Le malware Duqu entre en France et détecte les faiblesses

Quelle est cette fragrance ? 85
Vincent Hermann
virus Duqu est le nom d’une menace informatique qui grandit actuellement en s’infiltrant un peu partout. Le malware semblait dans un premier temps limité à certaines zones géographiques, mais on le retrouve désormais dans un nombre croissant de pays, forçant Microsoft à réagir avec une solution provisoire.

La menace Duqu a été la première fois repérée par l’éditeur de solutions de sécurité Symantec. La société indiquait mi-octobre qu’il s’agissait d’un malware dont une bonne partie du code source était héritée de Stuxnet. Cependant, mêmes cousines, les deux menaces n’avaient pas les mêmes objectifs. Stuxnet s’orientait davantage vers le sabotage des systèmes de contrôle industriel et savait également se répliquer. Duqu ne se réplique pas et s’installe afin de voler un maximum de données qui serviront lors d’attaques plus sérieuses. Il agit comme un espion venu en repérage.

Pour s’installer, Duqu utilise un document Word dans lequel il se tient embusqué. Pour qu’il puisse prendre pied dans un système, il a besoin d’une faille dans Windows qui à l’heure actuelle n’est toujours pas corrigée. Son existence a en effet été découverte « grâce » au malware, autrement dit une faille zero-day.

Mais Symantec est revenu communiquer hier sur le sujet. En effet, Duqu aurait été détecté dans huit pays : France, Pays-Bas, Suisse, Ukraine, Inde, Iran, Soudan et Vietnam. Toujours selon l'éditeur, au moins six entreprises auraient confirmé la présence de Duqu dans leurs systèmes.

Dans la même journée, Microsoft a réagi à son tour en publiant un bulletin pour expliquer la faille. On y apprend qu’elle se trouve dans le moteur servant au parsing des polices TrueType. Exploitée, elle peut permettre l'exécution d’un code en espace kernel, autrement dit avec tous les droits. Il est alors possible d’installer des applications, lire et modifier des données ou encore créer des comptes administrateurs.

La faille est critique car elle mêle l’exécution de code à distance à l’élévation de privilèges. Microsoft a indiqué qu’un correctif serait forcément présent dans le prochain cycle de publication des mises à jour qui interviendra le 13 décembre. Une solution temporaire a toutefois été publiée. Elle consiste à désactiver le support des polices TrueType embarquées. Le problème est justement qu’elles seront désactivées et que si une application en a besoin, elle ne fonctionnera pas correctement.

En attendant le correctif final, vérifiez les mises à jour de votre antivirus et prudence sur les documents Word reçus en pièces jointes dans les emails.