L’apocalypse, c’est pour demain !

Posted on mars 31st, 2009 in Sécurité by obi3fr

Mauvais poisson d’avril ou vraie menace? Tout le monde s’excite depuis que plusieurs sociétés d’antivirus ont indiqué que le ver Conficker pourrait passer à la vitesse supérieure mercredi 1er avril, en donnant des nouvelles instructions aux machines (tournant sous Windows) infectées. La prime de 250.000 dollars promise par Microsoft à quiconque aidera à arrêter ses auteurs accentue le côté dramatique du scénario.

Ce week-end aux Etats-Unis, «60 minutes», la plutôt très sérieuse émission de CBS, a diffusé un sujet fort alarmiste. Mercredi 1er avril, c’est sûr, toutes les machines infectées, telles des cellules dormantes, vont se réveiller. Le soleil va devenir noir, la lune, rouge sang, et l’apocalypse débarquera non pas à cheval mais à dos de ver sur Internet. «Beaucoup de bruit pour rien», tempère à l’autre bout du spectre la société d’antivirus McAffee sur son blog. Le point sur la menace.
Conficker, kezako?

Conficker (ou Downadup ou Kido, selon les appellations) est un vers informatique (un code malicieux et autonome qui se propage sur des réseaux comme Internet) apparu en octobre 2008. Environ 10 millions d’ordinateurs auraient été infectés, principalement sur des réseaux d’entreprise –et même du département américain de la Défense ou de la Marine nationale en France. Selon le «Virus Docteur» Marc Blanchard, Conficker «embarque une mine de technologies de dernières générations» rendant son étude par les experts en informatique compliquée. Si Microsoft a patché en urgence la faille béante de son service RPC (procédure d’appel à distance), de nombreuses entreprises (et particuliers) n’utilisent pas la mise à jour automatique de Windows et sont restés vulnérables. Sans compter les contaminations par clés USB, via l’autorun –pour désactiver l’option, lire la procédure ici.

Que se passera-t-il mercredi 1er avril?

La question à 1.000$. Selon Trend Micro, la dernière version du ver (worm.downad.kk) montre des signes indiquant que les machines infectées se connecteront automatiquement à des noms de domaines pour recevoir une version mise à jour et éventuellement des instructions sur de futures actions. Une nouvelle fonctionnalité de peer-to-peer permettrait ensuite de mettre à jour directement d’autres réseaux infectés.

Mais pour quoi faire?

Une autre inconnue. Infecter un grand nombre de machines permet de constituer des «botnets», des réseaux de plusieurs millions d’ordinateurs dit «zombies». Le ou les auteurs derrière (souvent en Russie, même si les derniers éléments pointent vers la Chine pour Conficker) ont un accès total à ces machines esclaves. Ils peuvent ensuite monnayer cette puissance au plus offrant (souvent des organisations criminelles) pour des campagnes de spams ou bien des attaques ciblées contre des sites commerciaux, des serveurs gouvernementaux ou encore dérober des données (mot de passe, informations bancaires etc). De quoi rapporter plusieurs millions de dollars. Pour l’instant personne ne sait vraiment si/quand Conficker passera à l’offensive, explique à 20minutes.fr Trend Micro.

Que faire?
  • S’assurer ici que les mises à jour automatiques de Windows sont activées ou télécharger manuellement le patch là (puis l’exécuter)
  • Mettre à jour votre antivirus/anti-spyware
  • Si vous pensez être infecté (principal symptôme: il vous est impossible d’accéder à Microsoft Update ou à des sites de fabricants d’antivirus), suivre la procédure décrite ici.
  • Les membres de l’organisation à but non lucratif Honeynet Project ont trouvé une faille facilitant apparemment la détection. Fichiers à télécharger là
  • Aux Etats-Unis, le département de la Sécurité intérieure propose aux entreprises un outil de détection
  • Les mauvaises langues diront «passer à Linux ou Mac OS X» (ce dernier et ses applications ne sont pas immunisés (hello Safari) contre les attaques, ils sont surtout moins exploités)

Source 20Minutes

MAJ du 2 avril : Bon bah finalement rien … :-) ))