Pour gérer vos consentements :
Categories: Cloud

Donut : le virus pas tout à fait .Net

Mercredi 9 janvier 2002, plusieurs éditeurs d’antivirus recevaient un e-mail accompagné d’un virus intitulé « dotNET » par son auteur anonyme. Le virus, rebaptisé « W32.Donut » par Symantec, a la particularité de ne s’attaquer qu’aux fichiers destinés à .Net, la future plate-forme de services en ligne que doit lancer Microsoft à la fin du mois. Le premier virus .Net est-il né pour autant ?

« Ce n’est pas un virus .Net », estime Antoine Driard, chef de produit des outils de développement chez Microsoft France, « c’est un virus Windows qui s’attaque aux fichiers .Net. » Une nuance de taille que confirme Eyal Dotan, directeur de recherche et développement chez Tegam, éditeur de l’antivirus Viguard : « C’est un exécutable Windows 32 bits traditionnel ». En fait, Donut s’en prend uniquement aux fichiers .Net qui se distinguent des fichiers Windows par un entête spécifique de 5 octets et sont caractérisés par le langage intermédiaire MSIL. Le virus se propage par e-mail en tant que pièce jointe et se contente de prévenir, une fois sur dix, sa victime par un message laconique du type « Ce fichier est infecté par Donut ». Etant donné le peu de fichiers .Net actuellement en service, Donut ne devrait faire que peu de dégât, voire aucun. Mais qu’en sera-t-il lorsque .Net sera commercialisé à l’échelle mondiale ?

« Donut n’est pas la démonstration de failles dans .Net »« A partir du moment où le virus est un fichier exécutable reconnu par le système, il peut faire ce qu’il veut », explique Eyal Dotan. Destruction volontaire, mise en place d’outils d’espionnage, localement ou à distance, .Net ne semble pas plus à l’abri des virus que n’importe quel autre environnement. « C’est au fournisseur de services de bien protéger son système et ses services », estime le directeur R&D de Tegam, « Donut ne veut pas dire qu’il y a des failles dans .Net ». Effectivement, Donut n’a pas été détecté suite à une contamination mais par envoi d’e-mail. Pour contaminer un environnement, il aurait fallu que l’administrateur exécute la pièce jointe les yeux fermés. Attitude peu digne d’un responsable qualifié. Il n’empêche. Une simple erreur d’inattention et ce peut être la catastrophe pour le prestataire comme pour les clients qui exploiteront .Net ou toute autre plate-forme qui s’appuie sur le réseau pour offrir des services distants.

.Net plus sécurisé que Windows

Chez Microsoft, on se veut plutôt rassurant. « Actuellement, dans la version bêta de .Net, le lancement d’un fichier .exe fait appel à la DLL du runtime et Donut remplace cet appel par son propre programme », explique Antoine Driard, « mais la version définitive de .Net éliminera cet appel », supprimant du même coup un mode de contamination possible. L’entête des fichiers .Net devrait également disparaître et les applications téléchargées le seront dans un répertoire spécifique et ne pourront en sortir. Enfin, toujours selon le porte-parole de Microsoft, un programme .Net s’exécute au sein d’une machine virtuelle de laquelle il ne peut pas s’extraire lui interdisant ainsi toute contamination distante. « Les règles de sécurité de .Net seront bien plus fines que celles de Windows », explique Antoine Driard. La mise en pratique permettra de le vérifier.

Bref, Donut a fait beaucoup de bruit pour pas grand chose si ce n’est pour faire parler de lui. « Pour montrer que c’était possible », suggère Damas Tricard, chef de produit chez Symantec France. « Les créateurs de virus savent que le carnet d’adresses n’est plus un vecteur de propagation efficace et se tournent vers d’autres moyens dont les plate-formes réseau. » Reste à savoir si Donut n’est qu’un coup de pub ou un coup d’essai, premier d’une longue série.

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

20 heures ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago