Microsoft fait des victimes collatérales dans sa chasse au malware

CloudRisquesSécurité
microsoft-victimes-malware

En cherchant à éliminer un botnet, l’éditeur a mis hors-ligne plusieurs millions de sites Web exploitant le service de DNS dynamiques No-IP.

Le torchon brûle entre Microsoft et Vitalwerks, société américaine gérant un de DNS dynamiques sous la marque No-IP.com. Au coeur du débat, une chasse au malware menée par l’éditeur de Windows.

Pour saisir les subtilités de cette affaire, il faut remonter à ses origines. Le 19 juin 2014, Microsoft lançait une offensive contre les réseaux d’ordinateurs zombies (botnets) diffusant les logiciels malveillants Jenxcus (NJwOrm) et Bladabindi (NJrat). La firme déposait, devant la cour de justice du Nevada, une plainte au civil contre l’Algérien Mohamed Benabdellah et le Qatari Naser Al Mutairi, identifiés comme les sources de cette opération. Parmi les chefs d’accusation retenus à leur encontre figurait la diffusion en mode public, sur les réseaux sociaux, de guides d’instructions étape par étape pour exploiter Jenxcus et Bladabindi.

Mais Microsoft visait aussi Vitalwerks et son service permettant de conserver une même URL pour des sites changeant souvent d’adresse IP (tout particulièrement ceux hébergés par des particuliers à leur domicile). La multinationale évoquait une « sécurisation insuffisante » de l’infrastructure soutenant No-IP… et la possibilité, pour des tiers malintentionnés, de diffuser facilement des logiciels malveillants via plusieurs milliers de sous-domaines, tout en laissant peu de traces grâce aux DNS dynamiques.

Microsoft estimait que Vitalwerks n’avait pas pris les mesures adéquates malgré les avertissements répétés des spécialistes en sécurité informatique. Une position validée par le magistrat chargé d’instruire le dossier : le 26 juin, soit une semaine après le lancement de son action en justice, le plaignant s’est vu confier la clé de 23 noms de domaines (22 selon No-IP) pour lui permettre d’examiner le trafic et détecter des menaces.

Microsoft déclare que les données qui résulteront de cette analyse seront communiquées aux principaux fournisseurs d’accès ainsi qu’aux autorités nationales compétentes en matière de protection des systèmes d’information. La firme de Redmond précise avoir adapté, en partenariat avec le spécialiste des solutions réseau A10 Networks, son infrastructure cloud Azure pour mieux gérer les pics de trafic générés par les botnets.

Bonjour les dégâts

Ces démarches ont fait des dégâts collatéraux. Selon Kaspersky, elles ont perturbé le fonctionnement de deux logiciels malveillants utilisés par des gouvernements à des fins d’espionnage : l’un conçu par l’éditeur italien HackingTeam ; l’autre baptisé Flame et issu de la même souche que le « ver industriel » Stuxnet.

Mais elle ont aussi, selon Vitalwerks, entraîné des interruptions de services pour des millions de sites exploitant No-IP. La société estime que les solutions de filtrage de Microsoft n’ont pas été capables de supporter des milliards de requêtes. Elle déplore surtout un manque de communication, alors qu’un terrain d’entente « aurait pu être trouvé sans passer par la voie juridique ».

Bilan : No-IP est instable depuis lundi avec jusqu’à 4 millions de sites concernés (source Krebson Security). En guise de solution de dépannage, il est proposé aux clients de créer un nouveau nom d’hôte sur un domaine non saisi par Microsoft : ddns.et, webhop.me, serveminecraft.net, ddnsking.com ou onthewifi.com. Un message du P-DG de Vitalwerks laisse toutefois entendre que la situation « rentrera très bientôt dans l’ordre », sans plus de précisions.

Les internautes n’ont pas tardé à se mobiliser sur Twitter via le hashtag #FreeNoIP, fustigeant l’initiative « unilatérale » de Microsoft et la qualifiant de « dingue », « incroyable » « outrageuse » ou encore « irresponsable ». La firme avait déjà faire face aux critiques l’année dernière dans l’affaire Citadel, du nom d’un autre malware. Elle avait pris le contrôle de plusieurs serveurs exploités par ce botnet… avec des implications sur les recherches que menaient en parallèle des experts en sécurité informatique.

ddns-microsoft
Microsoft estime que les DNS dynamiques sont des vecteurs de diffusion de logiciels malveillants.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien Microsoft ?

Crédit image : Jumbo2010 – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur