Nom de code de l’opération : b49. Commanditaire : Microsoft. Objectif : faire tomber le réseau botnet connu sous le nom de Waledac. Microsoft a donné des airs d’action commando à la bataille technique et juridique qu’il a livrée pour démanteler ce botnet susceptible de pouvoir diffuser 1,5 milliard de courriels non sollicités (spams) par jour.
Apparu pour la première fois en décembre 2008, Waledac est un logiciel malveillant (malware) qui s’est propagé par courriels sur des centaines de milliers d’ordinateurs pour former ce que l’on appelle un botnet, « réseau de machines zombies », contrôlées à distance par un ou plusieurs pirates.
Un tel réseau botnet peut servir à commettre divers méfaits comme des attaques de type « déni de service » pour submerger des serveurs et bloquer des sites Web, lancer des campagnes d’hameçonnage (phishing) ou encore répandre des logiciels malveillants. Waledac est spécialisé dans le spam, et plus particulièrement dans le spam médical selon Sophos, éditeur de solutions de sécurité pour les entreprises.
Attaque en deux temps
Pour parvenir à ses fins, Microsoft a voulu frapper vite et fort en combinant à la fois l’attaque technique et le recours juridique. Suite à une plainte déposée le 22 février auprès d’un tribunal de l’Etat de Virginie, un juge a autorisé la fermeture temporaire de 277 noms de domaine soupçonnés d’assurer le soutien logistique de Waledac.
Dans cette affaire, Microsoft dit avoir travaillé avec des partenaires. Symantec a confirmé par un communiqué qu’en tant qu’expert en sécurité informatique, il a « fourni au tribunal des informations sur ce que sont les botnets, comment ils sont utilisés pour les cyberattaques, ainsi que des informations spécifiques relatives au botnet Waledac ».
Microsoft a ensuite pu lancer l’assaut pour briser les liens entre les centres de commandement du botnet et les ordinateurs infectés. Après trois jours de bataille, la firme de Redmond a indiqué avoir coupé la plupart des connexions de Waledac. Pourtant, on ne peut pas parler de succès total.
La chute de Waledac n’a pas fait baisser le spam mondial
D’une part parce que, comme le précise Microsoft, Waledac est toujours présent dans les ordinateurs infectés et que leurs propriétaires en ignorent l’existence. D’autre part parce que les experts en sécurité doutent de l’efficacité réelle de cette riposte. « Depuis l’annonce de la chute de Waledac et encore à l’heure actuelle, nous n’avons pas constaté de baisse de la menace globale du spam », nous a déclaré Laurent Gentil, ingénieur sécurité chez Sophos.
L’éditeur analyse quelques 800 000 pourriels par jour. Il salue l’initiative de Microsoft, mais en cerne aussi les limites. Pour Laurent Gentil, si Waledac a bien pris « une balle dans le pied », il a techniquement les moyens de se reconstituer. « Les pirates ont tiré les leçons des précédentes campagnes d’éradication. Ils ont mis en place des plans de secours pour ne pas perdre leur botnet qui est un outil très lucratif. La question est de savoir combien de temps ils mettront à relancer Waledac. »
Une nécessaire prise de conscience
D’après les explications de Sophos, Waledac intègre un système « fast flux » qui lui permet de changer sans cesse les noms de domaine qu’il utilise (DNS) grâce à un roulement très rapide des adresses IP. De plus, les botnets de nouvelle génération fonctionnent à la fois en http et avec le protocole peer to peer qui leur permet de communiquer individuellement avec chaque ordinateur.
« Pour stopper ce système, il faut installer des patchs sur chaque machine et donc être très intrusif », complète Laurent Gentil. En clair, Microsoft aura du mal à venir à bout de Waledac. La seule solution estime Sophos, mais aussi ses concurrents, c’est une prise de conscience massive des utilisateurs, particuliers et entreprises, sur la nécessité de protéger leurs installations. « C’est le seul moyen d’endiguer le problème. Il faut que les gens réalisent qu’avec un malware dans leur PC, un inconnu, qui peut se trouver n’importe où dans le monde, s’introduit dans leur vie privée. »
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
