On le savait déjà, Zotob a eu droit à sa petite croisière autour du monde. Il s'est négligemment invité dans quelques sociétés pour y faire parler de lui, et ce sont au final plus de 175 entreprises de taille qui râlent aujourd'hui en ne tarissant pas de reproches devant cet hôte indélicat. Et dans l'ombre des multiples variantes de Zotob se sont levés des bots pour prendre le contrôle des machines infectées...

Associated Press, la Canadian Imperial Bank of Commerce, Caterpillar, CNN, Daimler/Chrysler, General Electric, SBC Communications ou encore United Parcel Service ne sont que des exemples des sociétés qui ont été touchées par Zobot. Oliver Friedrichs, responsable chez Symantec, indique le ver n'a pas vraiment envahi Internet, mais s'est logé chez quelques très grosses sociétés.

D'après Symantec, les deux variantes les plus nocives ont été Zotob.E et Esbot.A. Il règne d'ailleurs une certaine confusion dans l'appellation des menaces virales. Par exemple Zotob.E, justement, est également appelé Rbot.cbq tandis que Esbot.A change de nom et peut aussi bien être une variante de Rbot, Sbot ou IRCbot. Le point le plus important concernant Zotob est qu'il est capable d'ouvrir des canaux IRC pour se connecter à un ou plusieurs serveurs. Il peut ainsi recevoir ses ordres, et la machine hôte devient alors un zombie, produisant du spam en série ou lançant des attaques par déni de service (DoS).

Microsoft a tenté de diminuer l'impact de Zotob en déclarant que la menace n'était pas très importante et que ce ver ne pouvait de base que toucher Windows 2000, ce qui limitait sa progression. Les professionnels de la sécurité ne sont guère d'accord et Friedrichs par exemple estime qu'il s'agit au contraire d'une des menaces les plus sérieuses de cette année : "Zotob.E et Esbot.A ne sont que les quatrième et cinquième menaces de niveau 3 cette année".

Il est vrai que Symantec avait compté pour 2004 trente-trois menaces de ce type. Il n'en reste pas mois que Zotob est pris très au sérieux : "une fois que l'un de ces bots est entré dans le périmètre, il se répand rapidement dans l'environnement logiciel". En quelques jours seulement, après des pics de contamination atteignant 2000 machines en une heure, les techniques elles-mêmes de contamination ont évolué, en particulier depuis samedi.

Et l'on pouvait finalement s'y attendre, Friedrichs accuse l'attitude laxiste concernant la mise à jour des systèmes. Comme tant d'autres problèmes de ce type qui sont apparus, les menaces sont arrivées après la mise à disposition du patch correctif. Et bien évidemment, seuls systèmes qui n'étaient pas mis à jour ont été touchés. Les grandes sociétés où les décisions informations sont plus "posées" ont été victimes d'un rythme trop lent.

Pour Joe Wilcox, le géant de Redmond est damné : "Si la compagnie ne divulgue pas sur les vulnérabilités, les utilisateurs sont en danger. Si elle divulgue, les utilisateurs sont aussi en danger. [...] Il vaut mieux que Microsoft sorte des patches plutôt que de ne pas le faire. Mais ça veut dire également que les utilisateurs doivent mettre à jour dès que possible."