaces, les consignes habituelles restent plus que jamais à conseiller : ne jamais ouvrir une pièce jointe non formellement identifiée, mettre à jour son système d'exploitation afin de refermer le plus de failles de sécurité possible, bien paramétrer son pare-feupare-feu (ou firewallfirewall), et s'équiper d'un antivirus.

    Source : Bulletins Electroniques.