Derrière Sobig.F, une "mafia très organisée"

Par Christophe ABRIC, le 12 septembre 2003 à 18h02 , mis à jour le 19 janvier 2007 à 18h06

Mikko Hypponen, directeur du laboratoire anti-virus pour F-Secure, a organisé la lutte contre le virus le plus rapide de l'histoire. Il raconte cette course contre la montre à tf1.fr.
Mikko Hypponen © INTERNE

Mikko Hypponen dirige le laboratoire de recherche anti-virus de F-Secure, société de sécurité informatique finlandaise. Il traque les virus, les dissèque, étudie leur fonctionnement : "C'est un travail intéressant, c'est comme jouer aux échecs. En plus de douze ans, je ne me suis pas ennuyé une seule fois", explique-t-il. Il a notamment participé, au mois d'août, à la lutte contre Sobig F., le "mass mailer" le plus puissant de l'histoire. Tout laisse à croire, selon lui, que les personnes derrière ce virus sont très organisées.

tf1.fr : Comment s'est déroulée la lutte contre SoBig.F ?

Mikko Hypponen : Nous en avons reçu un premier exemplaire vers 9h20, heure finlandaise, le mardi 19 août. Dix minutes plus tard, nous l'avions identifié comme étant la nouvelle version de Sobig, la sixième. A 11h43, nous envoyions le première mise à jour de notre anti-virus. Une heure plus tard, le "mass mailing" a commencé, pour atteindre son apogée vers 17h. Les mails arrivaient par milliers, mais nous avions déjà proposé la mise à jour nécessaire pour s'en protéger. Nous savions cependant que le plus dur nous attendait : il y avait probablement une fonction cachée dans Sobig.F. Nous avons mis plus de temps pour la découvrir. Le jeudi, nous l'avions comprise : vingt machines, connectées à 11 fournisseurs d'accès différents, étaient censées lancer une attaque indéfinie. Nous avions trouvé la liste de ces vingt machines, et nous avions trente heures pour les fermer, avant l'attaque. Mais nous ne sommes pas la police, nous n'avions pas autorité pour faire fermer leur accès à Internet. Nous avons donc alerté le CERT (Computer Emergency Response Team) et le FBI pour les machines situées aux Etats-Unis et au Canada. Ironie du sort, Sobig était si puissant, que nous n'avons pu envoyer un email au CERT, il nous a fallu remettre l'alerte en main propre. Vendredi matin, 9 machines étaient encore en marche. Vendredi soir, juste avant l'attaque, deux machines n'étaient pas débranchées. Mais l'une était éteinte et l'autre n'a pu supporter seule la charge de l'attaque, qui n'a donc pas eu lieu. tf1.fr :Les créateurs de Sobig.F étaient-ils bien organisés ? M.H. : Oui, sans aucun doute. Leur attaque était très bien organisée, il savaient probablement comment nous essayerions de lutter contre leur virus. Par exemple, les 20 machines ont été ensuite analysées, elles ne contenaient aucune information sur la nature de l'attaque. Nous ne saurons jamais ce que Sobig.F devait faire : le plan d'exécution était caché sur un serveur dont les 20 machines auraient eu l'adresse à la dernière seconde.


Nous avons mis plus de temps pour la découvrir. Le jeudi, nous l'avions comprise : vingt machines, connectées à 11 fournisseurs d'accès différents, étaient censées lancer une attaque indéfinie. Nous avions trouvé la liste de ces vingt machines, et nous avions trente heures pour les fermer, avant l'attaque. Mais nous ne sommes pas la police, nous n'avions pas autorité pour faire fermer leur accès à Internet. Nous avons donc alerté le CERT (Computer Emergency Response Team) et le FBI pour les machines situées aux Etats-Unis et au Canada. Ironie du sort, Sobig était si puissant, que nous n'avons pu envoyer un email au CERT, il nous a fallu remettre l'alerte en main propre.

Vendredi matin, 9 machines étaient encore en marche. Vendredi soir, juste avant l'attaque, deux machines n'étaient pas débranchées. Mais l'une était éteinte et l'autre n'a pu supporter seule la charge de l'attaque, qui n'a donc pas eu lieu.

tf1.fr :Les créateurs de Sobig.F étaient-ils bien organisés ?

M.H. : Oui, sans aucun doute. Leur attaque était très bien organisée, il savaient probablement comment nous essayerions de lutter contre leur virus. Par exemple, les 20 machines ont été ensuite analysées, elles ne contenaient aucune information sur la nature de l'attaque. Nous ne saurons jamais ce que Sobig.F devait faire : le plan d'exécution était caché sur un serveur dont les 20 machines auraient eu l'adresse à la dernière seconde.

Pour lire la suite de l'Interview, cliquez sur "2"

tf1.fr : Etaient ils les mêmes que pour les précédentes versions ?

Mikko Hypponen : Oui. Prenez une autre preuve de leur méticulosité, le lancement de Sobig.F. Ils se sont servis de machines infectées par la précédente version du virus : une première a servi à s'inscrire sur un forum Usenet grâce à un numéro de carte bancaire volé sur une seconde machine infectée. Sobig.E a donc servi à la propagation de Sobig.F, en utilisant à leur insu des ordinateurs de particuliers. De même, les 20 machines que nous avons neutralisées étaient celle de particuliers qui ne savaient pas que leur PC allait servir à une attaque virale.

tf1.fr : Alors, qui se cache derrière Sobig ?

M.H. : Il s'agit de spammeurs, cela ne fait pas le moindre doute. Toutes les versions précédentes de Sobig servaient les spams : les machines infectées servaient toutes de relais pour les mails indésirables. C'est la même chose pour cette version. Un PC infecté sert de proxy pour les spams envoyés : c'est lui qui se charge de les envoyer vers les destinataires. Il est ainsi difficile de remonter leur trace. Il est fort probable que des spammeurs notoires emploient un groupe de créateurs de virus, afin qu'ils leur conçoivent ces "outils".

tf1.fr : Est-ce pour cela que Sobig.F envoyait tant de mails contaminés ?

M.H. : Je ne pense pas, non. Il s'agit selon moi d'une erreur dans l'écriture du virus. Le nombre de PC infectés est le même que pour la version précédente, et il n'y a aucune utilité à envoyer tant de mails. Bien au contraire : je pense que ça les a desservis, en leur faisant une mauvaise publicité et en attirant trop vite l'attention sur eux. Ils n'en ont pas besoin, ce ne sont pas des ados qui cherchent à se faire remarquer, mais des personnes pour qui tout cela représente un business très sérieux.

tf1.fr : Sobig devait se désactiver le 10 septembre. Un Sobig.G pour le 11 ou le 12 septembre ?

M.H. : Il y a peu de chances. La mauvaise publicité faite autour de la version F va sans doute les inciter à ralentir le rythme des mises à jour. Jusqu'ici, c'était le lendemain. Mais, déjà, Sobig.F nous a pris un peu par surprise : il est arrivé un mois après l'expiration de son prédécesseur...

Par Christophe ABRIC le 12 septembre 2003 à 18:02
Envoyer cette page à un ami
Les champs marqués par une étoile * sont obligatoires.
Les derniers articles High-Tech
  

Commentaires

Afficher : Les plus récents | Les plus appréciés

       Chargement en cours...
      Alertez-nous
        alertez-nous

        Témoin d'un événement ?

        Alertez la rédaction !

        Envoyez une alerte

        A lire aussi
        logAudience