ESPIONITE
Le FBI confirme l'existence de son virus espion

D'après Reuters, un porte-parole du FBI confirme l'existence de "Magic Lantern". Cet outil, dont le nom était apparu en novembre dans des rapports, permettrait à l'agence de renseignement américaine d'installer un cheval de Troie sur les ordinateurs qu'elle souhaite surveiller. Le logiciel enregistrerait toutes les saisies au clavier avant de les transmettre au FBI. Inquiétant.

MSNBC ne prend pas des vessies pour des lanternes. Et c'est le cas de le dire : le site d'information américain, dont Microsoft est copropriétaire, avait en effet révélé dans un article daté du 20 novembre l'existence d'un logiciel espion développé par le FBI et baptisé "Magic Lantern" (littéralement "lanterne magique"). Assimilé à un virus de type cheval de Troie (c'est-à-dire qui installe une porte dérobée sur l'ordinateur de la victime), le programme pourrait être diffusé par CD-Rom, e-mail ou autre, voire être directement installé par un agent du FBI. Il enregistrerait ensuite les saisies au clavier pour les transmettre à l'agence de renseignement américaine. MSNBC citait alors une source anonyme et soulignait que l'existence d'un tel outil était mentionnée dans des documents rendus publics par le FBI (bien que copieusement censurés) lors de l'enquête sur son système d'écoute des e-mails Carnivore (rebaptisé depuis DCS 1000, voir édition du 13 février 2001). Ces documents sont consultables en ligne sur le site de l'Epic (Electronic privacy information center). L'agence de presse Reuters rapporte dans une dépêche datée du 12 décembre que le FBI confirme l'existence de Magic Lantern par la voix de son porte-parole Paul Bresson. Ce dernier affirme qu'il ne s'agit que d'un "projet sur l'établi" ("workbench project") qui ne serait pas encore déployé. "Nous ne pouvons pas en discuter parce qu'il est en développement", ajoute-t-il. Dommage.

Les éditeurs d'antivirus complices ?

L'emploi par le FBI de logiciels enregistrant les saisies au clavier est établi, il a notamment été évoqué lors d'un procès en justice. Cela lui permet par exemple de récupérer les mots de passe nécessaires à la lecture de certains messages interceptés. L'assimilation de Magic Lantern à un virus a déclenché un début de polémique autour des fabricants d'antivirus (voir notamment les échanges d'e-mails sur Politechbot). Finalement, l'ensemble d'entre eux assurent qu'ils ne laisseraient pas passer Magic Lantern au travers des mailles de leurs filets et qu'ils n'ont reçu aucune demande en ce sens de la part du FBI. Toutefois, une décision de justice pourrait les contraindre à agir autrement. Décidément, entre Echelon, Carnivore et Magic Lantern, les Américains ne manquent pas d'outils pour espionner les internautes !

Frédéric Vladyslav

**********

Badtrans.B : le virus qui 'écoute' vos mots de passe

Il se présente comme un correspondant connu, s'auto-exécute à l'affichage, se cache de l'expéditeur initial et enregistre tout ce qui est frappé au clavier, mot de passe et autres informations confidentielles. C'est le virus Badtrans.B, une variante de Badtrans, qui a envahit la Toile en quelques jours. Si les entreprises ont pour beaucoup pris les bonnes dispositions, les particuliers sont les plus touchés.

 "Le virus a finalement battu Sircam qui est resté n° 1 de notre classement pendant quatre mois." Ce triste record de propagation, relevé sur le site MessageLabs, est détenu par une nouvelle variante de BadTrans. Découvert le 23 novembre dernier, BadTrans.B se répand très vite à travers les clients e-mail Outlook et Outlook Express non "patchés" de Microsoft. Lundi 26 novembre au matin, MessageLabs détectait une centaine de mails infectés par minute. Si MessageLabs l'identifie comme provenant de Grande-Bretagne, une cinquantaine de pays sont déjà touchés, dont la France. Les imperfections des logiciels ne sont pas seuls en cause. Badtrans.B est un virus intelligemment conçu, tant dans son mode de déploiement et d'infection que dans son objectif final.

Badtrans.B apparaît en effet comme la réponse d'un correspondant à qui l'on a précédemment adressé un courrier. L'origine du mail est donc trompeuse en soit. D'autant que le message d'entête varie. Nous avons, à VNUnet, reçu un message infecté avec l'entête : "Re: Tr: CHANGEMENT DE COORDONNÉES !!! A METTRE A JOUR". Difficile de se méfier quand on connaît effectivement l'expéditeur. Heureusement, le fichier joint, qui contient l'application infectieuse et qui, comme pour l'entête, peut prendre un nom aléatoire (stuff, info, Me_nude, fun, news, etc.), possède une double extension : .MP3, .DOC ou .ZIP, suivi de .pif ou .scr. Encore faut-il avoir activé l'affichage des extensions sous Windows. Le mail reçu à la rédaction proposait simplement "CARD.DOC.pif", que l'on peut rapidement assimiler à la carte de visite virtuelle jointe aux courriers électroniques. Malheureusement, Badtrans.B exploite une faille connue liée à l'entête MIME qui permet d'exécuter le fichier joint à partir de l'affichage du message dans la fenêtre de prévisualisation d'Outlook. Microsoft met en ligne un correctif pour éviter ce mode d'infection.

Discret mais à l'écoute du clavier

Plus malin, Badtrans.B ajoute un souligné ("_") en début d'adresse e-mail de l'expéditeur. Si bien que l'expéditeur involontaire du virus ne peut être joint ni informé du contenu infectieux de ses messages. Y compris avec les systèmes de réponse automatique des anti-virus installés sur les serveurs de messagerie des entreprises. Mais le pire est le pouvoir du virus en lui même. Badtrans.B modifie la base de registre de Windows (au niveau HKEY_LOCAL_MACHINEÖSoftwareÖMicrosoftÖWindowsÖ
CurrentVersionÖRunOnce kernel32 = kern32.exe) afin de s'exécuter à chaque démarrage du système. Il s'auto-envoie à tous les correspondants du carnet d'adresses, allant même jusqu'à "répondre" aux correspondants qui s'adressent à l'utilisateur infecté. Il est de plus difficile à détecter sans anti-virus puisqu'il ne détruit aucun fichier et ne cherche pas à déstabiliser le système. Ce qu'il fait est bien plus dangereux pour l'utilisateur. Il installe dans le répertoire System le cheval de Troie KDLL.DLL qui espionne tout ce qui est saisi au clavier. Mots de passe comme numéro de carte bancaire, notamment, n'ont ainsi plus de secret pour les auteurs du virus. Effrayant !

Les particuliers seraient les principales victimes de Badtrans puisque, selon MessageLabs, 93 % des e-mail britanniques infectés proviennent de fournisseurs d'accès plutôt grand public. Les entreprises ont donc rapidement su prendre les dispositions nécessaires pour éviter la contamination. Notamment en corrigeant Outlook en temps et en heure. Encore une fois, les auteurs de virus profitent des systèmes non mis à jour. Répétons-le donc avec force, il faut impérativement installer les mises à jour de sécurité proposées par les éditeurs !

Christophe Lagane

***********