Conficker ou la chronique d’une pandémie informatique (de plus)

diagram

Diagramme Microsoft sur Conficker

Chaque année donne lieu à l’annonce d’une nouvelle pandémie numérique et on pouvait croire que les oracles s’étaient calmés. Mais non: à l’automne dernier on nous annonçait le lundi noir des attaques informatiques… Et maintenant voilà la saga Conficker.

En préambule je tiens à souligner qu’il est indispensable d’avoir une bonne hygiène informatique et donc de ne pas laisser sortir son ordinateur sans un bon antivirus, de ne pas cliquer sur n’importe quoi reçu via Internet d’un inconnu.

L’histoire de Conficker

La chronologie des événements publics est la suivante :

  • Le 23 octobre 2008, Microsoft publie une vulnérabilité (bulletin de sécurité MS08-067) touchant ses systèmes d’exploitation et souligne la nécessité d’appliquer rapidement un correctif ;
  • Quelques jours après, de premières tentatives d’exploitations de cette vulnérabilité sont révélées ;
  • Le ver Conficker apparaît selon les éditeurs entre le 21 et le 24 novembre 2008. Il prend différents noms selon les éditeurs d’antivirus (Downadup, Conficker, Kido,…)
  • La version Conficker.B apparaît une semaine plus tard environ ;
  • La version Conficker.C apparaît la première semaine de janvier 2009, il se propage aussi par ouverture de fichiers par l’utilisateur, partage de fichiers sur le réseau, il exploite des vulnérabilités dans les mots de passe pour modifier la politique de sécurité ;
  • Ces vers se mettent à jour en se connectant à différents serveurs de commande ;
  • Le 12 février 2009, Microsoft annonce la création d’une coalition industrielle pour lutter contre la propagation de ce ver ;
  • Le 13 février 2009, Microsoft annonce une récompense de $250.000 à qui fournira des informations sur le commanditaire de ce ver.

Le buzz

Il nous est souvent annoncé qu’il s’agit de l’une des infections virales les plus importantes, avec entre 9 et 15 ou 20 millions d’ordinateurs infectés dans le monde. Cet incident viral est typique de la surcommunication à laquelle nous avons droit régulièrement autour des infections virales. La chronologie type colle : surenchère d’annonces par les éditeurs d’antivirus, annonce d’une action décisive des grandes sociétés de l’Internet et d’une rançon. On nous fait même la liste chaque semaine des infections de tel site supposé sensible, le blocage au sol d’avions de combat (c’est bizarre qu’on ne nous parle pas de blocage au sol d’avions de ligne ?).

On nous annonce même, qu’après étude, le ver Conficker serait né au Japon – il est bien connu que l’empire du soleil levant est un repaire de nouveaux cybercriminels… C’est surtout, de par sa position géographique, un des premiers pays industrialisés qui se réveille chaque matin.

Que va-t-il se passer le 1er avril 2009 ?

Étudions plus précisément ce qu’on nous annonce : le mode de contrôle de Conficker va changer et tous les petits vers vont se connecter selon ce nouveau mode. Une étude détaillée de la version C du ver Conficker nous indique que le 1er avril 2009, l’algorithme de génération de domaines de téléchargement nouvelle version sera activé, et démultiplier le nombre de domaines Internet vers lesquels chaque ver va tenter de se connecter. Il s’agit apparemment d’une stratégie de ses développeurs pour contourner les blocages mis en place par les opérateurs.

Conclusion : on continuera d’observer un nouveau mode de commande de ce ver, mais rien n’indique qu’une infection nouvelle va se déployer grâce à cela. Donc il ne se passera pas grand chose, je pense qu’on peut tenir ce pari.

Ce qui est vrai jusqu’à présent c’est que l’infection par Conficker est assez efficace, qu’il est parfois difficile pour la supprimer, mais que c’est loin d’être impossible, rien donc de très nouveau de ce côté-là. Le constat le plus frappant est qu’il existe encore des machines aujourd’hui, parmi les centaines de millions installées dans le monde, qui n’ont pas fait de mise à jour pour la vulnérabilité annoncée par la société Microsoft en octobre dernier. La leçon à tirer de tout cela est donc qu’il est indispensable de penser à de meilleures stratégies de déploiement des mises à jour de sécurité.

P.S.: Un article en anglais que je viens de lire, dans la même tonalité.

À propos Éric Freyssinet
Officier de gendarmerie. Docteur en informatique. Travaille depuis 1998 dans le domaine de la lutte contre la cybercriminalité, actuellement conseiller auprès du Préfet en charge de la lutte contre les cybermenaces au Ministère de l'intérieur. Les idées publiées sur ce blog le sont à titre personnel. Law enforcement officer (colonel with the Gendarmerie nationale in France). PhD in computer science. Working since 1998 in the fight against cybercrime. Views published on these blogs are personal.

6 Responses to Conficker ou la chronique d’une pandémie informatique (de plus)

  1. Ping : Virus Conficker: 1er avril ou pas? un suspense “insoutenable” « Aglio E Cipolla

  2. Bonjour, je me suis pas mal basé sur votre très intéressant article pour en faire un. je suis nouveau ici et ne sais pas comment faire référence au vôtre (en plus des liens internes à l’article). je crois que c’est néanmoins possible. si vous savez comment ça se fait merci de me l’indiquer. amicalement, a&c (c’est ici: http://aglioecipolla.wordpress.com/2009/03/31/virus-conficker-1er-avril-ou-pas-un-suspense-insoutenable/)

    • Bonjour,

      En fait il semble que le lien que vous avez déjà fait suffit sous WordPress et sur les blogs en général qui fonctionnent par « ping ».

      Cordialement,

  3. très bien alors. n’hésitez pas à me dire si j’ai écrit des bêtises 😉 bonne journée a&c

  4. Ping : Virus Conficker: 1er avril ou pas? un suspense « insoutenable » - Aglio E Cipolla

  5. Ping : Lutte contre les botnets | Criminalités numériques

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :