 |
Club de la Sécurité de l'Information Français
Bienvenue au Clusif !
Accès membres |
Evénements en région |
Informations légales |
|
ClusifClub de la Sécurité de l'Information Français
clusif@clusif.asso.fr / +33 1 53 25 08 80 / 11, rue de Mogador 75009 Paris
Adresse de cette page : http://www.clusif.fr/fr/production/infovir/infovir0910.asp
Le Clusif
Productions
Services
- Cybervictime ?
- Formation Mehari
- Prestataires
- Master SSI
- Stages / Emploi
- CLUSIR (régions)
- CLUSI (international)
- Liens
RSS/docs CLUSIFNavigation
Observatoire d'impact LIRVA (W32/Lirva@MM)
Le CLUSIF a lancé fin janvier 2003 auprès de ses membres son premier "observatoire d'impact viral" pour mieux appréhender les conséquences d'une attaque virale auprès des entreprises et des administrations françaises.
Pour cette première enquête, le choix s'est porté sur le virus W32/Lirva qui a été rencontré sur notre territoire dès le début de l'alerte virale émise par plusieurs éditeurs antivirus.
600 personnes ont reçu le questionnaire par e-mail. Ils avaient une semaine pour nous répondre. Nous avons reçu 26 réponses, 24 étaient exploitables ; 23 en provenance d'utilisateurs, 1 venant d'un offreur.
Le virus a été rencontré dans 60 % des cas (15 cas contre 9). Il a généralement été bloqué. Il s'est propagé dans 3 cas seulement. Pour l'une de ces 3 entreprises, des dommages ont été constatés (pertes d'intégrité) et les pertes estimées à 1500 Euros. Dans un autre cas, les pertes sont exprimées en heure de travail perdu : 3 heures.
Sur les 15 entreprises qui ont vu le virus, 10 sont à même de nous préciser le jour et l'heure de la première alerte : entre le mardi 7 janvier au matin et le lundi 13 janvier. Rappelons que selon l'entreprise américaine Messagelabs, le virus a d'abord été repéré en France le 6 janvier 2003 à 14h37 (c.à.d 15h37 UTC).
15 entreprises sur 24 ont su nous indiquer le degré de mise à jour de leur anti-virus. Dans 50% des cas, une mise à jour a été nécessaire et a été très rapidement installée (entre 10 et 30 minutes).
A la lecture des remarques transmises il apparaît que :
- le virus a d'abord (et heureusement) été intercepté par les passerelles de messagerie configurées pour bloquer les EXE. Par le passé, le CLUSIF a déjà mis l'accent sur l'importance d'une bonne configuration de ces équipements. L'attaque par le virus Lirva en démontre une nouvelle fois l'intérêt.
- les mises à jour journalières (voire toutes les 6 heures) ne semblent plus suffisantes. L'arrivée de Lirva a entraîné une réflexion sur la fréquence des mises à jour que quelques uns souhaitent maintenant voir effectuer toutes les 3 heures et même chaque heure.
Diverses encyclopédies proposent des descriptions complètes du virus, on notera :
Association loi de 1901
11, rue de Mogador 75009 Paris
+33 1 53 25 08 80