![[LWN Logo]](/images/lwn.banner.gif)
Date: Thu, 11 May 2000 09:21:31 +0200
From: AFUL <aful@aful.org>
To: lwn@lwn.net
Subject: =?iso-8859-1?Q?Linux_est_=E9pargn=E9_par_le_virus_I_LOVE_YOU_:_pourquoi_?=
Linux est épargné par le virus « I LOVE YOU » : pourquoi ?
Les utilisateurs de Linux, de systèmes d'exploitations compatibles
POSIX et de logiciels fondés exclusivement sur des standards ouverts
ont été épargnés par le virus « ILOVEYOU », preuve une fois de plus
que de tels systèmes offrent une bien meilleure sécurité que leurs
homologues fermés et propriétaires. Aussi, l'AFUL demande au
gouvernement d'inscrire à l'ordre du jour la proposition de loi
Le Déaut-Paul-Cohen afin d'éviter que l'argent du contribuable ne
continue être gaspillé dans des choix informatiques hasardeux.
Paris, le 10 mai 2000. Pour diffusion immédiate.
Les utilisateurs de Linux, de systèmes d'exploitations compatibles
POSIX et de logiciels fondés exclusivement sur des standards ouverts
ont été épargnés par le virus « ILOVEYOU ».
En effet, ce virus a été conçu pour l'environnement Windows et plus
précisément pour les applications bureautiques ou de courrier
électronique Microsoft exploitant le langage « Visual Basic ». Ce
virus exploite notamment un trou de sécurité du logiciel « Microsoft
Outlook », révélé dès 1998 par Roberto Di Cosmo dans son ouvrage « Le
hold-up planétaire : la face cachée de Microsoft ». Lors d'une
réception de courrier électronique, ce logiciel permet en effet de
declencher l'execution d'une série d'instructions juste en cliquant
sur une pièce jointe. Il serait tout à fait possible de construire à
partir du virus « ILOVEYOU » un autre virus plus discret dont le rôle
serait, par exemple, d'afficher un petit message anodin pendant qu'il
transmet automatiquement à des entreprises concurrentes des messages
confidentiels reçus par courrier électronique. Il est d'ailleurs
possible d'exploiter une fonctionnalité propriétaire d'Internet
Explorer, un autre logiciel Microsoft, pour obtenir des résultats
encore plus dévastateurs, comme demontré publiquement par des
programmeurs allemands dès 1996.
Que peuvent faire les particuliers et les entreprises face à ce
phénomène ?
Tout d'abord, placer Microsoft devant ses responsabilités civiles,
c'est-à-dire de ne pas avoir corrigé les défauts de sécurité de ses
logiciels en un temps raisonnable et donc d'avoir concouru au dommage
subi du fait du virus "ILOVEYOU". Le droit français et européen de la
consommation permet en effet aux particuliers et aux PME d'obtenir un
dédommagement pour les dégâts causés par un logiciel vendu à des
consommateurs dans le cadre d'un contrat de licence. Les clauses de
"non responsabilité" des contrats de licence des logiciels Microsoft
sont en effet contraires au droit français et européen de la
consommation et ne s'appliquent donc pas. De plus, ces clauses n'étant
pas dûment apposées sur les emballages externes des produits comme
l'exige la loi, elles sont réputées non écrites, notamment en cas de
contentieux.
Plus généralement, afin de se prémunir à l'avenir contre d'autres
virus de type « ILOVEYOU », l'AFUL recommande aux particuliers et aux
entreprises de fonder leurs choix informatiques sur des technologies
libres ou des standards ouverts audités par une communauté d'experts
la plus large possible. Les standards ouverts et les logiciels libres
permettent un audit par de nombreux experts indépendants, capables de
prévenir les problèmes de sécurité dès la conception. En outre, en cas
de découverte d'une faille de sécurité, l'accès au code source permet
aux utilisateurs de corriger rapidement les programmes et d'éviter,
comme dans le cas de « ILOVEYOU », de voir un éditeur de logiciel
refuser pendant deux ans de corriger une faille de sécurité dûment
signalée par les utilisateurs.
L'AFUL met également en garde les utilisateurs de logiciels sous Linux
dont le code source n'est pas accessible. De tels logiciels présentent
en effet un niveau de sécurité intrinsèquement moindre et pourraient
être l'objet de virus similaires à « ILOVEYOU ». Par exemple, le
logiciel StarOffice de SUN Microsystems comporte un client de courrier
électronique capable de visualiser automatiquement des pièces jointes
contenant des documents au format « Microsoft Word ». Les nouvelles
versions de StarOffice, dont la sortie imminente est annoncée, sont
compatibles avec les instructions « Visual Basic » afin de faciliter
la transition de Microsoft Office vers StarOffice en assurant sous
Linux un haut niveau de compatibilité avec les formats propriétaires
de Microsoft. Il n'est donc pas théoriquement impossible que le virus
« ILOVEYOU », ou l'un de ses dérivés, puisse à terme s'attaquer à un
utilisateur de Linux à travers StarOffice. L'AFUL recommande donc aux
utilisateurs de StarOffice, sous Linux, Windows ou Solaris, de
désactiver les fonctions de scripting du logiciel et demande à Sun
Microsystems de publier diligemment le code source du logiciel comme
cela avait été annoncé il y a 6 mois.
L'AFUL recommande également aux utilisateurs de logiciels sous Linux
dont le code source n'est pas accessible ainsi qu'aux utilisateurs de
produits de compatibilité Windows pour Linux, tels que VMWare, Win4Lin
ou Wine, d'exécuter leurs applications dans un espace protégé afin
d'éviter la destruction accidentelle de fichiers personnels par un
virus Windows et en particulier de ne jamais exécuter de telles
applications en mode « super-utilisateur ». « Le système
d'exploitation Linux permet en effet de créer des espaces utilisateurs
compartimentés et sécurisés, ce qui n'est pas le cas pour des systèmes
comme Windows 95, Windows 98 ou MacOS 8. Une attaque d'un virus sous
Linux dans l'un de ces espaces aurait pour conséquence maximale une
destruction des fichiers de cet espace et préserverait à la fois le
système et les autres espaces sécurisés », déclare Roberto Di Cosmo,
Professeur à l'Université Paris 7 et membre de l'AFUL.
Enfin, l'AFUL note que l'usage généralisé de logiciels libres et de
standards ouverts dans l'administration française aurait permis
d'éviter que l'Etat français ne contribue à la dissémination du virus.
L'AFUL considère que les pertes d'exploitation liées au virus «
ILOVEYOU » en France sont autant le résultat du virus que celui du
soutient de facto de l'Etat et des collectivités territoriales à des
standards informatiques propriétaires et à des choix techniques
hasardeux. « Nous demandons au gouvernement d'inscrire dans les plux
brefs délais à l'ordre du jour du parlement la proposition de loi "Le
Déaut-Paul-Cohen" dont les articles 1 et 2, en rendant obligatoire
l'usage des standards de communication ouverts et l'accès au code
source dans les services de l'Etat, les collectivités et les
établissements publics, contribuerait à augmenter de façon
significative la sécurité des systèmes d'informations en France »,
déclare Stéfane Fermigier, président de l'AFUL.
Références
* ActiveX - Conceptional Failture of Security (février 1997):
http://www.iks-jena.de/mitarb/lutz/security/activex.en.html
* Ruminations on MS security (avril 1998):
http://catless.ncl.ac.uk/RISKS/19.67.html#subj8
* La proposition de loi « Le Déaut-Paul-Cohen »:
http://www.osslaw.org/
A propos de l'AFUL
L'AFUL, Association Francophone des Utilisateurs de Linux et des
Logiciels Libres, est une association loi 1901 dont le but majeur est
la promotion de systèmes d'exploitation libres de types Unix (comme
Linux et les dérivés de BSD) et des standards ouverts. Elle regroupe
des utilisateurs (professionnels ou particuliers), des sociétés
(éditeurs de logiciels ou de documentations, sociétés de services) et
d'autres associations qui poursuivent des objectifs similaires.
Web: www.aful.org
Contact presse: Stéfane Fermigier, président
(Mél: aful@aful.org. Tél: +33 6 63 04 12 77).
Adresse permanente de ce communiqué:
http://www.aful.org/presse/pr-virus.html