Le poisson d'avril de Conficker

Le virus possède deux
principaux mécanismes de mise à jour.

Le
plus visible est le mécanisme web ou HTTP où chaque ordinateur infecté
recherche chaque jour 500 URL de mise à jour parmi les 50000 existantes, ayant
ainsi 1 chance sur 100 d'obtenir une mise à jour. Ce mécanisme en lui même est
assez lent, mais sa rapidité ne dépend pas du nombre d'ordinateurs infectés. Si
l'un des liens demeure actif et diffuse la mise à jour pendant cent jours,
alors le réseau viral tout entier sera mis à jour.

Le
système de mise à jour peer-to-peer est moins visible. Il nécessite seulement
qu 'un ou plusieurs ordinateurs déjà mis à jour se connectent à Internet et
qu 'ils soient accessibles de partout.

Pour
cela, il est possible d 'utiliser un mécanisme d 'infection alternatif tel qu 'un
e-mail malicieux ou une version du virus sous la forme d 'un cheval de Troie
introduite sur un réseau de partage de fichiers, ou même, en imaginant un
scénario digne d 'un film d 'espionnage, en laissant une clé USB contenant le
virus sur un banc dans un parc.

En
utilisant ce système, une machine infectée recherche environ 600 adresses IP
par heure (sur un total d 'environ 3,3 milliards d 'adresses IP utilisables) afin
d 'essayer de trouver d 'autres machines infectées ayant un code plus récent et
de pouvoir ainsi se mettre à jour.

Imaginons
un réseau de 10 millions d 'ordinateurs infectés (une estimation probablement
inférieure à la réalité), dans lequel seulement un ordinateur disposerait de la
dernière version du virus. La probabilité pour une machine infectée de trouver
cet unique ordinateur ayant la dernière mise à jour dès la première tentative
est de 1 sur 3 milliards.

Cela peut sembler très peu,
mais nous disposons de 10 millions d 'ordinateurs, et chacun réalise 600 essais
par heure (ce qui fait un total de 6 milliards d 'essais). Nous pouvons donc
être certains que la dernière version du code sera trouvée dans l 'heure.

La
logique, simple et effrayante, de la croissance exponentielle s'applique
ensuite. S'il y a deux ordinateurs à jour, en trouver un est deux fois plus
facile, s'il y en a quatre c'est encore plus simple et ainsi de suite, de sorte
qu 'en utilisant ce système le réseau tout entier pourrait être mis à jour en
seulement 16 heures environ. Un plus petit réseau nécessiterait plus de temps,
mais pas beaucoup plus.

Associez
les deux systèmes (je vous épargne les détails des calculs mathématiques) et
vous obtenez une durée de mise à jour d 'environ 9 heures pour un réseau composé
de 10 millions de machines.

Mais
la rapidité du mécanisme HTTP vaut-elle la peine d'être exploitée ? Si l'on
prend en compte le fait que tous les chercheurs et les entreprises travaillant
dans la sécurité informatique dignes de ce nom surveillent les 50000 URL, non,
pas vraiment.

Il
est bien plus probable que l'auteur (ou les auteurs) du virus garde(nt)
l'option http en réserve et utilise(nt) le peer-to-peer pour les mises à jour
ordinaires.

Conficker
est donc là pour un bon moment. La seule chose à faire, comme d'habitude, est
de se protéger contre les nouvelles versions et de nettoyer peu à peu les
ordinateurs hôtes déjà infectés.