Un virus ciblant AutoCAD

Le virus Flame fait beaucoup parler de lui en ce moment. Une de ses caractéristiques est qu'il cible particulièrement les fichiers DWG d'AutoCAD. Ce qui laisse à penser que ce malware complexe a été conçu par un état désireux de s'emparer de certains secrets industriels documentés via des dessins techniques. Le système de propulsion d'un missile, le détonateur d'une bombe atomique ont en effet de grandes chances d'avoir été conçus via un programme de CAO. Et parmi ces systèmes, pourquoi pas AutoCAD (même si ils n'ont pas été forcément modélisés sous AutoCAD, les plans ont de bonne chance d'exister sous la forme de fichiers .dwg, qui est le format de fichier le plus commun et le plus pratique pour les échanges).

Techniquement parlant, AutoCAD peut lui-même être un vecteur de ce genre de virus. Ce logiciel dispose de plusieurs API (ObjectARX, .NET, VBA, AutoLISP) qui pourrait permettre de développer un virus ou un de ses composants. On pourrait imaginer un virus qui transmettrait automatiquement aux entités qui le contrôle tous les plans qu'ils trouvent sur sa route.

Quand AutoCAD démarre, il va rechercher un certain nombre de fichiers qu'il va exécuter automatiquement. Il y a par exemple pour les programmes Lisp, tous les fichiers commençant par acad et portant une extension lsp (acad.lsp, acaddoc.lsp...). Côté VBA, on a de la même manière le fichier acad.dvb qui est automatiquement exécuté. Et les interfaces ARX et .NET offrent de nombreuses autres manières pour exécuter du code automatiquement.

C'est d'ailleurs ce genre de mécanisme qui est utilisé par le virus acad.vlx. Autodesk propose sur sa base de connaissances une procédure pour l'éradiquer.

Le cas de VBA est un peu particulier, car les projets VBA peuvent être incorporés dans des fichiers .dwg. Un virus peut donc être embarqué dans un dessin et donc se transmettre par simple échange de ce type de fichier.

Pour se prémunir contre ce genre d'attaque, il faut activer la protection contre les virus (dans le menu déroulant de l'environnement de travail classique Outils > Macro VBA > Macros... > Options... ; l'option est activée par défaut). Si vous utilisez AutoCAD 2010 ou supérieur, VBA n'est pas installé par défaut et vous n'êtes donc pas exposé à ce genre de risque.

Activer la protection antivirus dans AutoCAD

Message d'avertissement affiché lorsque vous chargez un dessin contenant des macros VBA

Si bien sur vous utilisez des programmes VBA légitimes, vous avez la possibilité de les autoriser à fonctionner au coup par coup, mais ce n'est pas très pratique. L'idéal c'est de migrer vers .NET, vous bénéficierait ainsi de performances plus élevées et d'une sécurité accrue.

Ajouter un commentaire