Nitol : Microsoft cherche des noises Chinoises à des botnets pas nets

Actualités - Sécurité - Posté on 10 Sep 2012 at 11:54 par Solange Belkhayat-Fuchs

La chasse est ouverte, vous avez une « licence to kill » précise la décision de la cour d’Alexandria, Virginie, à l’attention de Microsoft. Le droit d’abattre le botnet Nitol et de poursuivre ses pilotes et auteurs présumés, un certain Peng Yong président aux destinées de Bei Te Kang Mu Software Technology, et de trois autres personnes à l’identité inconnue et résidant également dans l’empire du Milieu.

Cela fait déjà quelques années que Microsoft est en guerre ouverte contre les gardiens de botnets, et a activement pris part au blocage des réseaux de machines zombies infectées par Waledac, Rustock et Kelihos notamment. Cette fois, c’est le domaine 3322.org qui a été visé par un cybercomando Microsoftien au cours de l’ « operation b70 ». On notera au passage que 3322.org et ses multiples sous-domaines avaient, depuis plusieurs années et au moins depuis 2004, été remarqués par l’infatigable chasseur de botnets et de réseaux mafieux Dancho Danchev.

La prise ne mérite pas franchement la première page des journaux. 4000 postes infectés, la plupart situés en Chine, c’est du virus de petite, très petite envergure. Selon les explications de Microsoft, le malware responsable des infections Nitol aurait pour origine des PC également fabriqués en Chine, et livrés « tous équipés, options comprises », c’est-à-dire non seulement avec des copies illégales de la suite Microsoft Office (ce qui a déclenché semble-t-il le désir d’action de l’éditeur) mais encore avec des souches dudit rootkit. Et Microsoft de mettre l’accent sur la notion de « supply chain sécurisée » (les supply-chain sont les chaînes de sous-traitance et de sous-sous-traitance participant à l’élaboration d’un produit fini, en l’occurrence ici un ordinateur). « Comment pouvez-vous être certain de la fiabilité de la chaîne logistique de fabrication de votre ordinateur ? » demande l’éditeur.

La réponse est évidente : personne n’en est capable. Comment, même en admettant que le monde entier se mette à acheter des machines de marque, savoir si tel ou tel fournisseur de fournisseur ne cache pas un black-hat en son sein ? Des disques durs ou des écrans fabriqués dans des usines Thaïlandaises employant des personnes dont le salaire les maintient à peine au-dessus du seuil de pauvreté, des cartes mères (et donc des Bios) assemblés sur des chaînes de production Chinoises pour le compte d’entreprises US ayant pignon sur rue et qui ne se soucient guère du taux de suicide et des conditions de travail chez leurs partenaires… La tentation est grande d’améliorer sa propre condition en faisant fi de considérations morales. Il n’est même pas nécessaire d’envisager la main gauche d’un éventuel service secret anti-impérialiste ennemi du Tigre de Papier et du Social-révisionniste-laquais de la morale petit-bourgeoise (ou quelque chose comme ça).

D’ailleurs, la seule réponse inquiète à la question posée par Microsoft, le Sénat US l’avait déjà apportée, en émettant une recommandation anti-Lenovo le jour où un docte sénateur s’est rendu compte que son portable ne portait plus le logo IBM et arborait un fier « made in China ». IBM qui, avant cette cession d’activité, sous-traitait déjà la fabrication de ses portables en Chine. Le fait d’acheter Américain ou Français ou Nippon ou Moldo-Valaque ne résoudra jamais la question anxiogène et sans-réponse de la fiabilité tout au long des supply chain.

Une autre question se pose à la lecture du court rapport Nitol : l’hypothèse d’une filière de diffusion de botnet par le biais d’un constructeur de machines est-elle sérieuse et efficace ? Dans certains cas de « spear phishing », et lorsque l’on connaît les rouages d’un service d’achat d’une grande entreprise ou administration, certes, la chose est envisageable. Mais ce schéma est-il applicable dans le cadre de botnets à usage général, ceux-là même qui servent à récupérer des crédences Paypal et des numéros de carte de crédit ? Un Bot-herder qui espère gérer un troupeau de zombies lié à la progression des ventes d’un fabricant de machines à bas coût, même sur un marché comptant 500 millions de petits Chinois (quel émoi), devra faire preuve de patience. Le « supply chain » vecteur d’infection est une hypothèse trop rocambolesque pour être prise au sérieux.

Il y a, derrière cette enquête Microsoft, un aspect franchement positif, celui de la disparition d’un domaine douteux et connu comme tel depuis longtemps. Mais on peut aussi y détecter des interprétations et des motivations tendant à promouvoir l’idée du « buy American » à l’aide d’arguments parfois spécieux. Ce ne serait pas la première fois qu’une menace-prétexte serve à justifier une politique isolationniste commerciale.

Laisser une réponse