logo Essonne

Virus informatique DuQu, pickpocket digital

  • Posté le : Lundi 21 Novembre 2011
  • |
  • par : L. Salters

Personne ne sait d’où il vient ni quel est son objectif réel. Les experts sont sûrs d’une chose, DuQu ressemble beaucoup à Stuxnet, le programme qui avait notamment attaqué l’Iran en 2010. Le point avec Jean-Yves Marion, chercheur au Laboratoire de haute sécurité de l’Inria et à l’université de Lorraine.

virus Du QuCherchez le virus...

© ©SSPL/ScienceMuseum/LookatSciences

Depuis quelques mois, un virus informatique est détecté dans plusieurs pays, dont la France. Le laboratoire de cryptographie (CrySyS) de l’université de Budapest a signalé son existence au grand public courant septembre. Les experts ont été alertés par les ressemblances entre ce virus et le désormais célèbre Stuxnet, un programme informatique qui avait “attaqué” les installations nucléaires iraniennes en 2010. Selon les spécialistes, l’objectif de ce nouveau virus apparemment très sophistiqué n’est pas clair. Seule certitude : il n’est pas programmé pour “attaquer” mais pour recueillir et transmettre des informations le plus discrètement possible.

Tout commence de façon anodine. Sur votre ordinateur, vous ouvrez une pièce jointe attachée à un mail. Un fichier Word des plus banals, tel que les internautes du monde entier en téléchargent par milliers chaque minute. Mais une fois ouvert, le fichier libère un virus. Le programme se propage en exploitant une faille de sécurité de Windows qui touche la façon dont le traitement de texte Word gère les polices de caractères.
Une fois introduit, DuQu, c’est le nom du virus, récolte des informations qu’il transmet à deux serveurs basés en Inde et en Belgique. Ces informations circulent cachées dans des fichiers d’images (avec l’extension jpeg). Aujourd’hui, les prestataires indiens et belges ont fermé les serveurs incriminés. Mais ce qui a été “volé” n’a pas été “récupéré”. Malgré tout, coupé de sa base, le virus court toujours dans des milliers d’ordinateurs autour de la planète.

“Malware”

“Le terme de virus ne recouvre pas les mêmes menaces et enjeux que dans le corps humain”, précise d’emblée Jean-Yves Marion, chercheur au Laboratoire de haute sécurité de l’Institut national de recherches en informatique et en automatique (Inria). Basé à l’université de Lorraine à Nancy, ce laboratoire se spécialise dans l’étude des “maliciels”, ces programmes informatiques pirates qui s’introduisent dans les systèmes. “Un virus a pour caractéristique de muter et de se dupliquer. Un code malveillant peut avoir des formes plus diverses. DuQu ne se duplique pas, il s’infiltre dans un système et l’espionne. Je préfère parler de malware (maliciels en français). Dans tous les cas, un malware a des moyens de protection pour ne pas être détecté et rendre difficile son analyse.”Ainsi DuQu s’autodétruit au bout de 36 jours, une fois qu’il a fait son travail de transmission d’informations. “Ces codes malveillants sont suffisamment bien programmés pour être dormants. Ils peuvent changer de comportement pour ne pas être repérés par les systèmes de surveillance”, précise Jean-Yves Marion.

Pour autant, malgré cette capacité à rester le plus discret possible, les spécialistes ont désormais bien analysé le mode d’action de DuQu. Reste la question ultime : qui l’a produit et pour quelle raison ? Jean-Yves Marion : “Il est quasiment impossible de savoir qui est à l’origine de ce type de malware. La période des années 90 avec des hackers qui créaient des malware plus par goût du jeu que pour nuire est révolue. Avec DuQu, nous avons affaire à quelque chose d’extrêmement sophistiqué qui a sans doute requis le travail en commun de plusieurs ingénieurs. On est soit dans le domaine de l’espionnage industriel, soit dans celui du crime, pour récupérer des données et s’en servir, comme des numéros de comptes bancaires par exemple. Et pour ce qui est de l’objectif final, pour l’instant on ne sait pas”.

Avant DuQu, son grand frère Stuxnet, qui utilise le même code source, avait infecté un logiciel Siemens de contrôle des automates industriels. Diffusé en Iran, le programme aurait endommagé les installations d’enrichissement d’uranium de Natanz, une usine stratégique dans le programme nucléaire du pays. Sans doute introduit par un technicien qui ignorait qu’il l’avait sur une clef USB, Stuxnet s’est répandu silencieusement pendant des mois en attendant de pouvoir se connecter à des centrifugeuses à uranium. Des milliers d’entre elles tournent à 1230 kilomètres par heure pour purifier le minerai. Stuxnet a accéléré la vitesse de rotation à 1600 kilomètres par heure, ce qui a endommagé les installations. Dans le même temps, le programme envoyait de faux signaux au système de contrôle, indiquant que tout était normal. Quelques mois plus tard, les iraniens changeaient près de 1 000 centrifugeuses... “Pour la première fois, un programme comme Stuxnet a dépassé le stade de l’attaque informatique pour s’attaquer à des installations industrielles, commente Jean-Yves Marion. DuQu, lui, n’est pas programmé pour franchir la frontière digitale.”