Conficker est un ver informatique récent qui a commencé à se propager fin novembre 2008. Mais s’agit-il d’un n-ieme ver, ou a-t-il des caractéristiques sortant de l’ordinaire ?
Conficker [1], aussi appelé Downadup, Downandup ou Kido, peut sembler, à première vue, un simple ver comme tant d’autres (SQL/Slammer, Sasser, Code Red…). Ses fonctionnalités de propagation sont caractéristiques d’un ver informatique, à savoir, trouver une cible de manière autonome et tenter de l’infecter. Si l’infection réussit, alors le code malveillant s’installe sur la machine infectée afin d’opérer des activités malveillantes à l’insu de l’utilisateur, mais aussi, de se propager à partir de ce nouveau point d’infection. Cependant, quelques points très intéressants font de Conficker un ver peu ordinaire :
Depuis 2004, nous n’avions pas eu d’épidémie virale majeure ce qui laissait à penser que le phénomène « ver » était largement passé de mode ;
Ce ver a, en l’espace de quelques semaines, compromis plusieurs millions de PC. Certains éditeurs ont annoncé une infection de l’ordre de la dizaine de millions de machines…
Ce ver exploite une faille du service Windows Server Service, utilisé par Windows 2000, XP, Vista, Windows 7 et Windows server 2003 et 2008 : un panorama très large de systèmes vulnérables…
La vulnérabilité exploitée par Conficker a fait l’objet d’un patch de sécurité, référencé en tant que MS08-067 : vulnérabilité permettant l’exécution de code arbitraire à distance avec des droits SYSTEM sans authentification préalable. Elle a commencé à être publiquement exploitée, a priori, en septembre 2008 et un avis de sécurité et une mise à jour corrective ont été disponibles le 23 octobre 2008, ce qui fait de cette vulnérabilité une vulnérabilité particulière car Microsoft a pour habitude de publier ses mises à jour de sécurité lors du “Patch Tuesday” qui a lieu tous les deuxièmes mardi du mois.
En soi, ces éléments sont déjà très intéressants… mais il y a mieux ! Les motivations des pirates ayant écris ce malware… Bien qu’à l’heure actuelle, aucune accusation directe sur les auteurs n’ait pu être faite, certains éléments factuels peuvent être remontés, ceux-ci soulevant de nombreuses questions… notamment sur les aspects « cybercriminalité » qu’ils peuvent impliquer.En effet, ce ver informatique a dans un premier temps surpris la communauté sécurité de part son niveau de sophistication (programmation d’excellente qualité, nombreuses fonctions de furtivité). D’autre part, en l’espace de quelques mois, le code du ver a fortement évolué, les auteurs rajoutant des fonctions, corrigeant des problèmes détectés ou améliorant même des algorithmes internes… Un tableau avec les caractéristiques de ces différentes versions est disponible sur Wikipedia (voir le tableau).Les probabilités pour qu’il s’agisse des mêmes auteurs qui aient fait évoluer le ver sont fortes, car les versions s’enchaînent naturellement, avec des rajouts de fonctions.Un autre élément apparu dans la version E, en avril 2009, fournit des informations très intéressantes. Le ver va télécharger des »scarewares », faux logiciel de sécurité, ainsi qu’un moteur de spam permettant ainsi de vraiment « monétiser » ce réseau de machines compromises. Ces logiciels sont alors pilotés sur les machines contrôlées par les pirates.A ce niveau, le doute n’est plus permis… en effet, les logiciels de type « scarewares »(voir encadré ci-dessous) sont depuis quelques mois sur le devant de la scène. Ils permettent à des organisations criminelles de gagner de l’argent. En facturant chaque logiciel une cinquantaine de dollars, les gains peuvent être rapides.Le deuxième programme malveillant installé est le tristement célèbre Waledac [2], un robot de spam très efficace, responsable (en partie…) des grosses campagnes de spam de ce printemps.Conficker a créé la surprise fin 2008. Son évolution en 2009 montre indéniablement que les auteurs de ce ver ont rapidement compris comment tirer profit de leur œuvre : moteur de spam, faux antivirus (scareware)… Il est à l’heure actuelle probablement très difficile d’estimer les gains des cybercriminels, mais une chose est sûre : nous n’en sommes qu’au début ! Qu’est ce que les Scarewares ?Il s’agit de logiciels trompeurs, destinés à effrayer les utilisateurs pour leur soutirer de l’argent. Les exemples les plus communs prennent l’apparence d’un antivirus professionnel et avertissent l’utilisateur que son PC est fortement infecté. Pour le réparer, une seule solution : acheter la version professionnelle de ce faux antivirus, et donc fournir son numéro de carte bancaire sur le site Web des pirates.Exemple d’une fenêtre d’alerte, destinée à effrayer l’utilisateur du PC. Notez le lien « activer Spyware Protect 2009 » amenant l’internaute sur un faux site de vente du produit.Spyware Protect 2009 : un vrai-faux antivirus. L’allure est très « professionnelle ». Source : cnet.comPar Franck Veysset, expert en sécurité
Notes[1] Voir l’excellente analyse technique de Conficker disponible sur le site du SRI [2] Pour en savoir plus sur Waledac
De la découverte en laboratoire à l'innovation industrielle, scrutez les tendances et prenez part aux grands débats scientifiques qui construisent le monde de demain.
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE