Spécial Sécurité : Conficker, un flop commercial ?

Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères se penchent sur la première "charge utile" de Conficker, la diffusion d'un faux antivirus. Avant de détailler la dernière livraison de rustines de Microsoft.

cnis logo

Sommaire

- 1 - Conficker, un flop commercial ?

- 2 - Correctifs : Microsoft rattrape son retard

1) Conficker, un flop commercial ?

« Enfin ! On sait ce qu’il fait et à quoi il sert » écrit en substance Brian Krebs. «  Il », c’est Conficker, le virus le plus médiatique depuis l’invention du boulier. Selon les chercheurs de Kaspersky, nous apprend l’éditorialiste sécurité du Washington Post, la première « charge » de Conficker est… un antivirus. Un faux antivirus, bien sûr, un de ceux qui appartiennent à la famille des scarewares, qui se déclenchent sur une alerte douteuse, qui se vendent aussi cher que les véritables outils de protection, et qui, l’on s’en doute, se gardent bien d’éradiquer le véritable malware à l’origine de cette détection virale tonitruante. Celui de Conficker s’appelle SpywareProtect2009.

Mais comment être sûr que c’est là la véritable mission de Conficker ? On peut en douter. Que Conficker exploite cette veine des scarewares, cela n’a rien d’étonnant.  Ce sont là probablement de nos jours les meilleurs vecteurs financiers du cybercrime organisé, ceux qui rapportent le plus d’argent. A force de « faire peur » sans agir, Conficker aurait très bien pu servir de prétexte à n’importe quel autre éditeur concurrent de ces fameux scarewares. Plutôt que de faire cadeau de cette opportunité à une branche rivale de la cyber-pègre et voir disparaître le moindre espoir de retour sur investissement, l’équipe Conficker a décidé d’organiser elle-même l’exploitation du filon.

Il est toutefois douteux que ce soient les auteurs même du virus qui aient organisé cette opération. Car le business des scarewares est complexe, et comporte de nombreux risques. Il repose notamment sur deux acteurs complémentaires : d’une part le « vendeur » réel du programme, celui qui encaisse l’argent des personnes abusées qui croient acquérir un programme légitime, et d’autre part les « rabatteurs ». Ces derniers sont généralement des webmestres peu scrupuleux dont le rôle est d’héberger sur leur site – ou sur des sites compromis qu’ils supervisent - les appliquettes qui afficheront les premiers messages d’alertes semblant tout droit sortir des entrailles de Windows. Messages d’alerte qui, à leur tour, convaincront les usagers d’acheter en ligne le programme de protection que semble leur conseiller « leur Windows »… et par conséquent, Microsoft même. Ces webmestres rabatteurs, véritable réseau de distribution des scarewares, sont payés au pourcentage des « licences » vendues. Ce qui implique quelques mouvements monétaires, des mécanismes d’affiliation, des transmissions de programmes à intégrer dans les pages Web des sites faisandés… autant d’agissements qui peuvent ne pas passer inaperçus aux yeux des chasseurs de cybercriminels. Et des yeux de chasseurs de cybercriminels, il y en a toujours un certain nombre d’ouverts depuis que Microsoft a lancé un contrat de 250 000 dollars sur la tête du papa de Conficker.

Il est également important de se souvenir de toutes les étapes qui ont jalonné la vie de ce ver, les mille et uns perfectionnements techniques intégrés à son code, ses centaines de fonctions cachées… en d’autres termes, son « universalité » et son « professionnalisme ». Tant de développement pour une simple vente de scareware ? Ce serait étonnant. Il paraîtrait plus plausible que lesdits vendeurs de scarewares et leurs réseaux d’affiliés soient eux-mêmes clients de la «  Conficker Incorporated » et ne fassent précisément que louer les services de cette plateforme. Ce qui serait bien plus logique et conforme à la réalité. Car les botnets sont faits pour être loués. Par tranche, par fonctions, par périodes, les réseaux de machines zombies sont vendus à la tâche, et il est presque impensable que les patrons de Conficker dérogent à cette règle. Tant par prudence que par appât du gain. Dans le monde du crime comme dans celui de l’orpaillage, ce sont généralement les opérateurs d’infrastructure, les « vendeurs de pelles », qui empochent le plus d’argent et prennent le moins de risque. Beaucoup plus rarement ceux qui sont sur le terrain.

Une autre mise à jour de Conficker, en revanche, paraît opérée directement pour le compte des administrateurs du botnet. Cette seconde charge, sinistrement connue, s’appelle Waledac, un autre virus spécialisé dans le vol de données et l’émission de spam. Ce qui confirmerait l’hypothèse initialement émise par les labos de Trend Micro, qui, très tôt, ont décelé une certaine parenté entre ces deux malwares. Parenté établie en analysant les techniques de codage des deux virus, mais également confirmée par l’utilisation commune de certains serveurs « noirs » situés notamment en Ukraine. Rappelons également que Conficker évite d’infecter les ordinateurs ukrainiens par détection de la configuration de leur clavier.

2) Correctifs : Microsoft rattrape son retard

Enfin corrigé ! Microsoft colmate, parmi les 8 correctifs publiés lors de ce mardi de Pâques, une faille Excel vieille de plus de deux mois et exploitée par quelques malwares depuis une bonne trentaine de jours. Au total, l’on compte ce mois-ci 6 bouchons s’appliquant à Windows XP, à ISA Server, aux services http (des stations aux serveurs, de 2000 à 2008), l’incontournable « cumulatif Internet Explorer », le trou Excel et un patch Office corrigeant les outils de conversion de format de texte.

Les deux failles affectant les produits bureautique (convertisseur de texte et Excel) sont qualifiées de critiques et doivent être corrigées d’urgence compte tenu des risques d’attaques réels. Egalement critique, un défaut DirectShow qui touche toutes les versions de 2000 à 2003 Server, à l’exception semble-t-il de Vista et de 2008. Critique encore le défaut dans les services http, et critique toujours l’éternel correctif I.E., qui compte ce mois-ci pas moins de 6 alertes CVE.

Les commentaires de l’équipe de sécurité de Microsoft aiguillent sur le blog du MSRC/Msec, qui pointe à son tour sur une série d’articles décrivant soit les défauts colmatés, soit les moyens déployés pour résoudre le problème. A noter dans ce déluge d’information un article consacré au fameux « bug du convertisseur de formats de texte », dans lequel les auteurs s’étendent sur l’art de désactiver, ré-activer, installer, désinstaller, bloquer les convertisseurs en question. Certaines de ces explications ne sont pas d’une simplicité absolue. Une fois de plus, l’équipe milite en faveur du téléchargement et de l’usage de Moice, le convertisseur de format « standard Office 2007 ». En effectuant cette conversion, Moice élimine de facto les risques les plus connus reposant sur les anciens documents de la gamme Office.

Pour approfondir sur Menaces, Ransomwares, DDoS