McAfee a identifié, le 25 mai 2007, une nouvelle forme d’attaque informatique qui cible les ordinateurs des particuliers. « Ce n’est qu’une attaque parmi d’autres, nous découvrons 1 à 2 attaques similaires par mois, précise François Paget d’Avert, le laboratoire de surveillance de l’éditeur de sécurité McAfee, mais avec celle-ci, nous avons réussi à démonter presque toute la méthodologie ce qui nous a permis d’expliquer la façon dont l’attaque s’est déroulée. » Et elle est pour le moins sophistiquée.

Dans son blog, François Paget explique qu’un cheval de Troie se contracte à partir d’une page Web infectieuse qui contient une routine en Javascript. Cette routine connecte l’ordinateur infecté à un site distant pour y télécharger un exécutable (.exe) qui, à son tour, télécharge une variété de fichiers malveillants.

Un schéma d’infection complexe mais efficace

L’éxécutable s’appuie sur des failles corrigées (MS06-006 et MS06-024) et non corrigées (type Adodb.stream) de Windows. S’il parvient à passer la protection antivirale (pour peu que celle-ci ne soit pas à jour), l’agent désactive le centre de sécurité de Windows XP SP2 et modifie la base de registre afin de télécharger et d’installer le cheval de Troie en question. Passée cette étape, l’exécutable s’auto-détruit et passe le relais au cheval de Troie qui enregistre alors l’adresse IP de la machine victime afin de la localiser géographiquement. Avec une grande précision puisqu’il va jusqu’à préciser la ville (et même les coordonnées longitudinaux) dans laquelle opère l’ordinateur infecté.

Le cheval de Troie télécharge également deux autres fichiers pour le moins indésirables. Le premier tente de désactiver les anti-virus installés et leur mise à jour tout en effectuant des captures d’écrans de formulaires d’authentification. Le second fichier installe un logiciel espion voleur de mots de passe particulièrement actif sur les services e-gold.com, meine.deutsche-bank.de, banking.postbank.de. Enfin, une série d’autres programmes intrusifs transforme à terme la machine en véritable PC zombie (un ordinateur aux ordres du pirate ou ses commanditaires) tout en poursuivant la collecte de données confidentielles.

C’est donc un schéma d’infection assez complexe mais apparemment très efficace que les pirates ont mis en place. Mais c’est avant tout la cible visée qui a retenu l’attention des ingénieurs d’Avert, et particulièrement d’Elodie Grandjean, qui a découvert l’attaque. « On a affaire à une attaque qui cible des particuliers ayant de faibles niveaux de sécurité et avec des navigations à risque », soutient François Paget. Par navigations à risque, on pense naturellement aux sites pornographiques ou aux plates-formes de distribution de logiciels « crackés ». Mais « on a constaté beaucoup de connexions sur des sites de rencontres et sur les Skyblog [les blogs de Skyrock, ndrl] à travers des pages vérolées volontairement créées ou involontairement vulnérables ».

Plus de 500 victimes en France

Les chercheurs d’Avert se sont également inquiétés de la proportion de victimes françaises ou francophones concernées. Alors que l’attaque a pris fin le 1er juin (ou, du moins, la page web à l’origine de l’infection a été fermée ou déplacée), le laboratoire de McAfee a recensé plus de 500 victimes situées en France contre 700 à 800 pour les Etats-Unis. Un résultat disproportionné par rapport à nos voisins où moins d’une centaine d’ordinateurs infectés ont été comptabilisés en Allemagne ou en Grande-Bretagne. Une situation qui a poussé McAfee à alerter les autorités policières nationales.

Aucune entreprise n’a été repérée parmi les victimes. « L’attaque cible vraiment les personnes inconscientes des dangers d’Internet, essentiellement le grand public et à des fins de fraudes financières, visiblement », insiste François Paget. Le porte-parole de la cellule de veille de McAfee souligne qu’un Windows à jour des correctifs renforcé par un anti-virus est aujourd’hui en mesure de prévenir ce type d’attaque « même si aucune solution n’est fiable à 100 % ». Qu’on se le dise.