Torpig : visite du centre de commande d’un botnet

In English anglais

120px-pig_dsc039781

Torcochon ?

Non, il ne s’agit pas ici du virus de la grippe porcine. Des chercheurs de l’université de Santa Barbara en Californie ont publié un rapport rendant compte des observations qu’ils ont pu faire lors d’une prise de contrôle temporaire d’un système de commande du botnet Torpig.

Il s’agit d’un botnet basé sur un logiciel malveillant (Torpig/Sinowal/Anserin/Mebroot) affectant les systèmes Microsoft Windows. Il aurait été d’abord repéré (selon RSA) en février 2006 ou en juillet 2005 selon d’autres spécialistes. Cela fait donc bientôt quatre ans que ce cheval de Troie sévit, et toujours aussi activement !

Les conclusions du rapport des chercheurs de Santa Barbara, reprises dans un article chez ZDNet, sont que cet outil malveillant permet de collecter actuellement des millions de mots de passe, des milliers de numéros de carte bancaire ou d’identifiants d’accès à des comptes bancaires. Ces chercheurs ont mis en ligne une page de suivi de ce projet.

C’est un nouvel exemple (j’en parlais déjà voici quelques semaines) des techniques qu’il est nécessaire aujourd’hui d’utiliser pour collecter efficacement de l’information sur ces botnets : il est nécessaire de les pénétrer. Aujourd’hui, de tels modes de collecte de preuve restent purement et simplement illégaux.

À propos Éric Freyssinet
Officier de gendarmerie. Docteur en informatique. Travaille depuis 1998 dans le domaine de la lutte contre la cybercriminalité, actuellement conseiller auprès du Préfet en charge de la lutte contre les cybermenaces au Ministère de l'intérieur. Les idées publiées sur ce blog le sont à titre personnel. Law enforcement officer (colonel with the Gendarmerie nationale in France). PhD in computer science. Working since 1998 in the fight against cybercrime. Views published on these blogs are personal.

3 Responses to Torpig : visite du centre de commande d’un botnet

  1. Merci Eric pour ce lien.

    Par contre, juste une petite remarque, Torpig a bien plusieurs alias, notamment Sinowal et Anserin. Par contre, Mebroot est différent. Mebroot est en effet un framework rootkit indépendant. La confusion est facile, dans le sens où depuis sa détection initiale, Mebroot n’a jamais « droppé » autre chose que le cheval de Troie Torpig. Néanmoins, il est envisageable qu’un jour Mebroot se mette à propager d’autres malware.

    Quant à la « nécessité de pénétrer des botnets », ce n’est pas le cas ici. Ces chercheurs ont simplement enregistré certains domaines avant les cybercriminels, et ont usurpé ainsi le command&control du botnet. Après, ce que je trouve beaucoup plus choquant d’un point de vue juridique, est le fait qu’ils soient allés fouiller dans la correspondance personnelles des victimes de Torpig.

    • Merci pour la remarque sur Mebroot.

      Sur l’interprétation de la « pénétration des botnets », le principe est que la loi pénale est technologiquement neutre (à quelques exceptions près). Donc quel que soit le subterfuge utilisé pour se placer au cœur du botnet, il s’agit bien d’une intrusion dans ce dispositif de commande du botnet : les chercheurs en ont bien l’intention, ils ont accompli un élément matériel (de surcroît collecté des données personnelles) et l’infraction existe. Donc c’est illégal. Pour un service d’enquête, en Europe cela aurait en plus une connotation de collecte déloyale de preuves. C’est pour ça par exemple, qu’il ne nous est pas possible de mettre en place des « pots de miel » pour collecter des preuves. C’est le même raisonnement juridique – et la jurisprudence – qui nous a contraints à demander au législateur de mettre en place le dispositif des cyberpatrouilleurs des articles 706-35-1 et 706-47-3 du code de procédure pénale, qui encadre l’investigation sous pseudonyme en matière d’atteintes aux mineurs, prostitution et traite des êtres humains par Internet. Des dispositions semblables, adaptées aux infractions d’atteintes aux STAD nous permettraient de faire des progrès et d’avoir des outils juridiques solides et efficaces.

  2. Ping : Torpig : visit of a botnet « Digital crime

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :