L’histoire de Conficker débute le 23 octobre 2008 quand Microsoft publie son 67e bulletin de sécurité de l’année. L’alerte est qualifiée de critique pour la plupart des versions courantes de Windows. Le correctif comble une faille par laquelle un attaquant pourrait réussir à déclencher à distance l’exécution de code arbitraire sur la machine. Dit autrement, la vulnérabilité permet de prendre le contrôle de l’ordinateur cible. Comme en 2003 avec Blaster, elle repose sur le protocole RPC (Remote Procedure Call).
Les premiers logiciels malveillants capables d’exploiter la faille apparaissent moins d’un mois plus tard. Les différentes occurrences sont surnommées Downup, Downadup, Kido ou… Conficker, le nom qui en définitive passera à la postérité.
Un virus protéiforme
Conficker est un virus protéiforme : cinq variantes principale, numérotées de A à E, sont identifiées entre novembre 2008 et le printemps 2009. Elles partagent un mode opératoire qui consiste à contrecarrer les défenses du système, désactiver les services liés à la sécurité et scanner le réseau à la recherche de nouvelles machines à infecter.
« Les versions B et C de Conficker sont capables d’aller se cacher dans une clé USB pour aller infecter de nouvelles machines »
En parallèle de ce socle commun, chaque nouvelle variante amène de nouvelles méthodes de propagation et d’infection : Conficker est mis à jour par ses auteurs, de la même façon qu’un éditeur de logiciel ajoute des fonctionnalités à ses produits. Les versions B et C de Conficker sont par exemple capables d’aller se cacher dans une clé USB pour aller infecter de nouvelles machines grâce à la fonction de lancement automatique Autorun. Elles savent aussi explorer les partages ou modifier la politique de sécurité d’un réseau local afin d’en ouvrir les portes à des requêtes venues de l’extérieur.
Les analyses techniques montrent surtout comment chaque machine infectée par Conficker devient capable de transmettre et relayer des instructions transmises par un interlocuteur distant. Au départ, ce procédé peer-to-peer sert principalement à propager les mises à jour du virus ou à le doter de nouveaux mécanismes de défense face aux tentatives de désinfection, mais d’autres desseins apparaissent rapidement.
Conficker Working Group
Microsoft annonce le 12 février 2009 la création d’un groupe de travail dédié à Conficker, et promet dès le lendemain une récompense de 250 000 dollars à qui saura retrouver les responsables. Les chercheurs réunis au sein de ce Conficker Working Group soupçonnent qu’une échéance particulière est programmée au 1er avril 2009 : à cette date, le virus est censé se mettre à jour une nouvelle fois et intensifier de façon significative ses méthodes de propagation réseau.
De nombreux articles sonnent l’alarme à la veille de la date fatidique : John Markoff, le spécialiste sécurité informatique du New York Times, se demande par exemple s’il faut s’attendre à un désastre sans précédent ou un poisson d’avril. Il ne se passera finalement aucun événement significatif le 1er avril.
Conficker et ses suites vont pourtant continuer à semer le trouble pendant des mois et des années. Le virus servira notamment de vecteurs à des attaques visant la destruction ou le vol des fichiers stockés sur la machine. Il soutiendra également diverses campagnes plus ou moins ciblées mêlant dénis de service et engorgement du réseau.
Près de dix ans après sa création, Conficker n’a pas totalement disparu, notamment en entreprise où certains parcs informatiques sont encore sous des versions vulnérables de Windows : de temps à autres, on voit poindre une alerte de sécurité qui relate la découverte de nouvelles machines infectées.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.