Life

Le langage du virus DuQu a été déchiffré

<a href="http://www.flickr.com/photos/zooboing/4361038612/">Matrix falling text</a>. Patrick Hoesley via Flickr CC <a href="http://creativecommons.org/licenses/by/2.0/deed.fr">Licence by</a>
Matrix falling text. Patrick Hoesley via Flickr CC Licence by

Temps de lecture: 2 minutes - Repéré sur Wired, Forbes, Le Monde, The Guardian

Pour ceux à qui le nom ne dit rien, DuQu est un logiciel malveillant, plus précisément un cheval de Troie, très proche du virus Stuxnet, utilisé notamment pour attaquer les installations nucléaires iraniennes en 2010. Si vous restez malgré tout circonspects face au patronyme de ce logiciel, Cécile Dehesdin expliquait en novembre 2011 sur Slate.fr comment sont nommés les virus informatiques.

Mais, au-delà de son nom, DuQu intriguait aussi par son langage. Une partie de la programmation du virus échappait en effet aux plus acharnés des hackers. Or il s’agissait justement du bloc de code qui permettait au cheval de Troie «de communiquer avec son serveur d’origine et de recevoir des instructions une fois qu’il a infiltré un système», explique le site Wired.

N’étant pas parvenu à déchiffrer le code, la compagnie de logiciel antivirus Kaspersky Lab avait lancé au début du mois de mars un appel à l’aide aux internautes mettant à profit les ressources du «crowdsourcing». Quelque 300 contributions plus tard, le langage est décodé.

A la surprise des Champollion de l’informatique, le code était difficile à percer non pas parce qu’il utilisait un nouveau langage, mais au contraire parce qu’il est écrit en «C». Un langage de programmation inventé dans les années 1970 par Dennis Ritchie, et remplacé ensuite par C++, Java ou PHP, plus modernes. Ce type de programmation est «utilisé par des professionnels, mais pas par les créateurs de maliciels», s’est étonné Costin Raiu, le directeur de l’équipe de recherche de Kaspersky.

«Nous sommes presque sûrs que DuQu est un issu d’un programme gouvernemental, et nous sommes sûrs à 70% qu’il provient de la même source que Stuxnet», déclarait à Forbes Sergueï Golovanov, un expert de Kaspersky en novembre 2011. A la même période, le virus avait été repéré en France dans des systèmes d’entreprises ou d’administration, indiquait alors le Monde, qui expliquait son fonctionnement:

«Là où Stuxnet visait à saboter des systèmes de contrôle industriels, DuQu vise à collecter des données, vraisemblablement en préparation d'autres attaques plus élaborées.»

Le décodage du langage utilisé devrait permettre la mise en place de moyens de défense plus efficace. DuQu s’attaquait aux PC en utilisant une faille informatique dans les documents Word attachés en pièce jointe aux emails. Malgré une protection provisoire mise en place par Microsoft, le virus n’avait pas encore été totalement neutralisé, rappelait le Guardian.

cover
-
/
cover

Liste de lecture