Le FBI susceptible de couper 300 000 accès à Internet dans le monde

Mis à jour le
Le FBI susceptible de couper 300 000 accès à Internet dans le monde
 

L'arrêt d'un système de sécurité temporaire mis en place par le FBI pour déjouer un tentaculaire réseau de piratage informatique pourrait déconnecter 300 000 ordinateurs d'Internet dans le monde entier.

Jenny Shearer, un porte-parole du FBI, a annoncé mardi 24 avril qu'un vaste réseau de serveurs informatiques, mis en place en novembre 2011 sur l'initiative de l'agence fédérale américaine pour déjouer un réseau mondial de plusieurs millions d'ordinateurs infectés par un botnet, va être éteint en juillet prochain, sans avoir totalement accompli sa tâche.

Et c'est là le problème, car l'arrêt de ces serveurs de remplacement pourrait tout simplement déconnecter d'Internet tous les ordinateurs répartis sur la planète qui y sont connectés. La plupart des ordinateurs concernés sont situés aux Etats-Unis, mais une bonne partie se trouve en Europe et, dans une moindre mesure, en Inde.
Un retour sur les faits s'impose pour réaliser l'ampleur du problème.

Court-circuiter les DNS

En novembre 2011, le FBI, assisté de plusieurs sociétés spécialisées en sécurité informatique (dont Trend Micro) et d'universités réputées pour leurs travaux de recherche, démantèle une opération de piratage d'envergure mondiale fonctionnant depuis 2007. Six Estoniens sont arrêtés et les infrastructures repérées. Le système, bien que complexe, est d'une efficacité redoutable. Dans un premier temps, les pirates diffusent DNSChanger, un botnet notamment dissimulé dans un lecteur vidéo téléchargeable sur Internet. A l'insu de ses utilisateurs qui ont opté pour ce lecteur, le malware s'installe au fil des années sur environ quatre millions de machines dans plus de cent pays à travers le monde.

L'infection atteint même des ordinateurs de la Nasa. DNSChanger modifie, sur la machine qu'il occupe, les adresses Internet des serveurs de noms de domaine (les DNS, ou Domain Name System) qui servent aux ordinateurs à savoir où trouver un site quand un internaute cherche à s'y rendre. Pour être plus explicite, en s'interposant entre les ordinateurs infectés et les vrais serveurs DNS, les pirates sont alors en mesure d'aiguiller 4 millions de PC vers les sites de leur choix. Le botnet, par un système complexe de redirection sur des sites malveillants, est également capable de désactiver l'antivirus et le système de mise à jour de la machine qui l'héberge afin d'empêcher sa détection et son éradication.

Une machine à cash

Dans le même temps, les pirates créent une société, Rove Digital, qui comprend plusieurs filiales. Ce montage habile leur permet d'héberger le système diffusant le botnet. Mais, surtout, les escrocs mettent en place un vaste système très lucratif de détournement de visite ou, encore plus fort, d'intégration de bannières frauduleuses sur des sites officiels. Ainsi, grâce au « click hijacking », quand un internaute disposant d'une machine infectée clique sur un lien pour se rendre vers un site, celui de l'iTunes d'Apple, pour prendre l'exemple mis en avant par le FBI, le malware re-route alors le navigateur vers l'un des sites appartenant aux hackers. Le visiteur découvre alors un site marchand vendant des logiciels de la firme de Cupertino.

Pire, les cybercriminels arrivent même à occuper frauduleusement les espaces publicitaires de sites officiels. Ainsi, des sites comme celui du Wall Street Journal ou d'Amazon, voient des bannières validées par leur régie publicitaire remplacées par des réclames poussées par les serveurs des hackers. Un système ingénieux qui aurait, selon le juge américain saisi de l'affaire, généré plus de 14 millions de dollars de bénéfices en quatre ans.

Un démantèlement complexe

En novembre 2011, devant l'ampleur et la complexité du réseau pirate ainsi que devant le nombre impressionnant de machines infectées, le FBI décide de ne pas fermer directement l'infrastructure matérielle mise en place par les cybercriminels. Le but étant d'éviter à plusieurs millions d'internautes de se retrouver coupés d'Internet.
L'agence fédérale met donc en place un réseau « sain » de serveurs DNS de remplacement pour, petit à petit, « éteindre » celui des pirates. Ce système temporaire était censé, à l'origine, ne fonctionner que jusqu'en mars 2012... Malheureusement, son existence ne permet pas d'éradiquer le botnet des machines infectées. En mars dernier, toutes les machines « malades » ne sont pas encore repérées. Le juge fédéral en charge du dossier prolonge donc le délai jusqu'au 9 juillet.

300 000 machines susceptibles d'être coupées du Web

L'agence fédérale estime qu'en juillet prochain environ 300 000 ordinateurs – dont une bonne partie en Europe, et peut-être en France – hébergeront encore le malware. Le jour de l'arrêt des serveurs de remplacement, ils risquent de se retrouver littéralement coupés d'Internet. C'est pourquoi l'agence fédérale, avec l'aide des sociétés qui ont collaboré au démantèlement, a relancé dernièrement sa campagne de suppression du malware. Une page spéciale sur le site de l'agence fédérale recense ainsi les adresses des sites des différents pays concernés (dont la France) sur lesquels les internautes peuvent vérifier si leur machine est infectée.

Pour l'Hexagone, vous pouvez vérifier que votre machine n'est pas contaminée à cette adresse : http://www.dns-ok.fr. Si votre machine est infectée, les conseils (en anglais) pour l'éradiquer sont dispensés ici. Vous trouverez sur cette page les adresses des sites d'éditeurs d'anti-malwares afin de vous débarrasser du dangereux botnet.

16

Votre opinion

Postez un commentaire

16 opinions
  • antiinternet7
    antiinternet7     

    enfin le chiffre chanceux 7 va apparaitre il va aider le monde en éliminant cette menace international le net est considéré une arme détructrice térorisme ca ne devrait jamais a exister je souhaite bonne cahcne a vous cher FBI est tout les autres services de polices peut importe votre grade CIA ect.. l'internet est une arme fatale personne ne devrait posséder cette armes dangereuses dans le monde croyer moi l"internet est aussi dangereuse que vous le penser vous c une menace pour notre monde je souhaite le sucess de cette mission extremmement difficile a réeussir a couper juska la dernière connection internet au monde sauf pour le président est les services de polices personnes devrait posséder ceci sauf pour la police si vous vouler parler aller discuter dehors si vous vouler acheter quelque choses aller a lendroit au lieu rester sur votre ordinateur diabolqique qui vous tuera un jour paix amour et amitier vive la vie sans virtuel vive la vie réel !

  • BYE BYE SARKO
    BYE BYE SARKO     

    Au moins le FBI communique ce qu'il fait. Avez-vous déjà vu la même chose de la "DCRI", qui gère entre autre une fiche sur certains....

  • jdse
    jdse     

    Et ton commentaire il dit quoi sur le sujet, que t'y connais rien non plus ?

    Mais que tu commente quand même ?

    Au fait si Monsieur est meilleurs que les autres, il explique ? où de toute façon c'est trop compliqué pour le pécos moyen, c'est juste réservé au pro, qui ne va pas s'abaisser à expliquer, mais c'est sûr lui il sait.

  • Zeboute
    Zeboute     

    La censure du web est un non sens.
    C est comme demander au facteur d'ouvrir le courrier pour s'assurer que dans la lettre qu'il convoie,,il n'y a pas d'entorse à la loi : propos racistes, pédophiles, financiers, etc...
    Les opérateurs ne font que véhicules, et c'est la le drame : ou s'arrête laresponsabilite d'Internet, qui n'est qu'un objet technique.
    La fin d'une communication libre, c'est le débat. Internet sans frontière pointe d'ailleurs la France comme la Chineen étant mauvais élèves :
    http://wp.me/pWtTD-1Av

  • Dadkill
    Dadkill     

    Putain, quand je vois le nombre de personnes s'y connaissant aussi bien que mon frère de 5 ans avec son ordinateur Vtech en informatique, et qui osent venir essayer d'étaler leur science, c'est juste risible quoi.


    Quelques fois, il vaut mieux apprendre à se taire plus que de se ridiculiser dans les commentaires.

  • WTF75
    WTF75     

    @kingkong75: WTF?

  • Jojo le viollet
    Jojo le viollet     

    C'est très simple.
    quand vous faîte dans votre navigateur www-dns-ok.fr, votre ordinateur interroge un serveur dns pour demander l'adresse ip du serveur hébergeant le site voulus.
    Si le serveur dns est sain il va envoyer l'adresse du bon serveur.
    Si c'est un dns qui est corrompu (qui est depuis contrôlé par le FBI) il va vous retourner l'adresse d'au autre serveur, qui va vous dire que vous êtes contaminé.

  • Anoril
    Anoril     

    Pour rappel, le FBI contrôle le "réseau parallèle" monté par les DNS des pirates.
    Ainsi, en allant sur l'url de vérification, soit vous passez par les DNS officiels et vous arrivez sur une page "Tout va bien", soit vous passez par le réseau pirate sur lequel le FBI a mis une page "Vous êtez contaminé".
    C'est aussi simple que cela, en fait.

  • roberto42
    roberto42     

    A partir du moment ou les serveurs DNS sont remplacé chez la victime, il est possible de rediriger vers des site web différents qui ne correspondent pas à l'adresse entrée dans le navigateur. En fait les pirates ne modifie jamais le site de google, mais il le remplace totalement out partiellement par un autre "faux site de google" juste pour les PC infectés. A partir de là, tout devient possible, y compris changer la pub.

  • roberto42
    roberto42     

    C'est parce que si un PC est inffecté, il utilise systématiquement les fameux serveurs DNS de remplacement juste avant de se connecter a nimporte quel site web. Et puisque ces DNS pirates sont maintenant contrôlés par le FBI, ils peuvent savoir directement si vous vous y êtes connecté ou pas en venant sur leur site de vérification et donc déduire si vous êtes infecté ou pas...

Lire la suite des opinions (16)

Votre réponse
Postez un commentaire