Spécial Sécurité : Conficker reloaded
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères auscultent la dernière mutation du virus qui fait trembler la planète, Conficker. Avant de s'interroger sur les motivations des sources qui ont révélé à la presse américaine le piratage des ordinateurs pilotant les infrastructures électriques US.
Sommaire
- 1 - Conficker : il recommence à mordre
- 2 - Scada, scandales, intox et budgets américains
1) Conficker : il recommence à mordre
A peine la grande peur du premier avril oubliée, que déjà apparaît une nouvelle mutation du ver Conficker/downadup. Chez certains, il prend le suffixe « E ». Pour l’heure, très peu d’analyses et opérations d’ingénierie inverse ont pu être menées. Mais l’on est sûr au moins, chez Trend Micro, que cette version « redevient méchante », autrement dit qu’elle chercherait encore à rechercher et exploiter la faille Microsoft, alors que la précédente version ne faisait que « mettre à jour » les machines précédemment infectées. Pour l’instant, la mise à jour se propage par voie P2P, et possède quelques petites modifications par rapport à ses grands frères. Elle cherche notamment à découvrir un accès ouvert sur Internet, en sondant la présence de quelques domaines grand public tels que Myspace, MSN, AOL ou eBay. L’on se souvient que le code originel de Conficker vérifie la date du jour en contactant également d’autres sites grand public, tel que CraigsList, un modèle de création et d’inventivité graphique sur Internet. En cas d’échec, le vers se contente de fouiller les liens locaux pour tenter d’infecter d’autres machines et ressources.
Autre semi-nouveauté – qui avait été également découverte à l’occasion du « réveil » du premier avril -, Conficker tenterait de contacter certains domaines communs à un autre virus, Waledac. Paul Fergusson de Trend Micro revient sur cette idée lors d’une interview accordée à nos confrères d’eWeek. Une idée que reprennent les principaux éditeurs d’A.V. liés au « Conficker working Group », ainsi Websense. Chez BitDefender, l’on affirme que la mutation a enrichi son panel de domaines à bannir. Domaines appartenant notamment aux éditeurs d’antivirus et autres organismes de recherche. La preuve ? Les « infectés » par la variante « E » ne peuvent plus désormais se connecter à dbtools.net, serveur qui offrait – et offre toujours - un outil de désinfection adapté. Du coup, il a fallu imiter les habitudes de Downadup et créer un autre nom de domaine. L’anti-Conficker de BitDefender est désormais accessible sur Disinfect tools.
2) Scada, scandales, intox et budgets américains
Tout a commencé par un article du WSJ. Un papier reposant essentiellement sur des « on dit » d’agents de la CIA et autres fonctionnaires des services de renseignements US : les Chinois, les Russes, et peut-être d’autres puissances, seraient parvenus à pénétrer dans le système de gestion du réseau électrique US. Et pas qu’une seule fois ! Le fait serait même fréquent, prétend-« on ». Reuters reprend l’information, le Reg – généralement si critique et suspicieux - s’en fait également l’écho, Hellen Messmer, celle qui « fait et défait la sécurité informatique US », reprend le couplet dans les colonnes de Network World. Il faut se reporter au billet de Robert Graham – pourtant d’un esprit généralement très conservateur et alarmiste - pour entendre un son de cloche tendant à désamorcer cette information. Joel Esler du Sans, revient également sur l’information et précise deux points importants : en premier lieu, hacker une machine située à l’intérieur d’un site de contrôle de l’énergie, ce n’est pas nécessairement pénétrer dans les automatismes de régulation et de contrôle de processus eux-mêmes. Et encore, lorsque ceux-ci existent, puisque bien souvent une partie des outils de commande relèvent encore de l’automate programmable et de la boucle de régulation PID pilotée par un microcontrôleur. Pas franchement ce qu’un Conficker aime se mettre sous la dent. De toute manière, de par un décret fédéral, il est interdit au système informatique d’une architecture SCADA d’être relié au réseau public.
Si cette isolation existe sur le papier, il arrive parfois que des interconnexions malencontreuses soient établies, précise un long article de Security News. Long article qui détaille surtout le principal problème des « power grid » américains : son obsolescence. Le moderne et l’ancien s’y empilent au fur et à mesure des évolutions technologiques, et le mariage entre « l’hérité » - qui remonte parfois à l’après guerre - et le contemporain pose de sérieux problèmes de sécurité provoqués par les compromis et les difficultés posées par les adaptations et interfaces. Mais, peut-on lire entre les lignes, tout ceci n’est véritablement qu’une affaire de « gros sous ». La modernisation des infrastructures stratégiques fait partie d’un plan national budgété aux environs de 4 milliards de dollars. Opération de longue haleine et gâteau aiguisant les appétits de bon nombre d’industriels en mal de plan de relance. Dont font partie bien sûr quelques vendeurs de sécurité informatique.
S’agit-il donc vraiment de « journalisme jaune » comme le dénonce Graham ? Est-ce là plus simplement une opération de manipulation utilisant la presse, pour le plus grand intérêt de quelques entreprises souhaitant soumettre leurs offres dans ces fantastiques marchés d’Etat ? Car chaque fois que des hommes politiques ou fonctionnaires des services de police évoquent la présence d’espions chinois ou russes, de pédophiles ou de terroristes poseurs de bombes, il n’est pas rare que cela cache les agissements d’intérêts privés, qui viennent proposer leurs bons offices, leurs catalogues de solutions miracles et leurs demandes de subsides.