Annonce Le virus CME-24 menace des centaines de milliers d'ordinateursLe virus informatique CME-24 doit s'activer, vendredi 3 février, sur plusieurs centaines de milliers d'ordinateurs infectés dans le monde. Le programme se propage depuis mi-janvier via le courrier électronique, par le biais d'une pièce jointe au format ".pif". L'ouverture de ce fichier provoque l'infection de la machine. L'ordinateur touché envoie alors automatiquement, à l'insu de son utilisateur, le message vecteur de l'infection à l'ensemble de son carnet d'adresses. Les courriers infectés s'intitulent aléatoirement "A Great Video", "Fwd : Crazy illegal Sex !", "Miss Lebanon 2006", etc. CHIFFRESVIRUS.Le nombre de programmes malveillants détectés par les antivirus est d'environ 170 000, dont 48 000 pour l'année 2005 (contre plus de 80 000 en 2004), selon l'éditeur McAfee. Une moitié est constituée des virus ou des vers (capables de se répliquer), l'autre de programmes jugés indésirables, comme des chevaux de Troie, des renifleurs de mots de passe, de logiciels publicitaires intempestifs, etc.FAILLES.Le nombre de failles de sécurité (tous systèmes confondus) détectées en 2005 a été d'environ 6 000, selon McAfee. Entre 2002 et 2004, ce chiffre s'était élevé chaque année autour de 4 000. Cette évolution indique que les attaques informatiques tendent à passer de plus en plus par l'exploitation de ces vulnérabilités.[-] fermerSeuls les systèmes Windows sont visés par CME-24, les ordinateurs fonctionnant sous MacOS ou Linux étant épargnés — comme c'est très souvent le cas. L'infection ne provoque aucun effet tangible jusqu'à la date de déclenchement automatique du virus, fixée au troisième jour de chaque mois. L'effet de CME-24 — autrement appelé Nyxem, Blackmal, Blackworm, Nyxem, etc. — est de détruire tous les fichiers créés grâce à la suite bureautique Microsoft Office (documents Word, Excel, PowerPoint) ainsi que ceux au format d'Adobe Acrobat. Le CERT-IST, le Centre de réaction aux attaques informatiques, créé en 1999 par les industriels français, a classé CME-24 à un niveau de risque "élevé" en dépit de l'incertitude qui persiste sur l'étendue de sa diffusion."Ce virus a la particularité de se connecter, dès qu'il a infecté une machine, à un site Web équipé d'un compteur, dit Philippe Bourgeois, chercheur au CERT-IST. Ce compteur affiche environ 8 millions de connexions, c'est-à-dire, a priori, le nombre de machines infectées. Cependant, après analyse, il s'avère que des ordinateurs infectés se sont connectés plusieurs fois au site en question. Le nombre d'ordinateurs touchés a donc été revu à la baisse et est sans doute légèrement supérieur à 300 000." Ce système de comptage, mis en place par l'auteur du virus, a permis d'établir la liste des pays les plus touchés. "L'Inde est en première position, suivie du Pérou, de l'Italie, de la Turquie et des Etats-Unis, explique François Paget, secrétaire général du Club de la sécurité des systèmes d'information français (Clusif) et chercheur pour l'éditeur d'antivirus McAfee. La France est en 24e position, avec moins de 1 500 postes infectés."MIS EN SOMMEILCME-24 ne comporte aucun dispositif de furtivité, c'est-à-dire que les logiciels antivirus correctement mis à jour sont capables de le détecter. Cependant, comme l'explique Frédéric Martinez, chercheur au CERT-IST, "une fois la machine infectée, le virus tente de désactiver certains logiciels antivirus". En d'autres termes, si l'infection d'un poste est survenue avant la mise à jour de l'antivirus, ce dernier a pu être mis en sommeil jusqu'au déclenchement de la "charge utile" du virus. Le dernier programme à déclenchement retardé, Sober, est apparu en novembre 2005. Sa mise à feu, programmée pour le 5 janvier, "devait déclencher des envois de spams (courriers publicitaires non sollicités) de propagande nazie", ajoute M. Martinez. "Bien que très surveillée, elle a été un non-événement."Malgré les fonctions de destruction de CME-24, le CERT-IST rappelle que la plus importante alerte de ces dernières semaines n'était pas le fait d'un virus mais d'une faille de sécurité découverte sur les systèmes Windows (Le Monde du 4 janvier) et corrigée le 6 janvier. Selon des informations de la presse britannique, celle-ci a été exploitée à des fins d'espionnage sur les systèmes d'information du Parlement britannique.