Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Microsoft annonce l'arrêt de Dorkbot, un botnet d'un million de PC

Mais l'entreprise n'était pas seule
Internet 4 min
Microsoft annonce l'arrêt de Dorkbot, un botnet d'un million de PC
Crédits : alexaldo/iStock/Thinkstock

Microsoft a annoncé récemment avoir mené à bien une opération coordonnée contre un important botnet, créé via le malware Dorkbot. Ce n'est pas le premier réseau que le groupe démantèle - avec le concours des forces de l'ordre - mais Dorkbot était particulièrement important, avec plus d’un million de PC infectés.

Un botnet est un réseau de machines zombies. Il s’agit d’un maillage constitué de PC qui ont été infectés par un malware bien particulier qui, en plus de voler des informations, peut être piloté à distance. Plus il y a de machines infectées par le même malware, plus le botnet grandit et plus le pirate qui le contrôle gagne en puissance. Car l’aspect spécifique d’un botnet est qu’une seule personne peut faire effectuer à des centaines de milliers de machines une action particulière, comme générer du spam ou déclencher des attaques distribuées par déni de service (DDoS).

La lutte contre les botnets demande des efforts coordonnés, comme l’indiquait récemment le spécialiste Éric Freyssinet dans nos colonnes. De nombreux aspects doivent être pris en compte, outre le simple fait d’intervenir pour couper les liens entre les machines et le serveur utilisé pour les contrôler. Au-delà de la technique, il faut prendre en compte l'intérêt financier : il est possible de payer pour générer du spam ou pour s’en prendre à une cible particulière.

100 000 nouvelles machines infectées par mois

Pour Dorkbot, Microsoft s’est associée à plusieurs partenaires : la société de sécurité ESET (éditrice de l’antivirus NOD32), le Département américain de la sécurité intérieure, Europol, le FBI, Interpol ou encore le Computer Emergency Response Team (CERT) de Pologne. Les techniques utilisées pour démanteler ce puissant botnet, qui comptait plus d’un million de machines, n’ont pas été révélées. Pas question d'indiquer publiquement les moyens et outils mis en œuvre. Mais le rythme de croissance du botnet Dorkbot était devenu inquiétant, avec 100 000 nouvelles machines contaminées environ par mois sur les six derniers mois.

Pour autant, ce botnet n’était pas nouveau, les premières traces de son existence remontant à 2011. L’opération pour s’y attaquer a nécessité une coordination internationale qui a visiblement mis un certain temps à se mettre en place. Le Microsoft Malware Protection Center avait en effet publié dès 2012 une analyse de Dorkbot en deux parties, dans lesquelles l’entreprise présentait les dangers d’un réseau qui grandissait.

Une prédilection pour les vieux PC sans protection

L’éditeur indique que Windows Defender et l’ensemble des antivirus sont capables de détecter Dorkbot depuis un moment. Les machines infectées sont donc celles qui ne sont pas protégées par une telle barrière et qui ont un Windows trop ancien pour inclure l’antivirus maison. On pense tout de suite aux dizaines de millions de PC encore sous Windows XP, alors même que le support technique du vieux système s’est terminé le 8 avril de l’an dernier. Nous avions alors souligné les dangers inhérents de laisser en fonctionnement des machines où les failles de sécurité ne pouvaient que s’accumuler avec le temps.

De fait, la répartition des PC contaminés sur les six derniers mois n’est pas étonnant. 21 % des infections ont eu lieu en Inde, 17 % en Indonésie, 16 % en Russie, 14 % en Argentine. La Chine, elle, comptait seulement pour 4 % des contaminations.

dorkbot

De nombreux identifiants dérobés

Microsoft explique dans tous les cas qu’il était devenu urgent de se débarrasser d’un malware que son concepteur vendait littéralement comme un « kit criminel ». Les méthodes de propagation étaient par ailleurs nombreuses : clés USB, messageries instantanées, réseaux sociaux, téléchargements depuis des sites malveillants ou encore emails. Comme souvent dans ce genre de cas, le malware était contrôlé à distance par de simples commandes IRC.

Malin, Dorkbot disposait de plusieurs techniques pour éviter d’être supprimé. De nombreux sites dévolus à la sécurité étaient donc bloqués et il avait même certaines capacités lui permettant d’échapper aux sandbox, une capacité de plus en plus courante parmi les malwares du genre. Une fois en place, il pouvait intercepter nombre de requêtes sur le web et récoltait en priorité les identifiants des comptes Google, AOL, eBay, Facebook, Godaddy, Mediafire, Netflix, Twitter ou encore Yahoo.

dorkbot

La coordination, décidément l'élément clé

Microsoft affiche finalement un discours qui ressemble largement à celui d’Éric Freyssinet en amont de la conférence Botconf 2015 : les efforts doivent être concertés pour détruire les botnets de manière efficace et durable. La firme indique par exemple que les éditeurs de solutions de sécurité doivent s’échanger leur savoir-faire, que les institutions financières doivent mieux identifier les flux frauduleux pour tarir les flux d’argent, et que les forces de l’ordre allient leurs efforts pour trouver finalement les auteurs. 

Notez enfin que si Dorkbot et son million de machines infectées est une prise importante, il ne s'agit pas du plus gros botnet auquel se soit attaqué l'entreprise. En décembre 2013, aidée par le FBI et Europol, elle avait ainsi coupé l'accès à un botnet de deux millions de machines nommé ZeroAccess.

48 commentaires
Avatar de jinge INpactien
Avatar de jingejinge- 04/12/15 à 16:08:55

:cartonrouge: encore un service gratuit que Microsoft arrête!... :transpi: :troll: :pastaper:

Avatar de goldiman INpactien
Avatar de goldimangoldiman- 04/12/15 à 16:16:37

jinge a écrit :

:cartonrouge: encore un service gratuit que Microsoft arrête!... :transpi: :troll: :pastaper:

:bravo:

Avatar de sushis INpactien
Avatar de sushissushis- 04/12/15 à 16:18:26

jinge a écrit :

:cartonrouge: encore un service gratuit que Microsoft arrête!... :transpi: :troll: :pastaper:

:bravo::bravo:

après MSN... maintenant ça... demain c'est skype ? :transpi:

Avatar de born INpactien
Avatar de bornborn- 04/12/15 à 16:22:59

jinge a écrit :

:cartonrouge: encore un service gratuit que Microsoft arrête!... :transpi: :troll: :pastaper:

10/10 😂

Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 04/12/15 à 16:27:30

:dix: :bravo:

Avatar de 2show7 INpactien
Avatar de 2show72show7- 04/12/15 à 16:38:08

"un botnet d'un million de PC" 
 On dit un gros botnet :transpi: 

Édité par 2show7 le 04/12/2015 à 16:38
Avatar de Jed08 INpactien
Avatar de Jed08Jed08- 04/12/15 à 16:43:14

Ca devrait être le sous titre de la news :P

Avatar de SylvainPV INpactien
Avatar de SylvainPVSylvainPV- 04/12/15 à 16:50:46

Un effort sur l'orthographe SVP ! L'auteur a vraiment un problème avec les participes passés...
"creer via le malware Dorkbot" "la sociéter de securiter" "L’operation a nécessiter"  "avais en effet publier" "le support technique s’est terminer " 
 

Avatar de SNUT INpactien
Avatar de SNUTSNUT- 04/12/15 à 17:04:47

Qu'est-ce qu'on peut faire quand un FW fortinet détecte des tentatives d'accès en SMB à un share depuis un PC infecté sur lequel les AV du marché 5tren ou Symantec en tête) ne détectent rien sur ladite machine ?

Avatar de le-gros-bug INpactien
Avatar de le-gros-bugle-gros-bug- 04/12/15 à 17:08:06

Les techniques utilisées pour démembrer ce puissant botnet, qui comptait plus d’un million de machines, n’ont pas été révélées.

Les mauvaises langues vont dire que c'est grace au backdoor de Microsoft :mdr:

Il n'est plus possible de commenter cette actualité.
Page 1 / 5