Bonjour toutes et tous,

1° 16e anniversaire du premier ver Internet
Le 2 novembre 1988, le ver informatique Morris écrivait une page d'histoire en infectant 5 à 10% des quelque 60.000 ordinateurs alors connectés à Internet.
Robert Morris, le créateur de la bestiole qui porte son nom, était alors étudiant aux cycles supérieurs à l'Université Cornell. Il est maintenant considéré comme l'auteur du premier ver informatique de l'histoire d'Internet car sa création possédait la capacité de se propager d'elle-même, contrairement aux virus qui se greffent à un programme et qui doivent être transférés manuellement pour infecter une machine.
La bestiole relativement inoffensive, qui se propageait en exploitant des failles connues du système d'exploitation Unix et une liste de mots de passe courants, aurait réussi à contaminer des milliers machines en quelques heures. Une fois que le ver Morris était installé sur un ordinateur, il se dupliquait rapidement et envahissait la mémoire des systèmes au point de les paralyser.
Détail insolite, la paralysie des ordinateurs n'était pas prévue; la multiplication effrénée du ver dans les systèmes infectés serait survenue à la suite d'une erreur de programmation de Robert Morris, qui n'avait apparemment pas l'intention de surcharger les machines de la sorte. En 1990, Robert Morris était condamné à trois ans de probation par une cour fédérale américaine pour une attaque involontaire qui avait été qualifiée en novembre 1988 du «plus grand assaut de l'histoire contre des ordinateurs américains».

2° Quels recours en cas d'intrusions informatiques ?
C'est de la capacité de réaction de l'entreprise face à une intrusion dont dépend l'efficacité d'un recours permettant d'identifier le responsable et de le poursuivre.
L'ouverture de plus en plus importante des systèmes d'information des entreprises liée notamment au développement des nouveaux usages, à l'essor des services de mobilité intra et inter-entreprises et à l'avènement des technologies sans fil, fragilise la sécurité de ces systèmes et favorise le risque d'intrusions.
Indépendant de la montée en puissance des menaces internes à l'entreprise, se pose la problématique de la gestion des risques d'intrusions externes qui sont le fait de pirates mais aussi de plus en plus de concurrents.
La mise en œuvre d'outils spécifiques et plus globalement d'une politique de sécurité informatique constituent des éléments importants de la gestion de ce type de risques. Ces derniers ne permettent toutefois pas de les éliminer et prévoient rarement comment réagir en cas d'intrusion externe.
Or, c'est de la capacité de réaction de l'entreprise face à une intrusion dont dépend l'efficacité d'un recours permettant d'identifier le responsable et de le poursuivre que ce soit au plan pénal ou civil.
Constituer un dossier des preuves de l'intrusion
Etablir un dossier regroupant les différentes traces et preuves de l'intrusion est un préalable impératif avant tout recours.
Trop souvent, les recours n'aboutissent pas en raison de l'absence d'éléments de preuves suffisamment probants pour identifier le responsable et qualifier la nature de ses agissements.
L'entreprise doit donc immédiatement rechercher les preuves et les faire constater.
S'il s'agit d'une intrusion à une partie fermée et sécurisée du système d'information ou d'un site web, celle-ci pourra être constatée sur plainte simple par un des services spécialisés de la police judiciaire compétent : la B.E.F.T.I. (Brigade d'Enquêtes sur les Fraudes aux Technologies de l'Information) compétente sur Paris, l'O.C.L.C.T.I.C. (Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication) ou encore la B.C.R.C.T. (Brigade Centrale de Répression de la Criminalité Informatique) au niveau national.
Ces services sont compétents pour mener des enquêtes relatives à des infractions spécifiques à la criminalité liée aux Technologies de l'Information et de la Communication ainsi qu'à des infractions dont la commission est facilitée ou liée à l'utilisation de ces technologies.
Ils disposent des outils et des méthodes permettant de retrouver la trace des responsables et de les identifier.
Toutefois, leur intervention repose uniquement sur le fondement des infractions liées aux "atteintes aux systèmes de traitement automatisé de données" visées au sein des articles 323-1 à 323-7 du code pénal, récemment modifiés par l'entrée en vigueur de la loi pour la confiance dans l'économie numérique du 22 juin 2004.
Autrement dit, si les éléments de preuves dont vous disposez ne suffisent pas à présumer de la matérialité ou de la nature frauduleuse de l'intrusion, ces services pourront prendre la décision de ne pas intervenir en l'absence de qualification pénale d'agissements qu'ils n'ont pas vocation à constater.
On citera comme exemple, l'accès ou le téléchargement de pages web non sécurisées par le biais d'un aspirateur de site web.
A ce titre que la Cour d'appel de Paris, dans un arrêt en date du 30 octobre 2002, a jugé que la possibilité d'accéder à des données stockées sur un site avec un simple navigateur, en présence de nombreuses failles de sécurité, n'est pas répréhensible.
Si les services de police judiciaire se déclarent incompétent, il est possible de faire procéder à des constations par des agents assermentés tels que ceux de l'Agence pour la Protection des Programmes (APP).
Quelle action mener ?
En fonction de la qualification juridique des faits, les recherches et les constats pourront donner lieu, au pénal, à une plainte avec constitution de partie civile ou une citation directe, ou au civil, à une action délictuelle qui pourra notamment être fondée sur des faits de concurrence déloyale si les agissements sont le fait d'un concurrent.
Au pénal, l'intervention d'un juge d'instruction, à la suite d'une plainte avec constitution de partie civile, permettra de poursuivre l'enquête et d'interroger la ou les personnes concernée(s) par les faits et celle(s) devant répondre des chefs d'infraction d'accès et/ou maintien frauduleux aux systèmes d'information, de suppression ou de modification des données y figurant.
Au civil, l'action ne pourra être intentée que s'il existe une faute et un dommage et que le lien de causalité est établi entre eux.
Dans le cas où le dommage causé par l'intrusion est survenu au sein d'une entreprise domiciliée en France, les juridictions françaises pourront être compétentes et la loi française s'appliquer.
En toute hypothèse, la réussite de l'action pénale ou civile dépendra étroitement de la qualité des preuves qui auront été collectées par l'entreprise et celles constatées par les personnes habilitées.

3° Opener: y a-t-il un ver dans la pomme?
Alors que les éditeurs d’antivirus sont divisés sur la nature du programme malveillant Opener, Apple assure qu'il ne s'agit aucunement d'un virus. Car il n'a rien de commun avec Blaster ou Mydoom, qui ciblaient Windows.
Le programme informatique malveillant "Opener", également appelé "Renepo", qui cible les environnements Mac OS X, est aujourd'hui au coeur d'une polémique. Depuis sa mise à jour la semaine dernière, les éditeurs d'antivirus sont partagés sur sa classification.
Dans un communiqué récent, Apple Computers est clair. «Opener n'est ni un virus, ni un cheval de Troie, ni un ver». En effet, explique la firme à la pomme, «il ne se propage pas lui-même à travers un réseau, via la messagerie électronique ou le web» Et d'ajouter: «Opener peut uniquement être installé par une personne qui dispose déjà d'un accès à votre système et des autorisations de niveau administrateur».
Le diagnostic diffère chez l'éditeur de logiciels antivirus Sophos, qui a signalé le premier l'existence de Opener aux utilisateurs de Mac OS. «Si le programme est exécuté sur votre ordinateur (par accident ou volontairement), il se copie dans le répertoire de démarrage local (/System/Library/StartupItems) et sur tous les volumes montés, y compris les autres ordinateurs de votre réseau», indiquait-il dans son alerte du 25 octobre.
Sophos persiste et signe
Décelant ainsi «une capacité de propagation autonome», Sophos n'hésitait donc pas à qualifier Opener de «virus-ver». Même diagnostic chez l'éditeur Symantec. En revanche, comme Apple, Trend Micro ne trouve «aucune capacité de propagation», et préfère parler de «script malveillant».
Le communiqué d'Apple n'a rien changé à l'avis de Symantec et Trend Micro. Sophos campe également sur sa position. «Renepo est un ver et, puisqu'un ver est juste un type spécial de virus, (…) il s'agit bien d'un virus», maintient Graham Cluley, consultant en chef chez Sophos. «Je sais qu'il a y eu beaucoup de discussions à ce sujet», poursuit-il. «[Renepo] essaye bel et bien de se copier d'un disque dur à l'autre, ce qui fait de lui un ver. Si l'on voyait quelque chose de semblable dans le monde PC, on dirait qu'il s'agit d'un ver».
Rappelons qu'Opener n'arrive pas sous la forme d'une pièce jointe trompeuse dans un e-mail, comme bon nombre de virus qui ciblent les PC sous Windows. Pour l'activer, il faut le copier manuellement dans le répertoire de démarrage. Le programme effectue plusieurs modifications nocives sur le système. Il désactive le pare-feu intégré à Mac OS X, puis installe le programme "John the Ripper". Ce dernier déchiffre tous les mots de passe et les enregistre dans un fichier à part, qu'une personne malintentionnée peut ensuite récupérer.