[Kitetoa, les pizzaïolos du Ouèb

MyDoom, mon non-événement du mois

Il n'est pas toujours aisé de savoir. Encore moins lorsque les experts d'un domaine affirment le contraire de ce que vous dites.

Je sais certaines choses. Comment? Je ne sais pas. Puis-je apporter des preuves de ce que je sais? Pas toujours. Et cet aveu ne m'aide évidemment pas à amener les autres à me croire. Mais c'est au moins un gage de ma bonne foi.

Depuis quelques jours,je regarde avec amusement la planète cyber se faire peur avec le dernier virus à la mode: MyDoom. Or, je sais, moi, qu'il n'y a vraiment pas lieu d'avoir peur. C'est pour moi un non-événement par excellence.

Savez-vous que ce vilain virus (laissons les prises de tête sur l'appellation exacte de ce machin aux spécialistes, je l'appellerai un virus) aurait, dixit Libération, infecté " entre 600.000 et un million d'ordinateurs"?. C'est fou non? Bon, il faut le préciser, ce chiffre est issu, comme le précise Libé, des "estimations".

Et qui fait les estimations? Sur la base de quoi? De quelle démarche scientifique?. Dieu seul le sait. Et encore... S'il existe.

Je sais certaines choses, mais je ne suis pas omniscient. J'ai donc cherché, sans succès, une liste indiquant combien de machines avaient été infectées par tel ou tel virus. Une liste qui serait établie de manière indépendante, avec du recul, des mois après l'arrivée du bidule, histoire de laisser la folie médiatique retomber.

Je me dois toutefois de recopier ici quelques informations trouvées dans un article d'Infoworld: "Estimates of the number of machines infected by Mydoom vary widely. F-Secure Corp. of Helsinki said that as many as 1 million machines may have the virus. NAI puts the number at around 500,000 systems. However, for a variety of reasons, only a fraction of the machines infected by the virus are taking part in the attack, security experts said. [L'auteur du papier parle de l'attaque de déni de service lancée contre le site de SCO par les ordinateurs infectés par MyDoom]. Comme ça, d'autres personnes intriguées par ces histoires de virus pourront retrouver ces chiffres dans quelques mois.

Des sites visés qui semblent étrangement sous-dimensionnés

A ce stade, on peut déjà se demander comment un site comme celui de SCO peut être explosé par des requêtes (qui n'arrivent forcément pas toutes en même temps) d'une fraction de 500.000 à 1 million d'utilisateurs...

Il y a au moins un point sur lequel ce virus a réussi. Il disposait déjà de 750,000 entrées dans Google le 3 février. Pas mal. Chez Kitetoa, on se démène pour créer de la bonne info qui fait rire les enfants et les plus grands, et nous n'avons pas atteint ce score, loin s'en faut, alors que nous sévissons depuis 1997!

Maintenant que le décor est posé, revenons à ce que je sais. Je sais une chose: Internet n'est qu'une photocopie du monde réel. Il n'invente rien. Il copie et adapte ce qui existe dans notre monde réel. Le spam n'est rien d'autre que des prospectus, les pédophiles sont (à ce propos, si un membre des services de police nous lit, il y a du travail par là-bas, on dirait) comme dans le monde réel, etc. Il y a toutefois deux différences principales. Le réseau accélère et facilite ce qu'il a copié. Exemple: il est plus facile pour des pédophiles d'échanger des fichiers entre eux sur le Net que dans le monde réel. Retour de bâton, il est plus facile pour un policier d'infiltrer un réseau pédophile sur le Net que dans le monde réel. L'autre différence tient au fait que sur le net, les morts sont des cyber-morts. Et honnêtement, je suis persuadé qu'il est moins grave de perdre un serveur que de perdre des vies humaines. Je ne sais pas pourquoi, mais je suis certain qu'il vaut mieux que Microsoft, SCO, ou n'importe quelle entreprise perde ses serveurs de mails, ses serveurs Web, et même ses serveurs de développement, que de voir un enfant prendre un missile anti-char sur le coin de la figure parce que c'est le bon vouloir du président américain.

Bien entendu, il aura plein d'experts qui viendront me dire mille choses sur ce sujet. Comme le fait que si tous les serveurs de Microsoft sont détruits, c'est toute l'entreprise qui est morte, que plein de gens seront au chômage et qu'aux Etats-Unis, le chômage ce n'est pas la joie, si bien que trois moi plus tard, des enfants de chômeurs vont commencer à souffrir, etc. Je rétorquerai que si une entreprise comme Microsoft (ou n'importe quelle autre) n'a pas compris le sens de "backups" ou de "réseaux redondants", elles ne mérite pas mieux que de subir les conséquences de ce qu'elle a engendré. Surtout si sa porte d'entrée sur Internet permet à un virus à 2 cents d'euros de planter des serveurs sur le réseau interne... Souvenez-vous, le code source du système d'exploitation en développement chez Microsoft avait été téléchargé par des personnes externes à l'entreprise, simplement parce qu'un cheval de Troie avait pu se frayer un chemin à l'intérieur du réseau interne et communiquer avec l'extérieur...

On guérit très bien les rhumes avec de l'aspirine

Maintenant, parlons des virus... Quelle analogie avec le monde réel peut-on imaginer? Réfléchissons bien... Mmmmmmmhhhhh... Un virus biologique? Un rhume? Une gastro? Ca me parait pas mal. Un rhume un peu fort. Voilà la forme de mon virus informatique dans le monde réel. Il y a donc, à l'échelle de la planète, entre 500.000 et 1 million d'ordinateurs infectés par le rhume. Je ne sais pas pourquoi, mais j'aime bien les chiffres reposant sur quelque chose de concret. Les obscures estimations des fabriquants d'anti-virus ne me plaisent pas du tout. Prenons l'OCDE. L'organisation a regardé le nombre de domaines enregistrés fin juillet 2002 (sources: NICs) dans les pays de la zone OCDE: 43.86.296. Pour sa part, Netcraft qui sonde le Web chaque mois à la recherche de sites Web en a trouvé 47,173,415 en février 2004. Le saviez-vous? Les virus du type MyDoom ciblent des ordinateurs ayant comme système d'exploitation les produits de Microsoft. Oui, vous le saviez. Et bien, si l'on se réfère à la dernière étude de Netcraft, Les sites utilisant Apache comme serveur Web représentent 67.38% du total tandis que Microsoft ne représente que 21%. Tentons d'en tirer une conclusion... Cela veut sans doute dire que les virus en question sont principalement destinés aux utilisateurs finaux. Vous. Vous qui faites partie des 80 à 90% d'utilisateurs d'un système d'exploitation produit par Microsoft. Il ne s'agit pas de dire que Microsoft c'est le mal. Mais plutôt que Microsoft pourrait mettre un peu de ses 6 milliards de dollars affectés cette année à la recherche et au développement dans la sécurisation de son système d'exploitation!

Revenons à notre million d'utilisateurs finaux qui vont ou ont déclenché un déni de service sur le site de SCO ou de Microsoft. Il faut qu'ils soient connectés au net, ce qui n'est pas évident, puisque même avec le fort développement de l'ADSL dans les pays développés, tout le monde ne laisse pas son ordinateur personnel allumé toute la journée et toute la nuit... Notre "fraction" de contaminés auteurs de DDoS se réduit encore un peu... Il est dimensionné pour recevoir combien de visites simultanées le site de SCO ? Et celui de Microsoft?

Alors que je m'apprête à publier ce papier, un éditeur d'anti virus se range à mon opinion de marabout. Il explique doctement, après l'hystérie générale, que finalement, il n'y a eu que 4 à 5.000 PC qui ont tenté un DDoS sur le site de Microsoft (d'où sortent ces chiffres?) et environ 100.000 sur le site de SCO. Personnellement, je suis effaré de voir que 100.000 requêtes étalées dans le temps ne sont pas supportées par un site comme celui de SCO. Mais bon...

Pour revenir à mon virus qui serait l'équivalent d'un rhume ou d'un gastro, je vous invite à rechercher des informations de ce type. Il y a plein de gens touchés par ce genre de choses qui s'en remettent très bien. Exactement comme pour les virus informatiques. Sauf qu'il y a des morts de la grippe. Pas encore d'un virus informatique...

F.U.D. à tous les étages

Il n'y a probablement que les éditeurs de produits anti virus qui trouvent que ces machins sont véritablement dangereux. Et plus ils le disent, plus les journaux véhiculent cette idée. Et plus les journaux véhiculent cette idée, plus les boites d'anti virus gagnent de l'argent...

Pourtant, au lieu d'en faire des pages sur le dernier virus à deux cents et ses prétendues répercussions, les journalistes pourraient faire un peu de lobbying. Imaginons qu'à chaque virus de ce type (ils sont tous faits plus ou moins sur la même base) il y ait deux page dans tous les journaux pour dire que Microsoft fait n'importe quoi. Imaginons un instant que les journalistes écrivent quelque chose comme: "personne ne tolérerait qu'un fabriquant de voiture mette régulièrement sur le marché des produits sans freins". Au bout de quelques épisodes de ce type, Microsoft, qui, comme toute entreprise craint les répercussions des articles sur son cours de bourse, se mettrait peut-être à dépenser trois dollars pour améliorer le code de ses produits.

En attendant, comme pour les pirates informatiques, tout le monde préfère mettre l'accent sur le conducteur de la voiture sans freins plutôt que de s'intéresser à la société qui a commercialisé cette voiture sans freins...

Pour ceux qui ne le savent pas, un système d'exploitation Linux avec KDE comme interface graphique est, aujourd'hui, à peu près aussi simple à utiliser qu'un Windows. Et comme cadeau Bonux, on évite tous ces virus... Ceci dit, je ne devrais pas dire ça trop fort, sinon, il finira par y avoir des tonnes d'utilisateurs de Linux. Et là, il y aura des débiles pour balancer plein de virus "Linux compliant".

Par ailleurs, à force de dire que ces virus sont très dangereux, qu'ils font des millions de dollars de dégâts, les gens acceptent que l'on passe des lois terriblement répressives qu'ils n'accepteraient pas dans le monde réel. Je ne vais pas revenir sur la conservation des logs, on en a déjà parlé ici. Un pauvre gamin roumain de 25 ans risque actuellement jusqu'à quinze ans de prison pour avoir diffusé une version modifiée de Blaster (un précédent virus du même genre) qui n'a visiblement infecté que quelques postes dans son université... Ils devraient lui couper les mains aussi, on ne sait jamais.

Les éditeurs d'anti-virus portent une très lourde responsabilité dans la diabolisation des virus et de leurs auteurs. A tel point que parfois, c'est rare, mais ça arrive, ils sont pris la main dans le sac. Je vous recommande cet intéressant papier de Reuters qui donne la parole à un employé de Trend Micro, celui-ci estimant que les virus ont représenté un coût de 55 milliards de dollars en 2003. Las, quelques temps plus tard, Trend Micro doit se fendre d'un communiqué auprès du site Vmyths.com expliquant que rien en permet de chiffrer ce coût avec précision. Cette information a donc été rapportée par Vmyths.com, un site qui passe son temps à démystifier toutes ces histoires de virus. A lire absolument.

Ca me rappelle la Une du Monde qui expliquait doctement que le DDoS de Mafiaboy avait représenté un coût d'un milliard de dollars pour les entreprises touchées. Nous avions fait la démonstration quelques mois plus tard que le coût pouvait difficilement dépasser les 4 millions de dollars...

Quant aux éditeurs d'anti-virus, on notera leur bonne foi. Lire le contenu de Vmyths.com est édifiant. Mais le mieux est de se frotter à la réalité. Bien que je sois tout sauf un expert en virus informatiques, j'ai écrit, pour Transfert.net, deux articles (1 - 2) sur une histoire étonnante. Celle de l'éditeur Tegam qui attaquait Guillermito. Le vilain petit canard Guillermito avait osé critiquer les qualités de plusieurs logiciels, dont celui de Tegam. La main sur le coeur, on m'a juré côté Tegam que non, ce n'était pas eux, que je ne connaissais pas le paysage global et qu'il me manquait des éléments pour comprendre ce qui se passait. Bilan des courses, c'est une pauvre action en justice pour contrefaçon menée par Tegam, et particulièrement ceux qui m'avaient juré main sur le coeur qu'ils n'étaient pas à l'origine de la plainte contre Guillermito. Les histories de parole, ça me fait moyennement rire. Bref. Toujours au chapitre Tegam (leur niveau de parano déjà très, très, élevé devrait exploser à la lecture de ces quelques lignes pourtant anodines), citons (je salue ici, pour une fois, la qualité de l'analyse du Journaldunet) le très confidentiel document remis par les experts de ladite société aux "autorités concernées" (heureusement qu'ils ne se sont pas plantés et qu'ils ne l'ont pas envoyé aux autorités non concernées) sur un futur cheval de Troie hyper furtif... Sans aller très loin dans la polémique sur l'intérêt d'un tel document et sur la manière dont il a été fuité vers la presse, Kitetoa.com vous invite à lire ce papier traduit par mes soins il y a des années. Dans son communiqué de presse, Tegam indique: "Le document est classé confidentiel par TEGAM International dans le but de ne pas donner d'idées à des terroristes informatiques.". A la lecture du document de Roelof Temmingh, vous devriez comprendre que les terroristes informatiques (ça existe ça?) avaient les bases pour réaliser ce machin depuis belle lurette. Le papier de Roelof date de 1999... Pour ceux qui ont eu accès au documents confidentiel de Tegam, j'avoue que je suis intéressé de savoir s'il existe des similitudes avec le texte de Roelof. Si vous avez une opinion ou ce document et que vous souhaitez nous la faire parvenir, cliquez ici

Il ne me serait pas possible de finir ce papier fleuve (vous êtes toujours là? Quel courage... Les experts de la publication online disent qu'au delà d'un feuillet, personne ne finit un papier sur le Web et là, j'approche des 12 feuillets... D'ailleurs, si vous êtes arrivé jusqu'ici, envoyez-moi un mail, j'essaierai de rentrer dans le livre des records avec le nombre le plus élevé, si possible, de lecteurs pour un papier fleuve) sans évoquer les bidules qui contrôlent les mails entrants dans les entreprises afin d'éviter l'arrivée de virus.

J'imagine que vous avez tous reçu un jour ou l'autre un mail annonçant que Micrsoft, IBM et je ne sais quel autre éditeur avaient découvert un nouveau virus super dangereux et qu'il fallait que vous envoyiez ce mail à tout votre carnet d'adresse. Pour ceux qui ne le savent pas encore, ce virus, c'est le mail que vous avez reçu. Le virus annoncé dans le mail n'existe pas. Pourtant, vous allez renvoyer l'email à tout votre carnet d'adresse, encombrant ainsi les serveurs de mails et la bande passante. Et bien désormais, ce sont les anti virus qui véhiculent ce genre de choses.

Explication. Lorsque le virus MyDoom arrive sur un ordinateur, il va se propager vers d'autres machines en utilisant la liste des emails qui se trouvent dans le carnet d'adresses de votre logiciel de mail. Et il va poster sous de fausses identités. Exemple concret, j'ai reçu environ 40 à 50 mails par jour depuis le début de la propagation de MyDoom qui me sont envoyés par les logiciels bloquant les virus sur les serveurs de messagerie des entreprises reçevant des mails infectés. Pourquoi moi? Parce que mon email se trouvait dans des carnets d'adresses de postes infectés et qu'il a servi à MyDoom pour se propager. Tout informaticien de base sait que ces virus utilisent des emails contrefaits pour se propager. Mais cela n'empêche pas les débiles qui paramètrent les anti virus sur les serveurs de messagerie des enteprises, de laisser en marche la fonction "prévenir l'émetteur si un virus est trouvé dans un mail". Ca sent l'installation par défaut à 200 kilomètres. Cela a deux effets. Le premier est d'encombrer les serveurs de mail de toute la planète et de bouffer la bande passante, le second, plus pervert, est de communiquer à l'extérieur des informations intéressantes sur la configuration des serveurs de l'entreprise.

Prenons par exemple ce mail envoyé par sdis30.fr:

Return-path:
Received: from mail.sdis30.fr (unverified [217.167.253.1]) by XXXX
(XXXX) with ESMTP id for ;
Wed, 28 Jan 2004 14:35:30 +0100
To: kitetoa@kitetoa.com
From: SRV_NOTES/SDIS30%SDIS30@sdis30.fr
Subject: NAV a détecté un virus dans un document dont vous êtes l'auteur.
X-Priority: 3 (Normal)
Date: Wed, 28 Jan 2004 14:32:56 +0100
Message-ID:
X-MIMETrack: Serialize by Router on SRV_NOTES/SDIS30(Release 5.0.6a |January 17, 2001) at 28/01/2004 14:32:58
MIME-Version: 1.0
Content-type: text/plain; charset=iso-8859-1
Content-transfer-encoding: quoted-printable

Veuillez contacter votre administrateur système.

Le composant infecté du document analysé a été supprimé.

Informations sur le virus :
L'annexe body.zip contenait le virus W32.Novarg.A@mm et a été supprimée.

J'ai donc appris que sdis30.fr utilisait du Lotus Domino... Quand on sait le gruyère qu'est un serveur Lotus Domino... D'autres mails donnent la version du logiciel anti-virus utilisé. Il suffit d'aller faire un tour sur le bon site pour savoir s'il existe des failles liées à ces logiciels et je vous laisse deviner (par exemple) la suite...

Sacré virus quand même ce MyDoom. Pour un non-événement... Il m'a tellement énervé que j'en ai fait un article de près de 15.000 signes. Il est fort...

Kitetoa