Conficker, le calme après le calme… et avant quoi ?

Chiffres - Tendances - Posté on 08 Avr 2009 at 8:40 par Solange Belkhayat-Fuchs

sea-turtleComme un réveil de lendemain de fête, les analystes sécurité marquent une pause et font un « point Conficker ». Tous pour dire « il ne s’est rien passé », un peu moins pour ajouter « on vous l’avait bien dit ». Car il était difficile pour certains de ne pas avoir la main lourde au moment de servir les alertes. Certes, il y a 3 millions de vers zombificateurs ayant fait leur office qui attendent, tapis, que leur Botmaster leur demande de charger. Certes, il est difficile de nier l’existence de cette très pénible épidémie, à moins, comme l’explique clairement la cartographie du Conficker Working Group, d’aller s’expatrier au fin-fond du désert Australien ou quelque part entre les iles Sakhaline et les plaines de Sibérie.

Eric Ogren de Security News se demande un peu comment on a pu en arriver là. Comment une faille vieille de 6 mois, corrigée par son éditeur, a pu provoquer un tel vent de panique. Comment, jusqu’à présent, et malgré les cris des professionnels de la sécurité, l’on soit parvenu à plus ou moins passer entre les gouttes : grâce aux fournisseurs de services Internet qui ont su filtrer à temps ? Grâce à l’intimidation et aux 250 000 dollars de prime qui ont « effrayé » ou « intimidé » les auteurs de Conficker ? Grâce à la mise à jour en urgence des outils de sécurité ? Grâce à la chance ? Ou peut-être un peu un assortiment de tous ces facteurs. Mais ce qui turlupine véritablement Ogren, c’est pourquoi les réactions des industriels de la sécurité ont-elles fait preuve d’autant d’amateurisme? Et de citer quelques phrases au hasard des interventions : « Tentez de visiter le site Kaspersky. En cas d’échec, c’est que vous êtes probablement infecté » signé Kaspersky. « Le meilleur moyen de savoir si vous êtes infecté, c’est de passer un « bon » antivirus » signé Symantec. « Si vous utilisez l’antivirus Sophos, vous n’avez pas besoin de désactiver le HIPS lorsque vous exécutez l’outil de désinfection Conficker de Sophos » signé Sophos, dont l’A.V. nécessite, pour des raisons inconnues, le passage d’un second outil destiné à vérifier le bon fonctionnement du premier. Et réciproquement. C’est peut-être là ce que l’on appelle le fameux « understatement » Britannique.

Le « coup du site Kasperky qui n’apparaît pas » a d’ailleurs inspiré un autre observateur de la sécurisphère, Martin McKeay, qui nous offre une page html comportant quelques liens graphiques pointant sur différents éditeurs d’A.V. et quelques ressources linuxiennes et BSDéiennes. Ce mini détecteur est à même de dire si la machine est probablement touchée par Downadup, distingue même s’il s’agit d’une variante « C » ou « A/B » de l’infection, ou si le problème est lié à un paramètre un peu trop restrictif du proxy ou du navigateur. Chers Internautes, si vous ne pouvez pas lire ce texte, c’est probablement parce que votre câble réseau n’est pas connecté.

ISS-IBM a d’ailleurs profité du premier jour de « réveil » de Conficker C pour écouter le dialogue des zombies cherchant leurs nouveaux domaines de mise à jour, et ainsi en estimer l’étendue de l’épidémie. Chiffres avancés avec beaucoup de prudence, car ne reflétant qu’une vision partielle d’Internet, limitée aux seules requêtes de Conficker C bloquées ou détectées par les passerelles Proventia de ce même ISS. Le virus aurait donc infecté près de 4 % des ordinateurs en service à la surface de la terre. Des 3 millions de systèmes touchés estimés par la plupart des experts (chiffre évoqué notamment par le Conficker Working Group), l’on passerait brutalement au-delà de la barre des 10 millions d’ordinateurs zombifiés.

Tout ceci est presque aussi sérieux que cet indispensable développement offert par Gnu Citizen et baptisé « générateur de néologismes » (in english ; buzzword generator). Le générateur en question fabrique les noms des futures attaques complexes qui feront la gloire des prochaines RSA Conference, des Defcon les plus spectaculaires ou des CCC explosives. Ce peut être là une très intéressante source d’inspiration pour tout RSSI chargé de produire un rapport justifiant son travail auprès d’une direction dépassée par les événements et qui cherche encore des firewalls dans les scripts d’OpenOffice. Entre la description dantesque d’un Overflow Red Pill Shattering, les dangers du Online Binary Evasion, les menace d’encrypted Information Forgery ou le risque d’Injected DNS Spidering, il y a franchement de quoi effrayer le plus flegmatique des patrons.

Laisser une réponse