Joyeux noël (rootkit edition)

Actualités - Malware - Posté on 02 Déc 2008 at 8:35 par Solange Belkhayat-Fuchs

FdcomiteEntre les véritables présents et les cadeaux empoisonnés, il est difficile de s´y retrouver, en cette période de fêtes.
Elle est pourtant la bienvenue, cette annonce faite par Dan Goodin, du Reg : Srizbi, le botnet qui, tel les morts-vivants des films de Romero, devait revenir d´entre les morts après la décapitation de l´hébergeur véreux McColo… ne reviendra pas. Du moins, pas immédiatement. Son mécanisme de résurrection pointait sur un certain nombre de serveurs situés en Estonie, et il semblerait que des décisions rapides aient été prises pour enfoncer un pieu de buis béni dans le cÅ“ur de ce vampire de la bande passante. Seul, en Allemagne, un serveur-spammeur subsiste. Sera-ce pour longtemps ?

Toujours est-il que la trêve fut de courte durée. Les boîtes de courriel recommencent à être envahies par des offres pharmaceutiques intitulées « Bonjour », les propositions d´adhésion à certains casinos en ligne redoublent… les fêtes de noël et leurs dépenses associées intéressent également les cyber-magouilleurs. Il est à craindre que cette chasse aux McColo et autres gros robinets d´alimentation à botnet ne débouche sur un éclatement des ressources, une atomisation plus discrète des machines dédiées à la mise à jour de ces réseaux de bots. La chasse aux héritiers de McColo pourrait bien devenir un sport difficile, en 2009. En attendant ces jours maudits, certains experts jouent les Cassandres et nous prédisent l´arrivée d´un nouveau Botnet, encore plus gros, encore plus dangereux, encore plus envahissant que tout ce que pouvait diffuser McColo. Il s´agirait, nous expliquent nos confrères de ComputerWorld, d´un botnet reposant notamment sur la faille MS08-067, la fameuse « hors cycle » qui fit déjà tant couler d´encre. Le petit nom de son exploit varie en fonction des éditeurs d´antivirus : Downad.a chez les uns, Downadup chez les autres, Conficker.a chez Microsoft… ce serait tellement plus compliqué d´utiliser une nomenclature unique. Par exemple, Exploit-CVE-2008-4250. Mais franchement, avec un nom pareil, difficile de « sensibiliser » l´usager et de le convaincre d´acheter un indispensable outil de protection périmétrique. Les auteurs de scarewares n´ont pas de tels scrupules, eux qui inventent des infections aux noms apocalyptiques…

Toujours à propos de ces histoires de vulnérabilité et de propagation virale, Christian Seifert pose une fois de plus, dans les colonnes de son blog, l´éternelle question relative à la responsabilité de Microsoft dans l´établissement de ces fameux botnets. En invoquant la lutte contre le piratage de ses productions, l´éditeur justifie le fait qu´il puisse contrôler le téléchargement des « service pack » et autres rustines de sécurité. Les vilains profiteurs ne bénéficieront pas du « service après vente » d´une chose qu´ils n´ont pas acheté. De prime abord, la réaction peut paraître logique. Mais, fait remarquer Seifert, cet argument de suffit pas à motiver les intentions d´achat, et les postes piratés demeurent des postes piratés. Et vulnérables… puisque non « patchés ». Ergo, chaque poste piraté fragilisé contribue un peu plus à rendre Internet peu sûr, et vient gonfler les armés de zombies enrôlés dans les botnets.

Seifert oublie toutefois une composante essentielle du jeu de la sécurité et du renouvellement de parc : à l´heure actuelle, même des licences légalement acquises représentent un danger monumental. C´est notamment le cas de l´innombrable armada de postes Windows 98 encore en service… ce sera bientôt celui des générations de XP qui ne seront plus supporté par MS. Ce qui est scandaleux, dans cette situation, c´est la totale irresponsabilité du budget des utilisateurs, qui ne sait pas adopter une plasticité indéfiniment extensible.

Laisser une réponse