 |
Club de la Sécurité de l'Information Français
Bienvenue au Clusif !
Accès membres |
Evénements en région |
Informations légales |
|
ClusifClub de la Sécurité de l'Information Français
clusif@clusif.asso.fr / +33 1 53 25 08 80 / 11, rue de Mogador 75009 Paris
Adresse de cette page : http://www.clusif.fr/fr/production/infovir/infovir0911.asp
Le Clusif
Productions
Services
- Cybervictime ?
- Formation Mehari
- Prestataires
- Master SSI
- Stages / Emploi
- CLUSIR (régions)
- CLUSI (international)
- Liens
RSS/docs CLUSIFNavigation
Observatoire d'impact MyDoom (W32/MyDoom.A@MM)
Le CLUSIF a lancé le 9 février 2004 auprès de ses membres son second "observatoire d'impact". Tout comme l'an passé (janvier 2003) avec W32/Lirva@MM, l'association espère ainsi mieux appréhender les conséquences d'une attaque virale en France et en faire bénéficier l'ensemble des acteurs de la profession.
Pour cette enquête, le choix s'est porté sur le virus W32/Mydoom.A@MM qui a semblé avoir fortement circulé dans les entreprises de l'hexagone dès le début de l'alerte virale émise le 26 janvier 2004.
Environ 300 entreprises, membres du CLUSIF, ont reçu le questionnaire. Elles avaient une semaine pour nous répondre. Nous avons reçu 35 réponses principalement en provenance d'utilisateurs. Seules 4 réponses émanaient d'offreurs en sécurité ou spécialistes virus.
Le virus a été rencontré dans 97 % des cas (34 cas contre 1). Circulant principalement au travers de la messagerie électronique, il a généralement été bloqué. Le nombre de courriels interceptés est fréquemment connu. Il montre l'importance du phénomène et se décline selon le tableau suivant.
| Nombre de courriels bloqués par entreprise | Nombre de réponses |
|---|---|
| Plus de 100 000 | 2 |
| Entre 10 000 et 100 000 | 13 |
| Entre 1000 et 10 000 | 10 |
| Moins de 1 000 | 4 |
| Chiffre non communiqué | 6 |
Le virus s'est propagé au sein de l'entreprise dans 6 cas seulement. Il a alors impacté entre 2 et 300 machines. N'ayant pas de module destructeur l'infection a été maîtrisée sans effet secondaire notable. Neuf entreprises nous ont, malgré tout, signalé des dommages. Il s'agissait généralement d'un ralentissement des échanges de mail allant parfois jusqu'au blocage (plusieurs heures) ou à l'isolement de la messagerie (2 heures). Une entreprise nous a signalé un problème d'atteinte à son image de marque.
Beaucoup d'entreprises se sont plaintes du nombre important de messages d'alerte erronés en provenance des anti-virus de sociétés extérieures. Ce phénomène lié à la technique d'usurpation d'adresse n'est pas nouveau. Il a été cependant particulièrement visible à cette occasion. Rappelons qu'ayant collecté des adresses électroniques sur le poste infecté, le virus utilisait celles-ci comme émetteurs apparents. Configuré pour alerter l'expéditeur, l'anti-virus interceptant le message redirigeait alors l'alarme vers cette fausse adresse.
| Nombre de messages d'alertes erronés reçus par entreprise | Nombre de réponses |
|---|---|
| Plus de 100 000 | 1 |
| Entre 10 000 et 100 000 | 1 |
| Entre 1000 et 10 000 | 1 |
| Moins de 1 000 | 7 |
| Chiffre non communiqué | 25 |
14 entreprises ont estimé leurs pertes financières. Dans la majorité des cas, ces entreprises estiment l'impact financier comme nul (dans 7 cas) ou faible (dans 5 cas). L'une d'entre elles explique ce fait en indiquant que le coût interne fait partie intégrante de nos politiques de sécurité. D'autres comparent ce type de dépense à une campagne de traitement de messages non sollicités. Seules deux entreprises nous ont indiqué un chiffre relativement important ; pour l'une, 20 jours homme, pour l'autre 20.000 Euros.
Sur les 34 entreprises qui ont vu le virus, 16 sont à même de nous préciser le jour et l'heure de la première alerte. Pour 15 d'entre elles, celle ci a lieu avant le 27 janvier 16 heures (dernière heure transmise pour l'enquête, soit moins de 24 heures après le début de l'alerte). Rappelons que selon l'entreprise américaine Messagelabs, le virus a été repéré pour la première fois le 26 janvier 2003 vers 19h (c.à.d 18h GMT).
| Première alerte signalée par l'entreprise au regard de la première alerte mondiale | Nombre de réponses cumulées | ||
|---|---|---|---|
| T0 | 26 janvier 2004 | 19h | 1 |
| T0 + 5 heures | 26 janvier 2004 | 23h59 | 4 = 1 + 3 |
| T0 + 18 heures | 27 janvier 2004 | 13h | 13 = 9 + 3 + 1 |
| T0 + 21 heures | 27 janvier 2004 | 16h | 15 = 2 + 9 + 3 + 1 |
| Au delà de T0 + 21 ou avec heure non communiquée | 20 | ||
Si l'on ajoute à ces précédentes données les entreprises ne nous ayant communiqué que le jour de la première alerte, on obtient le tableau suivant :
| Première alerte signalée par l'entreprise au regard de la première alerte mondiale | Nombre de réponses cumulées | |
|---|---|---|
| Jour J | 26 janvier 2004 | 4 |
| J + 1 | 27 janvier 2004 | 19 = 4 + 15 |
| J + 2 | 28 janvier 2004 | 20 = 4 + 15 + 1 |
| J + 4 | 30 janvier 2004 | 21 = 1 + 4 + 15 + 1 |
| J + 6 | 1er février 2004 | 22 = 1 + 1 + 4 + 15 + 1 |
| J + 7 | 2 février 2004 | 23 = 1 + 1 + 1 + 4 + 15 + 1 |
| Date non communiquée : 12 | ||
31 entreprises sur 35 on su nous indiquer le degré de mise à jour de leur anti-virus. Dans 77% des cas l'anti-virus détectait et éradiquait le virus. Dans certains cas seul l'anti-virus de la passerelle de messagerie était à jour ; celui du poste de travail a dû être remis à niveau. C'est ainsi que 48% nous indiquent avoir cependant dû effectuer une mise à jour.
Le tableau ci-dessous met en perspective les résultats de nos 2 enquêtes. Il montre cependant que Mydoom.A a plus fortement perturbé les entreprises que Lirva.A :
| Observatoire d'Impact | Janvier 2004 (Mydoom) | Janvier 2003 (Lirva) |
|---|---|---|
| Nombre de réponses au questionnaire | 36 | 24 |
| Le virus a été rencontré | Dans 97% des cas | Dans 60% des cas |
| Le virus s'est propagé | Dans 17% des cas | Dans 12% des cas |
| Le virus a causé des dommages | Dans 26% des cas | Dans 12% des cas |
| Coût global (rappel, 14/35 entreprises pour Mydoom) | Nul dans 7 cas Faible dans 5 cas 1 cas : 20 jours homme 1 cas : 20000 Euros | Nul dans 2 cas Faible dans 1 cas 1 cas : 1500 Euros |
| Première alerte signalée dans l'enquête au regard de la première alerte mondiale (en heure) | Pas d'écart : le 26 janvier vers 19h | Le 7 janvier vers 8h (soit T0 + 17 heures) |
| Seconde alerte signalée dans l'enquête au regard de la première alerte mondiale (en heure) | le 26 janvier vers 23h45 (soit T0 + 6) | Le 7 janvier vers 15h (soit T0 + 24 heures) |
| Besoin de mise à jour de son anti-virus | Dans 48% des cas | Dans 50% des cas |
En conclusion
- A la lecture des remarques que quelques personnes nous ont transmises, il apparaît qu'elles considèrent Mydoom.A comme la plus forte infection qu'elles aient subie.
- Alors que l'anti-virus du poste de travail a parfois dû subir une mise à jour d'urgence, les anti-virus situés sur les passerelles de messagerie semblent avoir convenablement joué leur rôle. Les processus de mise à jour automatique et de filtrage des extensions suspectes ont, dans l'ensemble, correctement fonctionné.
- Le virus a certainement été la cause majeure de l'engorgement des messageries et de la perte de disponibilité par surcharge du trafic réseau. L'impact financier en terme de coût direct semble malgré tout proche de zéro.
- Il faut enfin remarquer, phénomène nouveau et en pleine croissance, le surcroît de trafic engendré par les anti-virus eux-même qui, mal configurés, retournaient vers de nombreux correspondants des messages d'alerte par ailleurs inexacts.
François Paget
Observatoire Virus
CLUSIF
francois.paget@clusif.asso.fr
Association loi de 1901
11, rue de Mogador 75009 Paris
+33 1 53 25 08 80