mars 4th, 2009

Vérité le 15 du mois, mensonge le mois suivant ? Mi-février, une double alerte est émise par deux organismes de crédit américains différents –l’on peut difficilement invoquer une rumeur incontrôlée. Une fuite de données pourrait fort bien, disait-on, s’avérer aussi catastrophique que l’affaire Heartland, cet intermédiaire bancaire qui s’était fait voler probablement des centaines de milliers de données de cartes de crédit. Information d’ailleurs confirmée par la réaction d’un troisième organisme de crédit d’Alabama, qui, le 19 du mois, précisait que l’alerte avait été lancée par Visa.

Tout compte fait, il n’y aurait pas eu de fuite récente…. Visa se rétracte en invoquant un prétexte assez alambiqué : l’avertissement aurait été lancé par mesure de prudence, conséquence d’une affaire plus ancienne. Laquelle ? Une fois de plus, il n’y est fait aucune référence. L’identité de la banque victime, la période du hack probable, le volume de données compromises, tout çà disparaît dans un silence éloquent, font remarquer nos confrères de ComputerWorld. Si l’affaire est antérieure au vol Heartland –autrement dit à décembre dernier- il doit très probablement en exister une référence dans une des bases de données recensant les accidents de ce genre survenus aux Etats-Unis. Si cela est vraiment le cas, on comprend d’autant plus difficilement le ton alarmiste avec lequel cette alerte a été lancé, ni pour quelle raison il n’a été fait aucune divulgation publique de l’affaire comme la plupart des lois d’Etat semblent l’exiger actuellement …

A notre gauche, le champion en titre, F-Secure qui, sur son blog, titre « Downadup, Good News / Bad News ». Les « bad news » c’est que Conficker est toujours vivant, quelque part sur des millions de machines –entre 2,1 et 2,5 millions d’adresses IP uniques, donc probablement des dizaines de millions de postes cachés derrière une NAT. Mais il y a des bonnes nouvelles tout de même. Et notamment un communiqué de victoire de l’Internationale des Opérateurs de Routage Unifiés et autres gestionnaires de DNS, lesquels affirment avoir sans confusion déconfit Conficker en barrant tout nom de domaine généré par ledit virus. Tous les domaines prévus sont bannis, Downadup ne pourra que s’étioler faute de remise à niveau. Et puis, la prime à la délation promise par Microsoft pourrait bien nous réserver des surprises, nous promettent les gourous du labo F-Secure. Après tout, l’auteur de Netsky a bien été vendu par ses proches…

Ne nous emballons pas, tempère Phillip Porras de SRI International. Les techniques de mise à jour et de rendez-vous de Conficker sont probablement aussi complexes que l’abordage d’un vaisseau Progress sur une station spatiale. Et le fait de bloquer le mécanisme de réception « par les noms de domaine » pourrait très bien contraindre les bot herders à activer une backdoor dans le programme. Laquelle servirait alors à débloquer la procédure de mise à jour qui, par la suite, suivrait le déroulement presque « classique » de récupération de sa « charge utile » par le truchement de son système d’échange P2P, tel que décrit par Eric Chien. Notons au passage que les statistiques d’infection calculées par Porras sont un peu plus importantes que celles de F-Secure, avec 4,5 millions d’IP infectées.

Downadup est un peu comme ces séries américaines qui, de saison en saison, ne cessent d’étonner le spectateur à grand renfort de retournements spectaculaires et de rebondissements inattendus.