Conficker, poison d’avril

Actualités - Malware - Posté on 01 Avr 2009 at 8:12 par cnis-mag

justmakeitQue se passera-t-il le premier avril, jour programmé de l’éveil de Conficker C (ou D selon certains éditeurs) ?
Réponse : rien de particulier –ou presque.
C’est probablement pour cette raison qu’il s’écrit un peu partout dans la blogosphère une telle quantité d’articles. En fait, Conficker « nouvelle version », qui n’est jamais qu’une mise à jour perfectionnée de l’ancien Conficker B, débutera son travail de virus et entamera sa phase d’appel de domaines « référents ». Une phase d’appel qui, pour la précédente édition, s’était plus ou moins soldée par un échec grâce à un filtrage des noms de domaines « pourris » qui étaient générés par l’infection. Mais la technique a fait long feu, et de 250 domaines quotidiens générés, le ver est désormais capable d’en inventer 50 000, avec plus de 110 TLD (suffixes) différents.

Des synthèses Confickeresques ont donc été rédigées notamment par Microsoft (qui rappelle au détour d’un chapitre qu’il y a toujours une prime de 250 000 dollars pour qui rapportera la peau de l’éleveur d’asticots informatiques) ou SecureWorks –un résumé concis- . Vinoo Thomas de l’Avert se fait shakespearien et titre « Beaucoup de bruit pour rien » , en glissant çà et là les liens pointant sur les manchettes de certains journaux grand public, lesquels nous promettent une apocalypse digne des grandes heures de… Whales ? JeruB ? Du bug de l’an 2000 ? Bref, une fin du monde informatique qui mériterait au moins une mention sur France Info, RTL et RMC réunis. Même réaction de la part de Brian Krebs du « Post ». Mesure et retenue en revanche du côté du Sans ou de F-Secure, qui nous offre une FAQ fort complète traitant du sujet. Le Honeynet traite au passage de l’art de détecter Conficker avec des moyens et des connaissances qui ne sont pas franchement du niveau de « l’auditeur moyen de France Info »… et le Cert Lexsi ajoute un nouveau chapitre au grand roman de Downadup avec cette fois « Conficker et le mode Sans Echec ». Il faut dire que l’épisode précédent, qui aurait pu s’intituler « Mithridate apprend l’informatique », avait tendance à virer « drogue dure ». Rien d’étonnant pour un article très pharmaceutique et épidémiologique. Security Focus ménage la chèvre et le choux, souffle parfois le chaud et, peu après, le froid.

Si la presse généraliste en fait tant autour de ce virus, c’est probablement en raison de la date de déclanchement prévue. Une « catastrophe mondiale » annoncée un premier avril, personne n’y croit réellement. Alors, autant anticiper et forcer un peu le trait pour faire vendre. Il est cependant à craindre que l’effet escompté soit contraire aux résultats attendus. Car, abreuvés depuis plusieurs semaines de détails dantesques décrivant les mécanismes tortueux de ce « super virus », les responsables réseau pourraient très bien finir par négliger le problème, par lassitude ou désintérêt.

Autre fait médiatique remarquable, la « couverture » presse de Conficker est en passe d’éclipser d’autres articles traitant de la sortie de Windows « Seven », d’un quelconque lancement de super-réseau Cloud ou de la naissance d’une nouvelle génération de machine virtuelle. Les marronniers ne sont plus ce qu’ils étaient ? L’attrait du sensationnalisme n’explique pas tout : les honneurs de la presse voués à Conficker sont à la hauteur des efforts de développement et de « sécurisation et mise à jour » que l’on est en droit d’attendre d’un logiciel professionnel. Ce n’est peut-être pas Armageddon, mais il marque un tournant très net dans l’histoire des malwares. Downadup sera le premier virus à avoir atteint un niveau de conception plus perfectionné encore que les outils commerciaux chargés de le combattre.

Laisser une réponse