Faille dans AIM : le filtre contenait une ‘back door’

Une faille dans la messagerie instantanée d’AOL permettant de prendre le contrôle de l’ordinateur sur lequel elle est installée, c’est du sérieux. En effet, AIM caracole en tête de ce type d’applications et revendique fièrement 100 millions d’utilisateurs. En début de mois, le groupe wOOwOO, dédié à la sécurité, sonnait l’alerte dans un message posté sur Bugtraq (voir édition du 3 janvier 2002). Et ses membres renvoyaient vers un « filtre » permettant de se prémunir contre la faille, mis au point par un certain Robbie Saunder, et posté par son auteur à peine quelques jours avant sur la même liste de discussion. Mais si les membres de wOOwOO ont bien vérifié son efficacité, ils n’ont en revanche pas cherché au-delà. D’ailleurs, Robbie Saunder s’était bien gardé de mettre à disposition le code source de son application. Et pour cause : en plus de filtrer, celle-ci récupère l’adresse IP de la machine sur laquelle elle est installée ainsi que d’autres informations qu’elle envoie à Robbie Saunder. Ce dernier peut alors désactiver le filtre pour prendre le contrôle de la machine. De plus, le filtre permet de faire gagner de l’argent à son auteur en se connectant à des sites rémunérant « au clic » en utilisant son identifiant. Et pour couronner le tout, il entraîne l’ouverture du navigateur sur plusieurs sites pornographiques.

« Mea culpa » note contrit Jordan Ritter, un des membres de wOOwOO. Dans un message daté du 8 janvier, il présente les excuses de wOOwOO et renvoie vers une version « nettoyée » du filtre en question. Pour sa part, Robbie Saunder, qui serait un étudiant âgé de 16 ans, se justifie dans un e-mail adressé à Cnet en prétextant une (mauvaise) blague destinée à ses amis et en mettant en avant son « besoin d’argent ». Finalement le filtre n’est pas si méchant, en revanche le procédé employé est franchement regrettable. D’ailleurs AOL a depuis corrigé la faille au niveau de ses serveurs, rendant inutile l’emploi d’un filtre ou toute autre mise à jour, ainsi qu’il l’indique sur son site. La morale de cette histoire, c’est qu’on ne peut faire entière confiance qu’aux correctifs provenant des éditeurs eux-mêmes ou conseillés par leurs soins. Encore faut-il être certain qu’ils proviennent effectivement de l’éditeur. Ces derniers jours, un virus baptisé Gigger se propage en se faisant passer pour une mise à jour d’Outlook Express (voir télégramme du jour). Prudence !