http://www.reseaux-telecoms.com/cso_btree/05_09_01_181747_529/Newscso_view
Myfip, intox au péril jaune ? Marc OLANIE 01/09/2005 Une récente analyse du Lurhq, signalé dans un précédent article publié dans nos colonnes, attirait l_attention des techniciens sur certains virus spécifiquement conçus pour effectuer des vols de propriété intellectuelle. Depuis, les esprits américains s_échauffent, et semblent utiliser cet exemple comme une preuve tangible d_une vaste opération de conspiration et de guerre cybernétique organisée par Pékin. Au fil des pages de Security News, tout d_abord, sous la plume de Bill Brenner qui titre « La Titan Rain Connection de Myfips ». Titan Rain est le nom de code que les Services Moustache de Washington donnent aux escarmouches chinoises sur Internet. Des escarmouches que la Maison Blanche aimerait bien faire passer pour une attaque digne d_une razzia de Tamerlan. Pour bien nous en convaincre, la presse grand public s_empare de l_affaire, et le Washington Post titre « Hackers attack via Chinese Web Sites » : 500 millions de Yellow Hats : émoi, émoi, émoi. Times Magazine lui aussi crie au péril jaune. Même notre grand frère Network World s_empare de l_affaire tout en précisant dès les premières lignes « officials in the Defense Department, speaking anonymously ». Un « officiel » qui parle sous couvert de l_anonymat, ce n_est pas ce que l_on pourrait appeler « une source invérifiable » et une « rumeur infondée » ? En tous cas, ce genre de propos appartient sans le moindre doute à la catégorie « intox et manipulation d_opinion », même si elle contient quelques parcelles de vérité pour appâter l_attention du lecteur. Que l_Empire du Milieu tente, par tous les moyens, d_enquiquiner son voisin américain, cela ne fait aucun doute, et l_on peut certainement faire confiance à la CIA pour rendre aux chinois la monnaie de leur Yuan_ tant que tout cela ne vient pas perturber la bonne marche des échanges commerciaux notamment dans le monde de la téléphonie cellulaire par exemple. Mais le virus Myfip, quelque soit son intérêt technique et la discrétion de son travail, ne peut à lui seul justifier une telle levée de bouclier de la part de la presse américaine. Et c_est la levée de bouclier qui, à son tour, devient suspecte_ Et si tout cela n_était qu_un écran de fumée destiné à attirer les attentions et cacher quelque chose d_encore plus énorme ? Mais bien entendu, soupçonner une presse indépendante, critique et non manipulée d_avoir été influencée ou trompée par une pseudo- Gorge Profonde relègue tout détracteur au rang de « paranoïaque abusé » ou pire, d_esprit « cryptocommuniste fanatisé par une propagande décervelante ». Après tout, le Washington Post, c_est le symbole virginal de la presse US honnête, celle de Carl Bernstein et Bob Woodward, les reporters qui ont révélé l_affaire du Watergate ! Alors, si le Post voit des espions partout, c_est probablement vrai. Pendant ce temps, quelques milliards de courriers électroniques d_origine américaine viendront nous vanter les mérites de leurs fortifiants amoureux et quelques autres e-mails, majoritairement US également, nous demanderont de modifier immédiatement notre mot de passe bancaire. Derrière tout çà, c_est sur, on ne peut qu_y la main des triades de Nankin ou Shanghai. Pendant ce temps, surtout, quelques patrons chez Symantec, Sophos, Kaspersky ou C.A. doivent rêver d_un marché vierge encore, ou chaque PC est infecté par une vingtaine de virus, perclus de failles, rongé par les botnets et miné par les Troyens. Scott Granneman, du Focus, y voit surtout une grande croisade pour RSSI, une campagne d_évangélisation titanesque, à l_image du pays. De Port Arthur aux frontières du désert de Gobi, des bords du fleuve Amour aux bouges enfumés de Macao, de milliers de RSSI iront prêcher la bonne parole : ton PéCé Great Wall à jour tu mettras. Ton firewall avec conscience configureras. Ton disque régulièrement nettoieras afin qu_il resplendisse sur le monde Internet comme la Pensée Mao-Zedong sur le Monde_ http://www.reseaux-telecoms.com/cso_btree/05_08_26_165816_332/Newscso_view Myfip, virus expert made in China Marc OLANIE 26/08/2005 Le Lurhq a récemment publié une analyse approfondie de Myfip, un virus antique il date de lan passé- et dont la gloire se limita à quelques entrefilets discrets dans la presse spécialisée. Cest pourtant là une injustice flagrante, estime le « Threat Intelligence Group », car cette infection a été conçue avec un soin tout particulier. Ce nest pas un vulgaire virus macro ou un worm exploitant les carnets dadresse son mécanisme de propagation Internet est même simpliste, à la limite de linefficace. Mais son moteur est un petit bijou dingéniosité. Quant à son système dexploration des ressources partagées sur réseau local, il repose sur une API intégrée dans le programme même. A ceci sajoute une procédure dattaque de mot de passe par dictionnaire, histoire dobtenir des droits « admin » sur la machine infectée. En fait, Myfip est un rootkit, de ceux qui prennent la peine de se rendre invisible de la liste des processus en cours. Passé le stade dinstallation, plutôt que de tenter de détruire son hôte, il repère uniquement les documents répondant à un format précis : pdf, fichiers de CAO électronique, bases de données Microsoft et fichiers Word. Lesdits fichiers sont ensuite expédiés vers un site distant. Cest donc là un outil despionnage et de vol de propriété intellectuelle, excessivement spécialisé. On notera, explique le Lurhq, que les auteurs présumés de ce virus faisaient commerce de documents éducatifs destinés aux étudiants. Il semble manifestement donc que Myfip ait été conçu pour barboter des mémoires, thèses, cours doctoraux et résultats de TP et recherches électroniques rédigés par des universitaires chinois, et la dissémination dudit virus en dehors des frontières de lEmpire relève plus de laccident et du hasard que dune volonté dexpansion. Il nen demeure pas moins que Myfip possède les gènes de tout bon programme despionnage moderne, tels que ceux destinés à capturer des mots de passe bancaires, à récupérer de la feuille Excel ou à subtiliser nimporte quel autre type de document susceptible de contenir des données importantes.
