Norton Antivirus et Mydoom.F : !$?%@#$%&

Les logiciels antivirus ne sont pas efficaces à 100%. Parlez-en à un administrateur réseau de la région de Montréal dont une centaine de postes ont été infectés par Mydoom.F, la variante du ver informatique qui supprime des fichiers des disques durs, et qui n'avait qu'un mot pour décrire la situation : «!$?%@#$%&».

Tous les logiciels antivirus ne sont pas créés égaux, en particulier en ce qui concerne les mises à jour de signatures, celles-ci étant nécessaires à la détection des nouveaux virus. Si la recommandation habituelle «mettez vos logiciels antivirus à jour» est nécessaire pour assurer la protection d'un PC, elle n'est pas toujours suffisante, surtout quand la mise à jour n'est pas disponible. Dans le cas du ver informatique Mydoom.F, Symantec, l'éditeur de Norton Antivirus, n'aurait publié une mise à jour que trois jours après la découverte de la bestiole.

Il faut savoir que Mydoom.F est une variante du ver original qui possède la propriété inquiétante de supprimer des fichiers du disque dur infecté, en particulier des documents Word, Excel et Access. Selon le site Web de Symantec, Mydoom.F aurait été détecté sur Internet le vendredi 20 février mais les abonnés ont dû attendre jusqu'au lundi 23 février pour obtenir une mise à jour permettant la détection de cette version. Normalement, il suffit de quelques heures, ou même de quelques minutes dans certains cas, pour télécharger une signature qui permet de détecter un nouveau virus jugé important.

Ce délai de trois jours aurait fait des victimes. L'administrateur du réseau d'une importante entreprise d'impartition en informatique de la région de Montréal, qui s'identifie dans son blogue sous le nom de «Martin», relate son histoire et précise d'emblée que le serveur de courriel et tous les postes de son réseau sont protégés par la version «entreprise» (Norton Antivirus Corporate) du logiciel, qui est constamment maintenu à jour.

Le 23 février, trois jours après l'apparition du ver, le serveur de courriel protégé par Norton Antivirus n'aurait pas vu venir la bestiole, et des employés qui ont ouvert des fichiers joints aux courriels se seraient plaints du comportement étrange de leur ordinateur et de pertes de fichiers. Martin affirme avoir contacté Symantec la journée même. Il obtient alors une mise à jour qui ne fait que détecter le ver, sans le supprimer, et apprend qu'il n'y aurait pas de correctif avant deux jours. Le lendemain, il a toutefois été en mesure de désinfecter les postes avec l'outil de Symantec mis à jour pour tenir compte de la dernière version de Mydoom. Martin mentionne également qu'il lui aura fallu attendre la mise à jour du 25 février pour se débarrasser définitivement du ver informatique.

Comment expliquer que pendant trois jours, les systèmes protégés par Norton Antivirus étaient apparemment vulnérables aux attaques de Mydoom.F?

Il faut d'abord préciser que lors de son apparition, la propagation de Mydoom.F était très faible mais la bestiole a commencé à se répandre plus rapidement au début de la semaine. Une porte-parole de Symantec explique que l'entreprise a bien détecté Mydoom.F le 20 février mais qu'il a été classé comme une menace de niveau 2 sur une échelle de 5, cette dernière valeur représentant le plus grand danger. Il aura fallu attendre le 23 février (Symantec ne précise toutefois pas l'heure) pour que le niveau de menace de Mydoom.F soit augmenté à 3 et qu'une mise à jour soit par conséquent distribuée par le système LiveUpdate via Internet.

Symantec aurait-elle dû classer Mydoom.F comme une menace de niveau 3 dès l'instant de sa détection, compte tenu de sa capacité de supprimer des fichiers et en dépit de sa faible diffusion? Nous n'avons pas de réponse définitive mais nous ne pouvons que constater que d'autres éditeurs de logiciels antivirus n'ont pas tardé à publier une mise à jour de signatures capable de détecter Mydoom.F. On peut s'en convaincre en remarquant les dates de publications sur les sites de Sophos et de F-Secure.

Envoyer à un(e) ami(e)

Texte rédigé par : Jean-Charles Condo
Publié dans BRANCHEZ-VOUS! le 26 février 2004
Vous voulez réagir à cette actualité? Faites-le maintenant dans notre forum Internet