Life

Qui nomme les virus informatiques?

Cécile Dehesdin, mis à jour le 08.11.2011 à 10 h 09

Ou pourquoi on se retrouve avec un virus nommé Duqu.

virii001/ hj barraza via Flickr CC License By

virii001/ hj barraza via Flickr CC License By

Retrouvez tous nos articles de la rubrique L'explication ici

Un programme informatique profite de failles Windows pour se propager dans des ordinateurs européens. Pour les fabricants d’anti-virus, la menace est sérieuse, et pourtant son nom ne l’aide pas à faire passer ce message au grand public (en tout cas francophone), puisque ce cheval de Troie s’appelle Duqu… (Pour nos lecteurs innocents qui n’auraient pas compris pourquoi on fait cette Explication, prononcez-le à la française: «Du cul».) Qui choisit les noms des virus informatiques?

La plupart du temps, c’est l’éditeur d’anti-virus qui découvre le malware qui lui donne un nom. Dans le cas de Duqu, c’est un laboratoire de recherche hongrois, lié au fabricant Symantec —chez qui on a aussi rigolé en voyant le nom du virus tout en expliquant qu’il est en fait censé se prononcer «diouquiou»—, qui l’a découvert.

Le laboratoire CrySys l’a appelé ainsi parce que le maliciel crée des fichiers avec des préfixes «~DQ» sur les systèmes qu’il a infectés. Les chercheurs ont ajouté un «u» après ces deux lettres et hop, Duqu était baptisé.

D’une manière générale, les analystes s’inspirent d’une caractéristique du malware pour le nommer: en 2003 par exemple, le ver Lovesan a été appelé ainsi parce qu’il contenait les mots «I just want to say LOVE YOU SAN!!».

Les éditeurs reçoivent des dizaines de milliers de menaces par jour, qu’ils doivent aussi rapidement que possible nommer, classer, et contrer (nommer un virus et voir ce nom réutilisé par tous les autres éditeurs et les médias est également une fierté pour ceux qui le découvrent, et ça ne peut pas faire de mal au niveau marketing).

Bataille de noms

Quand des éditeurs trouvent le même virus en même temps ou presque, on peut se retrouver avec quatre ou cinq noms différents pour désigner la même menace. Lovesan s’est ainsi appelé Lovsan, Blaster ou MSBlast.

Parfois, un nom se détache tout seul auprès du grand public: le ver Conficker a aussi été appelé Downadup et Kido, jusqu’à ce que Conficker prenne le dessus sur ses alias. Un conseiller de l'entreprise d'anti-virus F-Secure expliquait ainsi sur Twitter:

«Conficker a un côté mystérieux. Nous utilisions Downadup (le nom donné par Kaspersky), mais on n’arrêtait pas de nous poser des questions sur Conficker. Donc on a changé de nom.»

Mais un nom ne gagne pas toujours sur un autre, et les utilisateurs peuvent s’embrouiller. Pour éviter les confusions, plusieurs initiatives ont été lancées pour standardiser le procédé, sans véritable succès. Entre autres parce que les entreprises d'anti-virus préfèrent passer leur temps à contrer une menace plutôt qu'à tergiverser sur son nom, comme l'expliquait un manager de l'entreprise de cybersécurité ESET en 2010:

«Les menaces doivent être ajoutées immédiatement aux bases de données de maliciels, et retarder un ajout pour que des douzaines de développeur de produits de sécurité s'accordent sur un nom met danger la sécurité des utilisateurs.»

Une nomenclature pas totalement standardisée

L'initiative de standardisation la plus connue date de 1991, quand la Computer AntiVirus Researcher’s Organization (Caro) a mis au point un système de nomenclature, réactualisé depuis pour s’adapter à l’évolution des malwares.

L’idée était de les regrouper en familles et de s’assurer que chaque maliciel avait bien un nom unique. Caro a publié des «à ne pas faire» (utiliser le nom donné par l’auteur du virus) et des «à faire» (en cas d’embouteillages nominatifs, utiliser le nom original, le plus utilisé ou le plus descriptif).

Le format d’un nom Caro est comme ci-dessous (les composantes entre crochets sont facultatives):

[<type de maliciel: ver, virus, cheval de troie>] [<plateforme: Windows, etc>] <nom de la famille> [<groupe>] <variante> [<modificateurs>][!<commentaire>]

Un robot ou un humain

Aujourd’hui, la majorité des grands éditeurs d’anti-virus suivent une nomenclature dérivée de celle de Caro, mais pas tous exactement la même…

Par exemple, chez le fabricant d'anti-virus Kaspersky, Duqu s’appelle Trojan.Win32.Duqu.A (soit le type de menace, la plateforme affectée, le nom du malware et sa variante).

Chez Microsoft, Duqu s’appelle Trojan:WinNT/Duqu.A.

Kaspersky affirme gérer environ 70.000 menaces par jour. Ces menaces sont d’abord examinées par des robots, qui peuvent automatiquement classer et nommer tous seuls les variantes de malwares existants (par exemple, si une variante de Duqu sort, les robots le reconnaîtront et l'appelleront Trojan.Win32.Duqu.B).

Les humains, des «virus analysts», prennent le relais pour les nouvelles menaces, et les nomment, en tâchant de faire attention à ne pas les baptiser si elles ont déjà un nom répandu, trouvé par d’autres éditeurs d’anti-virus.

Dans tous les cas, les médias et le grand public retiendront le petit nom de Duqu, pas un de ses noms «scientifiques».

Cécile Dehesdin

L’Explication remercie Symantec et Nicolas Brulez, senior malware analyst chez Kaspersky, ainsi que notre confrère Olivier Tesquet, qui a poétiquement posé la question.

Vous vous posez une question sur l'actualité? Envoyez un mail à explication @ slate.fr

Cécile Dehesdin
Cécile Dehesdin (610 articles)
Rédactrice en chef adjointe
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites, vous proposer des publicités adaptées à vos centres d’intérêt et nous suivre sur les réseaux sociaux. > Paramétrer > J'accepte