« Enfin ! On sait ce qu’il fait et à quoi il sert » écrit en substance Brian Krebs. « Il », c’est Conficker, le virus le plus médiatique depuis l’invention du boulier. Selon les chercheurs de Kaspersky, nous apprend l’éditorialiste sécurité du Washington Post, la première « charge » de Conficker est… un antivirus. Un faux antivirus, bien sûr, un de ceux qui appartiennent à la famille des scarewares, qui se déclenchent sur une alerte douteuse, qui se vendent aussi cher que les véritables outils de protection, et qui, l’on s’en doute, se gardent bien d’éradiquer le véritable malware à l’origine de cette détection virale tonitruante. Celui de Conficker s’appelle SpywareProtect2009.
Mais comment être sûr que c’est là la véritable mission de Conficker ? On peut en douter. Que Conficker exploite cette veine des scarewares, cela n’a rien d’étonnant. Ce sont là probablement de nos jours les meilleurs vecteurs financiers du cybercrime organisé, ceux qui rapportent le plus d’argent. A force de « faire peur » sans agir, Conficker aurait très bien pu servir de prétexte à n’importe quel autre éditeur concurrent de ces fameux scarewares. Plutôt que de faire cadeau de cette opportunité à une branche rivale de la cyber-pègre et voir disparaître le moindre espoir de retour sur investissement, l’équipe Conficker a décidé d’organiser elle-même l’exploitation du filon.
Il est toutefois douteux que ce soient les auteurs même du virus qui aient organisé cette opération. Car le business des scarewares est complexe, et comporte de nombreux risques. Il repose notamment sur deux acteurs complémentaires : d’une part le « vendeur » réel du programme, celui qui encaisse l’argent des personnes abusées qui croient acquérir un programme légitime, et d’autre part les « rabatteurs ». Ces derniers sont généralement des Webmestres peu scrupuleux dont le rôle est d’héberger sur leur site –ou sur des sites compromis qu’ils supervisent- les appliquettes qui afficheront les premiers messages d’alertes semblant tout droit sortir des entrailles de Windows. Messages d’alerte qui, à leur tour, convaincront les usagers d’acheter en ligne le programme de protection que semble leur conseiller « leur Windows »… et par conséquent, Microsoft même. Ces webmestres rabatteurs, véritable réseau de distribution des scarewares, sont payés au pourcentage des « licences » vendues. Ce qui implique quelques mouvements monétaires, des mécanismes d’affiliation, des transmissions de programmes à intégrer dans les pages Web des sites faisandés… autant d’agissements qui peuvent ne pas passer inaperçus aux yeux des chasseurs de cybercriminels. Et des yeux de chasseurs de cybercriminels, il y en a toujours un certain nombre d’ouverts depuis que Microsoft a lancé un contrat de 250 000 dollars sur la tête du papa de Conficker.
Il est également important de se souvenir de toutes les étapes qui ont jalonné la vie de ce ver, les mille et uns perfectionnements techniques intégrés à son code, ses centaines de fonctions cachées… en d’autres termes, son « universalité » et son « professionnalisme ». Tant de développement pour une simple vente de scareware ? Ce serait étonnant. Il paraîtrait plus plausible que lesdits vendeurs de scarewares et leurs réseaux d’affiliés soient eux-mêmes clients de la « Conficker Incorporated » et ne fassent précisément que louer les services de cette plateforme. Ce qui serait bien plus logique et conforme à la réalité. Car les botnets sont faits pour être loués. Par tranche, par fonctions, par périodes, les réseaux de machines zombies sont vendus à la tâche, et il est presque impensable que les patrons de Conficker dérogent à cette règle. Tant par prudence que par appât du gain. Dans le monde du crime comme dans celui de l’orpaillage, ce sont généralement les opérateurs d’infrastructure, les « vendeurs de pelles », qui empochent le plus d’argent et le moins de risque. Beaucoup plus rarement ceux qui sont sur le terrain.
Une autre mise à jour de Conficker, en revanche, paraît opérée directement pour le compte des administrateurs du botnet. Cette seconde charge, sinistrement connue, s’appelle Waledac, un autre virus spécialisé dans le vol de données et l’émission de spam. Ce qui confirmerait l’hypothèse initialement émise par les labos de Trend Micro, qui, très tôt, ont décelé une certaine parenté entre ces deux malwares. Parenté établie en analysant les techniques de codage des deux virus, mais également confirmée par l’utilisation commune de certains serveurs « noirs » situés notamment en Ukraine. Rappelons également que Conficker évite d’infecter les ordinateurs Ukrainiens par détection de la configuration de leur clavier.