Même si des acteurs comme l’Internet Storm Center et Symantec ont élevé leur seuil d’alerte d’un cran, le risque demeure modéré. Seul un programme malveillant exploite la faille non corrigée de Windows.
Une nouvelle vulnérabilité de Windows agite actuellement la communauté des experts en sécurité. Pour rappel, cette faille permet à un attaquant via un fichier de raccourci malveillant .LNK d'exécuter du code automatiquement sur un PC sous Windows (toutes versions confondues). Le simple affichage d'un icône de raccourci suffit a priori à exécuter le code. C'est la raison pour laquelle le scénario d'attaque le plus probable fait appel à des supports USB. Ainsi lorsque l'Autorun et l'Autoplay ne sont pas désactivés sur un poste, le code stocké sur une clé USB s'exécute à la connexion du support.
48% des ordinateurs infectés sont sous Windows XP SP2 selon Symantec
Pour autant la désactivation de ces fonctionnalités n'est pas une garantie suffisante. L'utilisateur peut en effet être infecté par un programme exploitant la faille en ouvrant dans l'explorateur Windows un répertoire où est stocké un fichier LNK malveillant (qu'il soit donc sur un support USB, un disque, un réseau partagé ou un partage WebDAV). Selon les premières informations communiquées, notamment par Microsoft, les attaques exploitant cette vulnérabilité non corrigée sont limitées. Il s'agirait ainsi d'opérations ciblées contre des entreprises (en particulier les systèmes SCADA). L'Internet Storm Center du SANS Institute et Symantec ont tous deux augmenté leur seuil d'alerte, désormais de niveau deux sur une échelle qui en compte quatre (Jaune pour l'ISC et Modéré pour Symantec).
Les éditeurs d'antivirus anticipent l'apparition d'autres malwares exploitant la faille
Mais pour les éditeurs d'antivirus, à qui l'on reproche parfois leur alarmisme, les attaques pourraient se développer. Pour l'heure, un seul programme malveillant, Stuxnet, exploite la vulnérabilité de Windows. Selon Symantec, les tentatives d'infection ont concerné dans 48% des cas des ordinateurs sous Windows XP SP2 (une version de l'OS plus supportée et qui ne devrait donc pas recevoir de correctif de la part de Microsoft). Juraj Malcho, chef du laboratoire d'Eset, estime que «jusqu'à présent, le nombre d'ordinateurs infectés est d'une dizaine de milliers, mais il est susceptible d'augmenter ». Si Stuxnet ne présente que peu de risques (il n'a pas été conçu pour se propager), « Les experts s'attendent à ce que des familles de logiciels encore plus malveillantes commencent à exploiter cette faille de sécurité dans un proche avenir » avance Eset dans un communiqué.
Risque modéré, priorité aux règles classiques d'hygiène informatique
Les analyses de Symantec vont également dans ce sens. L'éditeur américain table ainsi sur des attaques de type « drive-by download », soit par exemple lors de la navigation sur un site Web. Dans les colonnes de Computer World, le chercheur en sécurité HD Moore écarte toutefois un tel risque qu'il estime peu probable. Selon lui, les particuliers devraient être relativement peu exposés à l'exploitation de cette faille. En outre, les navigateurs modernes apportent des mécanismes de protection contre des attaques de type « drive-by ».
En conséquence, si une menace existe bien, celle-ci ne donne pas lieu pour le moment à des diffusions massives de programmes malveillants et à des infections. Pour les utilisateurs de Windows, outre la désactivation des fonctions Autorun et Autoplay, il est recommandé de scanner tout support USB avant ouverture. Une recommandation classique qui devrait de toute façon s'appliquer...
Source: ZDnet