SecureWorks renoue un peu avec la tradition du Luhrq et de ses analyses fouillées des malwares. Aujourd’hui, l’équipe se penche sur la santé des botnets, ceux dont on parle souvent –et dont la santé n’est pas toujours des plus florissantes-, ceux aussi dont le nom passe inaperçu mais dont les ravages se font nettement sentir. Et pour commencer, les étoiles qui perdent dix places au top-ten : Storm, touché par la renommée -un poison mortel pour un vecteur d’infection-. Suivi par le couple Rustock et Srizbi, deux botnets dont une grande partie du trafic reposait sur l’hébergeur véreux McColo. La fermeture de cette usine du malware a pratiquement condamné Srizbi. On le verra plus tard, Rustock continue à se bien porter, pour diverses raisons, à commencer par une anticipation très nette de son ou ses gardiens. Enfin Bobax, alias Kraken, est lui aussi sur la pente descendante, après avoir cumulé plus de 185 000 zombies et avoir décroché le titre de « plus gros botnet du monde ». Là encore, la publicité faite autour de ce réseau de machines infectées a été fatale à ses possesseurs.
La relève est pourtant déjà sur pied, nous assurent les chasseurs de SecureWorks. A commencer par Cutwail, estimé à 175 000 postes, qui n’a pratiquement pas souffert de la coupure McColo… bien au contraire. Car, pensent les rédacteurs de ce rapport, il se pourrait bien que ce soit Cutwail qui ait « récupéré » une partie de la clientèle de Rustock et Srizbi. Dur métier que celui de fournisseur de services mafieux. Il est si difficile de fidéliser la clientèle.
Cette perte de clients est tout de même relative. Rustock a encore de beaux restes, avec 130 000 postes, suivi de près par Donbot et Ozdok –respectivement 125 et 120 000 machines. L’écart entre la quatrième et la cinquième place est très net, puisque Xarvester n’a infecté « que » 60 000 PCs. Mais son activité est très agressive, et son taux de croissante rapide. Viennent enfin Grum et Gheg, tous deux forts de 50 000 zombies, dans la mouvance des spam pharmaceutiques. Gheg est un botnet à fonctions et géométrie variables qui pourrait faire un dangereux adversaire en 2009, difficile à contrer avec des moyens conventionnels. Cimbot et Waledac, les deux derniers de la liste, ne comptent que 10 000 esclaves chacun. Mais leurs astuces technologiques (commande via P2P, chiffrement de l’exécutable..) et un important travail de re-engineering leurs promettent un avenir certain. Avenir d’autant plus certain que tant que des politiques chercheront seulement à chasser les « violeurs de jeunes filles et diffuseurs de recettes de bombes », autrement dit orienteront leurs recherches vers le « coupable du dernier kilomètre », ils favoriseront le développement des véritables institutions mafieuses. Mais n’allons surtout pas penser qu’il puisse exister une certaine communauté d’intérêt entre la notion de Pouvoir, l’orientation des lois et la préservation des épouvantails que sont les organisations criminelles.