L'auteur présumé du virus informatique Sasser a été arrêté vendredi à Rotenburg, dans le nord de l'Allemagne, a indiqué samedi matin le porte-parole de la police criminelle à Hanovre, Frank Federau. Il s'agit d'un jeune homme, Sven J., âgé de 18 ans et domicilié en Basse-Saxe. Les policiers allemands auraient été menés jusqu'à la maison du jeune homme grâce à des informations données par Microsoft, a déclaré le porte-parole de la police. « Nous sommes absolument certains qu'il s'agit du créateur du ver internet car des experts de Microsoft ont participé à l'enquête et ont confirmé nos soupçons, également parce que le suspect a avoué », a-t-il ajouté dans un entretien avec Reuters Television. Le suspect a été laissé en liberté après confiscation de ses ordinateurs.

au sommaire

    Arrestation de l'auteur présumé du ver Sasser

    Arrestation de l'auteur présumé du ver Sasser

    Microsoft a reçu des renseignements de source anonyme, selon certaines informations, d'un groupe d'Allemands de la même région que le suspect, attiré par une éventuelle prime offerte par le géant du logiciel, selon d'autres informations. MicrosoftMicrosoft a transmis les informations au FBI américain et à la police allemande. Les trois organismes ont travaillé ensemble pour trouver le suspect, a expliqué le porteporte-parole de la police de Hanovre.

    Qui est responsable des conséquences ?

    Le suspect est accusé de sabotage informatique, un délit puni d'une peine maximale de cinq ans de prison en Allemagne. Toutefois ceci laisse en suspend plusieurs point. Certes, la diffusiondiffusion d'un programme tel que Sasser est un délit, mais il faut remarquer qu'il se bornait à détourner du temps processeur pour s'envoyer à d'autres ordinateurs. Ceci provoquait un ralentissement important du fonctionnement. En outre l'exploitation de la faille LSASS rendait ce service instable et provoquait de nombreux arrêts des ordinateurs. Mais le ver Sasser ne contient aucun programme espion ni aucune fonctionnalité destinée à nuire à l'ordinateur qui l'héberge. Il y a donc bien dommage, mais le dommage est indirect.

    On peut aussi s'interroger sur l'imprudence de nombreux administrateurs de réseaux importants qui n'ont pas mis à jour Windows, ou protégé leur système par un pare-feupare-feu efficace. Certains spécialistes de sécurité informatique argumentent depuis longtemps sur le fait que des responsables de réseau ne souhaitent pas appliquer les correctifs de Microsoft les yeuxyeux fermés, mais veulent les tester auparavant pour vérifier qu'en corrigeant certains défauts ils n'en introduisent pas d'autres plus graves. Mais il fallait être bien naïf pour ne pas penser qu'à partir du moment où une faille était publiée, elle ne serait pas exploitée rapidement. Et il est probable que dans la plupart des cas où la mise à jour n'a pas été faite, il s'agit de négligence.

    C'est ainsi que divers réseaux importants ont été touchés tels que la Deutsche Post, la garde-côte britannique, la banque d'affaires américaine Goldman Sachs, la troisième banque nationale de Finlande (qui a préféré fermer purement et simplement ses 130 succursales toute la journée). En Australie, le trafic ferroviaire a été perturbé à près de 80% par un dérangement du système d'information de la compagnie RailCorp qui pourrait, selon son responsable, provenir d'une infection virale. A Taïwan, 1.300 PC de bureaux de Poste ont été infectés, obligeant les employés à reprendre les procédures manuelles. Aux Etats-Unis, la compagnie DeltaDelta Airline a dû retarder certains vols de plus de six heures. En France l'Agence France Presse a reconnu avoir été également victime du ver. Enfin, on parle dans le groupe de news fr.comp.securite.virus du service de réanimation d'un grand hôpital parisien.

    Est-il l'auteur d'autres vers ?

    Cela fait déjà quelques jours qu'un rapprochement a été fait entre Sasser et Netsky. D'une part il y a certaines similarités entre certaines parties du code de Sasser et de Netsky, d'autre part dans le code de la version Netsky.AC on trouve « Do you know that we have programmed the sasser virus?!? Yeah, that's true » (savez-vous que nous avons programmé le virus Sasser ?!? Eh oui, c'est vrai).

    À partir de là on trouve deux types d'interprétations entretenues par la confusion régnant dans les informations disponibles à l'heure où cet article est écrit.

    D'une part Netsky est attribué à un groupe de programmeurs dénommé « Skynet anti-virus group » (en effet diverses variantes de Netsky tentent de désactiver Mydoom, Bagle, Mimail). Certains éditeurs d'antivirus pensent que cette arrestation porte un coup important au groupe Skynet : « la police pourrait avoir démantelé le groupe Netsky avec cette arrestation. Tout le réseau pourrait tomber », a déclaré Graham Cluley, de l'éditeur britannique de logiciels antivirus Sophos. Certains articles consultables sur le Web prétendent même que le jeune auteur de Sasser aurait reconnu être également l'auteur des diverses variantes de Netsky conçues dans le but de lutter contre d'autres vers.

    Mais la police de Hanovre aurait déclaré ne pas savoir si le jeune homme avait conçu toutes les variantes du ver Sasser, ni s'il était l'auteur de Netsky, mais elle a assuré qu'il avait agi seul.

    En fait il y a tellement de variantes de Netsky que rien ne prouve qu'elles proviennent toutes de la même source. La même question se pose pour les quatre variantes de Sasser. Une autre hypothèse avancée est que l'auteur de Sasser aurait simplement utilisé des parties du code de Netsky et des informations techniques sur la faille LSASS, disponibles sur le net, pour construire Sasser.

    A-t-il voulu donner un coup de pouce à sa mère ?

    Les motifs du jeune Sven J. qui habite une sobre petite maison avec jardin, restent encore pour l'instant inconnus. Der Spiegel suppose toutefois qu'il voulait donner un coup de pouce à sa mère pour qu'elle récolte des contrats : celle-ci détient une entreprise qui aide les propriétaires d'ordinateurs confrontés à des difficultés. Rien n'est venu confirmer cette annonce journalistique.

    Un autre auteur, un autre ver

    La police a par ailleurs annoncé samedi avoir arrêté dans le Land de Bade-Würtemberg un homme de 21 ans, soupçonné d'avoir conçu une variante d'Agobot, rebaptisé Phatbot. Les deux affaires ne seraient pas liées malgré la coïncidence chronologique et géographique, même si ce ver exploite aussi la faille LSASS.