Tech

Phel : les pirates attaquent le Service Pack 2 de Windows XP

ActualitéClassé sous :Tech , Windows XP , SP2

Microsoft ayant publié après une longue attente le Service Pack 2 destiné à combler de trop nombreuses failles de Windows XP et Internet Explorer, il était tentant pour les pirates, auteurs de vers, virus et autres bestioles, de s'attaquer à ce nouveau bastion pour voir s'il était possible de le prendre en défaut.

Le cheval de Troie Crédits : Académie de Grenoble - École Robespierre

C'est chose faite. Déjà le 13 décembre Microsoft avait dû sortir précipitamment un patch pour corriger une faille du pare-feu incorporé dans le SP2. En effet lorsqu'on travaille en réseau local il est possible d'autoriser le pare-feu à laisser agir certains programmes dans le cadre d'un réseau ou sous-réseau local, tout en interdisant qu'ils communiquent avec l'extérieur (l'Internet en particulier).

Or le pare-feu de Microsoft s'embrouillant quelque peu dans ses tables de routage, pouvait considérer parfois l'Internet comme un sous-réseau local, ce qui permettait le passage de communications non souhaitées (donc d'agressions) en provenance de l'extérieur. L'affaire devient piquante quand on apprend ce qu'a dit Gary Schare, directeur du management produit de Windows : « L'équipe chargée de la sécurité a estimé qu'il ne s'agissait pas d'une vulnérabilité, et qu'elle ne s'en occuperait pas. L'équipe dédiée au produit a de son côté dit qu'elle n'avait pas l'habitude de travailler de manière à respecter l'échéance de la mise à jour mensuelle ». On imagine les explications dans les coulisses !

Mais ces jours-ci ont vu apparaître un cheval de Troie baptisé "Phel" (alias Trojan.Phel.A) découvert le 23 décembre. Pour le moment il semble qu'il constitue une menace mineure. Mais il pourrait potentiellement faire de sérieux ravages car il est capable de télécharger des données extérieures à l'insu de l'utilisateur, ce qui pourrait alors ouvrir sur l'ordinateur une porte dérobée.

Le 25 décembre, Trend Micro rapportait l'existence d'un autre programme baptisé "HLP_HEAPINTX.A", pouvant tromper de nombreuses versions de Windows, dont XP SP2. Mais il s'agit simplement pour le moment de ce qu'on désigne par le terme de "proof of concept", autrement dit c'est un simple programme de démonstration destiné à prouver qu'on pourrait faire quelque chose de vraiment dangereux.

Dans les deux cas ces programmes ciblent des fichiers d'aide. Phel - un anagramme de "Help" - exploite une faille découverte en octobre dernier dans Windows XP SP2, lorsqu'il est utilisé en conjonction avec le navigateur Internet Explorer 6 SP2. Il se cache dans un fichier d'aide au format HTML. Si ce fichier est ouvert, Phel est activé grâce à une faille qui se situe au niveau de la gestion de fichiers d'aide. Une faille jugée peu dangereuse qui n'a pas encore été corrigée. Par chance une erreur dans la programmation du cheval de Troie fait que cette activation n'est pas assurée.

Si l'activation a lieu, Phel modifie la base de registre de Windows pour s'exécuter à chaque fois qu'est activé un compte utilisateur. Il va ensuite télécharger à l'insu de l'utilisateur un autre programme malveillant baptisé "Backdoor.Coreflood", qu'il exécute automatiquement. Comme son nom l'indique ce programme ouvre une porte dérobée, qui pourra être utilisée par une personne malintentionnée pour lancer une attaque par déni de service.

On attend toujours un correctif de Microsoft pour cette faille.

Cela vous intéressera aussi