La collaboration entre le FBI, les équipes d'intervention des divers CERT et les éditeurs d'antivirus semble avoir porté ses fruits : à 21 heures (France) l'assaut tant redouté du ver Sobig faisait long feu. Beaucoup de bruit pour rien, donc, mais la technique était diablement efficace. A tel point que l'auteur de Sobig se serait offert le luxe de se payer malgré tout la tête de la communauté antivirale.

au sommaire


    Pas d'attaque massive pour le ver Sobig.F

    Pas d'attaque massive pour le ver Sobig.F

    Non content d'être devenu en moins d'une semaine le ver à la prolifération la plus rapide d'Internet, Sobig.F promettait de belles sueurs froides aux experts anti-virus pour ce vendredi 22 août. A 19 heures UTCUTC, soit 21 heures en France, tous les PC infectés à travers la planète (150.000 selon les estimations) devaient en effet se connecter à un serveur dont l'adresse était gardée secrète par l'auteur du virus. Ils y auraient alors téléchargés un programme mystérieux pour l'exécuter simultanément, en se synchronisant à l'aide d'horloges atomiqueshorloges atomiques.

    Cette précision méticuleuse dans le scénario avait chauffé les esprits toute la journée, tandis que le FBI, les éditeurs d'anti-virus et les équipes des différents CERT (Computer Emergency Response Team) de la planète partaient en chasse. Tous traquaient une liste de 20 serveurs relais chargés de communiquer à Sobig, le moment venu, l'adresse du mystérieux programme à télécharger.

    Car l'auteur du virus savait parfaitement que s'il laissait cette adresse dans le code de son parasiteparasite, elle serait déchiffrée rapidement par les éditeurs d'antivirus et le serveur en question mis hors d'état de nuire avant le "Grand Soir". Il avait donc simplement laissé dans les entrailles de Sobig une liste de 20 ordinateursordinateurs répartis à travers le monde. C'était eux qui, une fois contactés par n'importe quelle instance du ver, devait répondre par l'adresse du fameux site web où télécharger la charge offensive. Tous ces ordinateurs relais étaient situés sur les réseaux de fournisseurs d'accès bien distincts afin de rendre leur neutralisation difficile. Il appartenaient en outre à des particuliers totalement inconscients du rôle qu'ils jouaient dans cette affaire. Ces PC avaient d'ailleurs probablement étés piratés "à la main" avant le début de l'épidémieépidémie.

    Une contre-attaque mondiale

    Bien sûr, les éditeurs d'antivirus avaient depuis longtemps déchiffré la clé d'authentificationauthentification de Sobig, et s'étaient ainsi connectés à ces serveurs afin d'en savoir plus. Hélas, l'auteur du virus avait alors été plus malin qu'eux : l'adresse renvoyée à ce moment là était fictive. Les experts ont alors vite compris que l'auteur du virus ne donnerait la bonne adresse à ces relais de fortune qu'à la dernière seconde. S'est alors engagé une course contre la montre afin de contacter les fournisseurs d'accès des PC concernés (au Canada, aux Etats-Unis et en Corée du Sud) et les convaincre de bloquer momentanément l'accès à ces ordinateurs.

    Avec l'aide du FBI, les experts semblent y être parvenus puisque l'attaque n'a pas eu lieu. A 21 heure ce vendredi soir, un seul des PC sur cette liste de 20 n'avait pu être neutralisé, mais il semblait éteint. Selon F-Secure, à l'origine de cette alerte, cela pourrait être qu'il n'ait pas tenu la charge lorsqu'une centaine de milliers de vers sont venus frapper à sa porteporte en quête d'instructions.
    Mais selon d'autres rapports, ce Dernier des Mohicans aurait bien été en vie au moment de l'attaque, et il aurait donné l'adresse... d'un site pornographique ! Si tel est le cas, on peut y voir un beau pied de neznez à la communauté antivirale.