L’union sacrée contre le virus racketteur

Kaspersky Labs appelle les spécialistes du monde entier à coopérer pour lutter contre GPCode, le virus cheval de Troie racketteur du Web

« Pour déchiffrer ces fichiers, notre logiciel est indispensable. Ce dernier coûte 300 dollars. Pour l’acheter, veuillez contacter xxx@xxx.com et fournir votre code personnel – xxx. Une fois la transaction réussie, nous vous enverrons l’outil de décryptage et vos informations confidentielles seront supprimées de notre système. Si vous ne prenez pas contact avec nous avant le XX/XX/XX, vos informations confidentielles seront partagées et vous perdrez toutes vos données. » Ce message alarmiste (en anglais) apparaît lorsque l’utilisateur tente d’accéder à ses informations, devenues mystérieusement inaccessibles. Un vrai racket de cybercriminels.

Une rançon et deux menaces pour vos données personnelles

En fait ce virus Virus.Win32.Gpcode.ak est la variante du GPCode avait déjà sévi en juin 2007. « Ce virus de type Trojan [cheval de Troie] chiffre des fichiers de différents types (.doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h et autres) à l’aide d’un algorithme de codage RSA fonctionnant avec une clé d’une longueur de 1024 bits. Nous avons d’ailleurs diffusé la signature du virus pour nos utilisateurs dès le 4 juin, 24 heures après détection de ce nouveau trojan, parvenant sur les postes par messagerie électronique », explique Jean-Philippe Bichard, directeur marketing chez l’éditeur d’antivirus Kaspersky.

Aujourd’hui, certains utilisateurs ont pu être infectés avant la diffusion de la signature par les éditeurs d’antivirus, ou parce qu’ils n’étaient pas protégés par un tel logiciel. Il convient donc de trouver l’antidote, ce qui revient à casser la clé de chiffrement de ce cheval de Troie, par une somme astronomique de calculs.

En juin 2007, l’antidote a été rapidement découvert. Mais alors, la clé était plus faible (660 bits). « Nous avons estimé qu’avec ce type de clé(longueur de 1024 bits), il faudrait faire travailler 15 millions de PC puissants pendant un an pour réussir à casser la clé, et donc à diffuser un antidote, et bien entendu de le mettre à disposition de tous« ,souligne Jean-Philippe Bichard.

L’appel du 9 juin aux spécialistes de la toile

Le défi cryptographique des cybercriminels s’est élevé d’un cran. C’est pourquoi Kaspersky vient de lancer l’opération « Stop Gpcode » demandant à tous les spécialistes du monde de coopérer pour réussir à briser cette clé. D’après nos sources, cette décision prise par les ingénieurs et managers russes s’est imposée, car les centres de recherche des divers éditeurs d’antivirus ne se seraient pas décidés à coopérer. Un forum et une adresse e-mail (stopgpcode@kaspersky.com) sont donc mis à disposition de cette opération.

Au-delà de l’effet de communication pour Kaspersky, il sera intéressant de mesurer l’impact de cette initiative inédite en matière d’antivirus.