Linux est épargné par le virus « I LOVE YOU » : pourquoi ?

Linux est épargné par le virus « I LOVE YOU » : pourquoi ?

Les utilisateurs de Linux, de systèmes d'exploitations compatibles POSIX et de logiciels fondés exclusivement sur des standards ouverts ont été épargnés par le virus « ILOVEYOU », preuve une fois de plus que de tels systèmes offrent une bien meilleure sécurité que leurs homologues fermés et propriétaires. Aussi, l'AFUL demande au gouvernement d'inscrire à l'ordre du jour la proposition de loi Le Déaut-Paul-Cohen afin d'éviter que l'argent du contribuable ne continue être gaspillé dans des choix informatiques hasardeux.

Paris, le 10 mai 2000. Pour diffusion immédiate.

Les utilisateurs de Linux, de systèmes d'exploitations compatibles POSIX et de logiciels fondés exclusivement sur des standards ouverts ont été épargnés par le virus « ILOVEYOU ».

En effet, ce virus a été conçu pour l'environnement Windows et plus précisément pour les applications bureautiques ou de courrier électronique Microsoft exploitant le langage « Visual Basic ». Ce virus exploite notamment un trou de sécurité du logiciel « Microsoft Outlook », révélé dès 1998 par Roberto Di Cosmo dans son ouvrage « Le hold-up planétaire : la face cachée de Microsoft ». Lors d'une réception de courrier électronique, ce logiciel permet en effet de declencher l'execution d'une série d'instructions juste en cliquant sur une pièce jointe. Il serait tout à fait possible de construire à partir du virus « ILOVEYOU » un autre virus plus discret dont le rôle serait, par exemple, d'afficher un petit message anodin pendant qu'il transmet automatiquement à des entreprises concurrentes des messages confidentiels reçus par courrier électronique. Il est d'ailleurs possible d'exploiter une fonctionnalité propriétaire d'Internet Explorer, un autre logiciel Microsoft, pour obtenir des résultats encore plus dévastateurs, comme demontré publiquement par des programmeurs allemands dès 1996.

Que peuvent faire les particuliers et les entreprises face à ce phénomène ?

Tout d'abord, placer Microsoft devant ses responsabilités civiles, c'est-à-dire de ne pas avoir corrigé les défauts de sécurité de ses logiciels en un temps raisonnable et donc d'avoir concouru au dommage subi du fait du virus "ILOVEYOU". Le droit français et européen de la consommation permet en effet aux particuliers et aux PME d'obtenir un dédommagement pour les dégâts causés par un logiciel vendu à des consommateurs dans le cadre d'un contrat de licence. Les clauses de "non responsabilité" des contrats de licence des logiciels Microsoft sont en effet contraires au droit français et européen de la consommation et ne s'appliquent donc pas. De plus, ces clauses n'étant pas dûment apposées sur les emballages externes des produits comme l'exige la loi, elles sont réputées non écrites, notamment en cas de contentieux.

Plus généralement, afin de se prémunir à l'avenir contre d'autres virus de type « ILOVEYOU », l'AFUL recommande aux particuliers et aux entreprises de fonder leurs choix informatiques sur des technologies libres ou des standards ouverts audités par une communauté d'experts la plus large possible. Les standards ouverts et les logiciels libres permettent un audit par de nombreux experts indépendants, capables de prévenir les problèmes de sécurité dès la conception. En outre, en cas de découverte d'une faille de sécurité, l'accès au code source permet aux utilisateurs de corriger rapidement les programmes et d'éviter, comme dans le cas de « ILOVEYOU », de voir un éditeur de logiciel refuser pendant deux ans de corriger une faille de sécurité dûment signalée par les utilisateurs.

L'AFUL met également en garde les utilisateurs de logiciels sous Linux dont le code source n'est pas accessible. De tels logiciels présentent en effet un niveau de sécurité intrinsèquement moindre et pourraient être l'objet de virus similaires à « ILOVEYOU ». Par exemple, le logiciel StarOffice de SUN Microsystems comporte un client de courrier électronique capable de visualiser automatiquement des pièces jointes contenant des documents au format « Microsoft Word ». Les nouvelles versions de StarOffice, dont la sortie imminente est annoncée, sont compatibles avec les instructions « Visual Basic » afin de faciliter la transition de Microsoft Office vers StarOffice en assurant sous Linux un haut niveau de compatibilité avec les formats propriétaires de Microsoft. Il n'est donc pas théoriquement impossible que le virus « ILOVEYOU », ou l'un de ses dérivés, puisse s'attaquer à un utilisateur de Linux à travers StarOffice. L'AFUL recommande donc aux utilisateurs de StarOffice, sous Linux, Windows ou Solaris, de désactiver les fonctions de scripting du logiciel et demande à Sun Microsystems de publier diligemment le code source du logiciel comme cela avait été annoncé il y a 6 mois.

L'AFUL recommande également aux utilisateurs de logiciels sous Linux dont le code source n'est pas accessible ainsi qu'aux utilisateurs de produits de compatibilité Windows pour Linux, tels que VMWare, Win4Lin ou Wine, d'exécuter leurs applications dans un espace protégé afin d'éviter la destruction accidentelle de fichiers personnels par un virus Windows et en particulier de ne jamais exécuter de telles applications en mode « super-utilisateur ». « Le système d'exploitation Linux permet en effet de créer des espaces utilisateurs compartimentés et sécurisés, ce qui n'est pas le cas pour des systèmes comme Windows 95, Windows 98 ou MacOS 8. Une attaque d'un virus sous Linux dans l'un de ces espaces aurait pour conséquence maximale une destruction des fichiers de cet espace et préserverait à la fois le système et les autres espaces sécurisés », déclare Roberto Di Cosmo, Professeur à l'Université Paris 7 et membre de l'AFUL.

Enfin, l'AFUL note que l'usage généralisé de logiciels libres et de standards ouverts dans l'administration française aurait permis d'éviter que l'Etat français ne contribue à la dissémination du virus. L'AFUL considère que les pertes d'exploitation liées au virus « ILOVEYOU » en France sont autant le résultat du virus que celui du soutien de facto de l'Etat et des collectivités territoriales à des standards informatiques propriétaires et à des choix techniques hasardeux. « Nous demandons au gouvernement d'inscrire dans les plux brefs délais à l'ordre du jour du parlement la proposition de loi "Le Déaut-Paul-Cohen" dont les articles 1 et 2, en rendant obligatoire l'usage des standards de communication ouverts et l'accès au code source dans les services de l'Etat, les collectivités et les établissements publics, contribuerait à augmenter de façon significative la sécurité des systèmes d'informations en France », déclare Stéfane Fermigier, le président de l'AFUL.

Références

• ActiveX - Conceptional Failture of Security (février 1997): http://www.iks-jena.de/mitarb/lutz/security/activex.en.html
• Ruminations on MS security (avril 1998): http://catless.ncl.ac.uk/RISKS/19.67.html#subj8
• La proposition de loi « Le Déaut-Paul-Cohen »: http://www.osslaw.org/

A propos de l'AFUL

L'AFUL, Association Francophone des Utilisateurs de Linux et des Logiciels Libres, est une association loi 1901 dont le but majeur est la promotion de systèmes d'exploitation libres de types Unix (comme Linux et les dérivés de BSD) et des standards ouverts. Elle regroupe des utilisateurs (professionnels ou particuliers), des sociétés (éditeurs de logiciels ou de documentations, sociétés de services) et d'autres associations qui poursuivent des objectifs similaires.

Web: www.aful.org

Contact presse: Stéfane Fermigier, président (Mél: aful@aful.org).