Dans les mondes virtuels sans argents on ne peut rien faire. Plus de 9 millions de $ seraient échangés chaque mois sur Second Life par exemple. Depuis 2007, des malwares ont été découvert par les équipe de McAfee comme des fonctionnalités permettant d’envoyer du spam ou des attaques en DDOS tant à l’extérieur qu’à l’intérieur de Second Life. Cette fois ci, François Paget a voulu vérifier que l’on pouvait aller plus loin.

Le spam et le DDOS sont possibles à partir de Second Life

Sur Second Life, la majorité des objets sont payants. Toutefois, certains sont gratuits et sont donc très convoités. François Paget s’est créé un avatar et s’est rendu dans un café virtuel où un autre avatar était attablé à boire un verre de vin. Il s’est fait prêter le verre et y a introduit un code pour envoyer du spam. Pour ce faire, il l’a créé dans un « bac à sable » dans un monde non fréquenté avec les commandes llHTTP e-mail et email HTTPRequest. Le code ainsi introduit permet l’envoi de spam à chaque fois que l’on touche le verre. Toutefois, pour éviter l’envoi de spam Second Life à introduit un temps de latence de 20 second entre l’envoi de deux mails. Toutefois, François Paget a pu contourner cette mesure par le Multi threading par la création d’un llemail positionné comme dernière instruction. De la même manière, il est possible de procéder à une attaque en DDOS en utilisant le llHTTPRequest.

Le ver qui se s’auto-clone sur Second Life

François Paget s’est ensuite attaché à créer un ver (objet qui se duplique à l’infini jusqu’à bloquer sa session en envahissant son environnement). Il a pour cela utilisé les fonctions llRez Object. Par contre, cette fonction est particulièrement dangereuse car on peut créer des doublons à l’infini. Pour arriver à ses fins il a créé un objet puis à insérer un même objet à l’intérieur du premier. Ainsi, dès que l’objet est touché il se duplique en fonction du nombre de duplication programmée.

Da la même manière, il a voulu voir si il était possible de générer un virus (objet qui saute de lui-même vers un autre ne le contenant pas). Il a pour cela utilisé les fonctions llSensor et llGivenInventory. Toutefois, un objet ne peut pas s’infecter tout seul grâce aux « Flag Running » qui sont contenus dans Second Life. Il est nécessaire que l’utilisateur exécute le code. Ainsi, pour rendre un virus efficace, il est nécessaire de lui associer des techniques de social engineering.

Les pirates pourraient aussi utiliser les logiciels Open Source Copybot & Shooperlife qui sont en principe interdit sur Second Life. Toutefois, François Paget s’en est servi durant plusieurs mois pour cloner son avatar. L’intérêt de créer des clones est de pouvoir obtenir des objets gratuitement ou de multiplier son nombre d’avatar. Il faut savoir que sur Second Life, faire du « camping » est rémunérateur. En effet, en restant à un endroit un avatar gagne de l’argent. Il y a donc de plus en plus de personnes qui se créer des clones d’avatars pour augmenter leur gain.

Le phishing existent aussi dans les mondes virtuels

François Paget a voulu aussi vérifier les possibilités de faire du phishing sur Second Life. Pour cela, il a offert à un avatar un objet avec la promesse que celui-ci lui rapporterait de l’argent. Des que la victime a touché l’objet il a disparu de son environnement pour se positionne dans son inventaire. Dès que l’objet est dans son inventaire, il lui demande de m’envoyer un Linden $. Une fois qu’elle a procédé à la rétrocession, une autre sollicitation est tentée puis une troisième, jusqu’à vider totalement le compte de la victime.

François Paget a conclu sa démonstration en recommandant au « voyageur » de Second Life, ce conseil est valable pour tous les mondes virtuels, de se créer un avatar banquier et de n’avoir sur son propre compte que peu d’argent. Aujourd’hui, il n’y a pratiquement pas de solution de protection, même si Symantec a sorti un antivirus pour World of Craft…