Le 13 juin 2007, le FBI révèle par voie de communiqué avoir découvert plus d’un million de PC zombies. Autant de machines faisant parti d’un réseau contrôlé à distance par des pirates (un « botnet »). Surpris par cette annonce, Marc Blanchard, chercheur au laboratoire de Kaspersky, se lance dans une enquête pour comprendre comment un tel botnet a pu se créer aussi rapidement. Il va alors découvrir une nouvelle génération de technologies qui caractérisent désormais les malwares. C’est la génération des Storm Bot qui se propagent notamment par le biais des sites web.
« Les Storm Bot ne sont pas des vers très émergents comme Sasser ou Blaster qui ont envahi la planète en quelques heures« , commente le chercheur rencontré à l’occasion du salon InfoSecurity France, « un Storm Worm va infecter mille à deux milles machines« . Un taux de contamination ridicule à l’échelle du réseau mondial qui lui offre une discrétion efficace aux yeux laboratoires antivirus. Sauf que l’agent malveillant effectue des re-contaminations. « Ces deux milles machines infectées vont à leur tour infecter deux milles autres PC et ainsi de suite, mais pas avec le même code« . Une stratégie qui lui permet de conserver sa discrétion tout en assurant sa propagation exponentielle.
La discrétion reste de mise côté machine hôte. Contrairement aux vers d’ancienne génération qui occupent 100 % des ressources machine lors de leur implémentation (au risque d’attirer l’attention de l’utilisateur), la génération Storm Bot « est plus intelligente« , constate Marc Blanchard. « Le ver analyse dans un premier temps les ressources processeur de la machine et se contente d’en exploiter les 2/3 de sa puissance. » Soit environ 40 % d’occupation du processeur, ce qui laisse une entière liberté de mouvement de l’utilisateur évitant ainsi de lui mettre la puce à l’oreille.
Deux fois la puissance d’un Cray
Le plus redoutable est la puissance dégagée par ce type de botnet. Selon Marc Blanchard, 50 000 PC zombies équivalent à 10 % de la puissance d’un Cray XT, l’un des supercalculateur les plus puissants du monde après Blue Gene d’IBM. « Un million de PC zombie revient à 2 fois la puissance d’un Cray XT. » Une puissance exploitée non pas au profit de la recherche contre la myopathie hélas mais pour transformer les machines victimes en serveur de spam de web et de blogs. « Des sites et des blogs qui vont être indexés par Google et attirer du trafic« , alerte Marc Blanchard.
Des sites web vecteurs d’infection. « Du jour au lendemain, le site que vous avez l’habitude de visiter peut devenir contaminant. » En effet, par des opérations de defacing (remplacement d’une page web d’un site), les pirates injectent du script (Javascript, PHP, VBscript…) dans la page Web de manière transparente ou bien créent une iFrame qui télécharge du code infectieux, toujours de manière invisible pour l’internaute. S’ensuit la neutralisation du pare-feu logiciel et l’ouverture d’une porte dérobée (backdoor) qui permettra au pirate d’installer ce que bon lui semble et prendre le contrôle distant de la machine.
Page: 1 2
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…