Conficker - Un an après (Première Partie)

éPISODE UN

Conficker (aussi connu sous les noms de Downadup et Kido) n 'est pas l 'e-menace la plus ingénieuse, ni la plus dangereuse. Il s 'agit pourtant de l 'un des malwares les plus intéressants, caractérisé par un immense potentiel de destruction et un système de mise à jour élaboré. Depuis sa sortie fin octobre 2008, les rumeurs et les données scientifiques se sont mêlées aux faits pour permettre aux médias de masse de servir à leurs lecteurs des chiffres effrayants et des scénarios apocalyptiques annonçant la fin d 'Internet comme ce fut le cas à l 'occasion du premier avril.

Quels dommages Conficker a-t-il causés ?

Le ver par lui-même ne cause pas de dommages. Aucune des cinq variantes existantes ne corrompt de fichiers ni ne vole de données. Et pourtant…

Ce que fait Conficker est encore plus effrayant. Cela prouve que les créateurs de ce malware l 'ont conçu avec beaucoup d 'habileté et sont parvenus à réaliser un illustre héritier de ses prédécesseurs : Welchia, Blaster, Sobig, Sasser et Storm.

Le principal objectif de Conficker est de se diffuser et de compromettre autant de machines que possible. Il a atteint cet objectif en exploitant une vulnérabilité du Service Serveur RPC de Microsoft® Windows® décrite dans le Bulletin de Sécurité de Microsoft MS08-067 .
La vulnérabilité permet à un attaquant d 'exécuter du code à distance sur une machine non protégée. Les estimations réalisées début 2009 ont confirmé l 'efficacité dont fait preuve Conficker pour se diffuser : à la fin du premier trimestre, le nombre total de machines compromises dans le monde correspondait pratiquement à la population de la Belgique ou des Pays-Bas. Les variantes B et C exploitaient également dans leur mécanisme de diffusion la fonction Autorun (exécution automatique) pour les supports et disques amovibles (tels que les dispositifs de stockage mobiles USB) et la possibilité d 'accéder par la force brute aux partages réseaux insuffisamment protégés (c 'est-à-dire à ceux ayant des mots de passe non sécurisés).

La deuxième mission de Conficker consiste à mettre en place, à déployer et à maintenir un système de communication furtif et viable entre les machines compromises, permettant d 'effectuer des mises à jour et de transmettre des commandes. Le système de communication a été l 'objet d 'un développement élaboré d 'une variante à une autre et est à l 'origine des prédictions d '” Apocalypse informatique “. Les trois premières versions de Conficker se connectaient à un nombre limité de domaines (environ 250) pour se mettre à jour. Les améliorations introduites dans les deux dernières variantes sont à l 'origine de la création de 50 000 domaines aléatoires, les versions C et D de Conficker étant capables de sélectionner 500 URL et d 'y rechercher de façon aléatoire des mises à jour.

Le troisième objectif de Conficker est de paralyser les systèmes de défense. Dès sa deuxième variante, le ver a commencé à désactiver Windows Update et à bloquer l 'accès à la plupart des sites Web antimalwares. Cela se traduit par l 'impossibilité de mettre à jour manuellement ou de façon automatique les suites de sécurité ou autres programmes installés. De plus, toute tentative de se connecter aux sites Internet des éditeurs ou de tiers pour obtenir des outils de désinfection devient vaine car les créateurs de Conficker mettent à jour pratiquement instantanément la liste des URL à bloquer.  

En bref, la mission de Conficker consiste jusqu 'à présent à créer une armée de machines latentes à travers le monde, capables de communiquer, de se mettre à jour et de recevoir des ordres tout en neutralisant tout système de défense en place.