Sunbelt vient à bout d’un logiciel espion très discret

« C’est un troyen standard mais très difficile à déceler. Il est très discret, ne ralentit pas du tout le système et impressionne par l’échelle à laquelle il est appliqué. » Les propos de Gerald Capon, directeur général de Sunbelt System Software Europe, n’ont rien de rassurant. L’objet de ces inquiétudes ? Un agent malicieux que l’équipe américaine de Sunbelt Software a découvert, presque par hasard, le 4 août dernier (voir édition du 10 août 2005). Depuis, Sunbelt lui a attribué un nom : Srv.SSA-KeyLogger.

Il s’agit donc d’un programme espion qui enregistre les frappes au clavier avant de transmettre à un serveur les informations qui l’intéressent : les identifiants et mots de passe d’une cinquantaines de banques américaines et les services comme le système de paiement en ligne PayPal d’eBay, mais aussi des cessions de chat, etc. « Nous avons réussi à remonter jusqu’au serveur qui rapatrie les données et nous avons constaté que le fichier log était vidé tous les deux jours », explique le dirigeant, « des milliers de machines sont infectées. » Pour l’heure, Sunbelt ignore si les banques françaises sont actuellement victimes de Srv.SSA-KeyLogger, directement ou indirectement par l’intermédiaire de leurs clients.

Invisible aux yeux des firewall

Associé au spyware CoolWebSearch (CWS), l’un des plus virulents du Web, Srv.SSA-KeyLogger est apparenté à la famille de chevaux de Troie Dumador/Nibu. Son fichier exécutable, winldra.exe, ne pèse que 26 Ko. Il s’appuie sur Internet Explorer pour récupérer les données à partir de la zone pourtant protégée (IE Protected Storage) du navigateur. Il regarde également dans le presse papier de Windows. C’est pourquoi il reste relativement discret aux yeux des firewall, logiciels comme matériels. De plus, il prend soin de désactiver le firewall de Windows. Tout comme Dumador/Nibu, Srv.SSA-KeyLogger enregistre les comptes d’accès de plusieurs programmes dont WebMoney, Far Manager et Total Commander et tente de désactiver l’analyse de nombre de logiciels antivirus. Une précaution bien inutile puisque aucun outil antiviral, à l’exception de Kaspersky selon Geral Capon, n’a réussi à déceler le malware.

Du coup, on ignore depuis quand opère ce petit bijou de l’espionnage en ligne. « Cela peut faire des mois et des mois qu’il est en service », lâche le responsable. Sa découverte tient d’ailleurs presque du hasard. C’est en travaillant sur CWS qu’un chercheur de la société a détecté l’intrus. Sunbelt a évidemment mis à jour ses produits, CounterSpy et sa version Entreprise. L’éditeur devrait très rapidement proposer gratuitement un outil de détection propre à Srv.SSA-KeyLogger sur son site.

Firefox épargné

En attendant, Gerald Capon recommande d’utiliser un pare-feu autre que celui de Windows. Il confirme également que les navigateurs alternatifs, principalement Firefox, ne sont pas affectés par le keylogger. Enfin, il se défend de vouloir faire sa publicité autour de cette affaire. Il rappelle que Sunbelt existe depuis 20 ans autour d’une activité jusqu’à présent plutôt ciblée sur l’entreprise avec son produit Double-Take. « C’est la première fois que nous découvrons un logiciel espion mais nous ne cherchons pas à faire un coup commercial », justifie-t-il, « nous avons d’ailleurs fait part de notre découverte à nos confrères et néanmoins concurrents. »

Srv.SSA-KeyLogger pourrait ne pas être un cas isolé. « Les troyens sont quasiment invisibles désormais, cela devient un problème majeur et Internet est un univers où sévissent les activités criminelles », soutient Gerald Capon, « il faut aujourd’hui faire très attention à son utilisation. » Pour le responsable, l’objectif criminel des virus et autres bestioles numériques est avéré. Il est loin le temps où les virus se contentaient de formater votre disque dur…