Spécial sécurité : Conficker, le calme après le calme… et avant quoi ?

Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères se penchent sur les réactions de la communauté de la sécurité informatique suite à la catastrophe annoncé qui n'a pas eu lieu, à savoir l'activation du ver Conficker. Alors pétard mouillé ou charge à mèche lente ?

cnis logo

Sommaire

- 1 - Conficker, le calme après le calme… et avant quoi ?

- 2 - Aurélie Lampion, une dangereuse Serial Killeuse

1) Conficker, le calme après le calme… et avant quoi ?

Comme un réveil de lendemain de fête, les analystes sécurité marquent une pause et font un « point Conficker ». Tous pour dire « il ne s’est rien passé », un peu moins pour ajouter « on vous l’avait bien dit ». Car il était difficile pour certains de ne pas avoir la main lourde au moment de servir les alertes. Certes, il y a 3 millions de vers zombificateurs ayant fait leur office qui attendent, tapis, que leur Botmaster leur demande de charger. Certes, il est difficile de nier l’existence de cette très pénible épidémie, à moins, comme l’explique clairement la cartographie du Conficker Working Group, d’aller s’expatrier au fin-fond du désert australien ou quelque part entre les îles Sakhaline et les plaines de Sibérie.

Eric Ogren de Security News se demande un peu comment on a pu en arriver là. Comment une faille vieille de 6 mois, corrigée par son éditeur, a pu provoquer un tel vent de panique. Comment, jusqu’à présent, et malgré les cris des professionnels de la sécurité, l’on soit parvenu à plus ou moins passer entre les gouttes : grâce aux fournisseurs de services Internet qui ont su filtrer à temps ? Grâce à l’intimidation et aux 250 000 dollars de prime qui ont « effrayé » ou « intimidé » les auteurs de Conficker ? Grâce à la mise à jour en urgence des outils de sécurité ? Grâce à la chance ? Ou peut-être un peu un assortiment de tous ces facteurs. Mais ce qui turlupine véritablement Ogren, c’est pourquoi les réactions des industriels de la sécurité ont-elles fait preuve d’autant d’amateurisme ? Et de citer quelques phrases au hasard des interventions : «  Tentez de visiter le site Kaspersky. En cas d’échec, c’est que vous êtes probablement infecté », signé Kaspersky. «  Le meilleur moyen de savoir si vous êtes infecté, c’est de passer un « bon » antivirus », signé Symantec. « Si vous utilisez l’antivirus Sophos, vous n’avez pas besoin de désactiver le HIPS lorsque vous exécutez l’outil de désinfection Conficker de Sophos », signé Sophos, dont l’A.V. nécessite, pour des raisons inconnues, le passage d’un second outil destiné à vérifier le bon fonctionnement du premier. Et réciproquement. C’est peut-être là ce que l’on appelle le fameux « understatement » Britannique.

Le « coup du site Kasperky qui n’apparaît pas » a d’ailleurs inspiré un autre observateur de la sécurisphère, Martin McKeay, qui nous offre une page html comportant quelques liens graphiques pointant sur différents éditeurs d’A.V. et quelques ressources linuxiennes et BSDéiennes. Ce mini détecteur est à même de dire si la machine est probablement touchée par Downadup, distingue même s’il s’agit d’une variante « C » ou « A/B » de l’infection, ou si le problème est lié à un paramètre un peu trop restrictif du proxy ou du navigateur. Chers internautes, si vous ne pouvez pas lire ce texte, c’est probablement parce que votre câble réseau n’est pas connecté.

ISS-IBM a d’ailleurs profité du premier jour de « réveil » de Conficker C pour écouter le dialogue des zombies cherchant leurs nouveaux domaines de mise à jour, et ainsi en estimer l’étendue de l’épidémie. Chiffres avancés avec beaucoup de prudence, car ne reflétant qu’une vision partielle d’Internet, limitée aux seules requêtes de Conficker C bloquées ou détectées par les passerelles Proventia de ce même ISS. Le virus aurait donc infecté près de 4 % des ordinateurs en service à la surface de la terre. Des 3 millions de systèmes touchés estimés par la plupart des experts (chiffre évoqué notamment par le Conficker Working Group), l’on passerait brutalement au-delà de la barre des 10 millions d’ordinateurs zombifiés.

Tout ceci est presque aussi sérieux que cet indispensable développement offert par Gnu Citizen et baptisé « générateur de néologismes » (in english ; buzzword generator). Le générateur en question fabrique les noms des futures attaques complexes qui feront la gloire des prochaines RSA Conference, des Defcon les plus spectaculaires ou des CCC explosives. Ce peut être là une très intéressante source d’inspiration pour tout RSSI chargé de produire un rapport justifiant son travail auprès d’une direction dépassée par les événements et qui cherche encore des firewalls dans les scripts d’OpenOffice. Entre la description dantesque d’un Overflow Red Pill Shattering, les dangers du Online Binary Evasion, les menace d’encrypted Information Forgery ou le risque d’Injected DNS Spidering, il y a franchement de quoi effrayer le plus flegmatique des patrons.

2) Aurélie Lampion, une dangereuse Serial Killeuse

Au moins six meurtres non élucidés, des modes opératoires toujours changeant, des années de recherche à la poursuite d’une mystérieuse tueuse, des centaines d’hommes de la « Crim » allemande sur les dents, une chasse à l’homme (si l’on ose dire) qui va de la Bavière à l’Autriche et passe même par la France. Et toujours, comme seule carte de visite, l’empreinte génétique d’une inconnue. Une empreinte découverte sur la balle d’un règlement de compte entre Roms, sur le tapis de voiture de l’auteur présumé d’un triple meurtre entre ressortissants des pays de l’Est… L’Exécutrice demeurait aussi rapide, aussi insaisissable que Léon.

Une rocambolesque histoire que nous narre Science Blogs, et qui retombe comme un soufflet : la Sérial Killeuse n’était en fait qu’une employée de l’entreprise chargée de fabriquer les pointes de coton servant aux enquêteurs de la P.J. à relever des échantillons d’ADN. Cette « pollution » de preuve a donné naissance à un véritable roman dont on ne sait pas trop comment il risque d’être interprété. Indiscutablement, cette affaire met en évidence les carences que l’on peut rencontrer dans tout système de sécurité, même si celui-ci est encadré par des normes et des procédures précises. Il est surprenant que jamais le moindre contrôle de la chaîne de stérilité n’ait été effectué durant toutes ces années… mais peut-être était-ce un pré-requis tellement évident que personne n’a songé à en douter. Pas plus qu’il n’était jusqu’à présent pensable de remettre en question les pratiques d’un Heartland ou d’un RBS Wordpay, drapés dans la respectabilité d’un PCI-DSS infaillible.

Pour approfondir sur Menaces, Ransomwares, DDoS