Dans un communiqué paru hier soir, Microsoft a annoncé avoir participé à la coupure d’un immense botnet de plus de deux millions de machines. Nommé ZeroAccess, ou encore Sirefef, il a nécessité la coopération de plusieurs partenaires, du FBI et d’Europol.
Crédits : Adam Gerard, licence Creative Commons
Deux millions d'ordinateurs infectés
Comme nous l’indiquions hier dans une actualité connexe, les botnets sont des réseaux de machines infectées par un ou plusieurs malwares. Ces derniers prennent le pouvoir et sont capables de recevoir des ordres émanant d’une seule personne, qui peut alors contrôler plusieurs centaines de milliers de machines du bout des doigts. Les machines sont dites « zombies » car elles obéissent aveuglément à des requêtes qui concernent le plus souvent des attaques (en bombardant par exemple un serveur de requêtes) ou pour générer du spam.
Microsoft a annoncé hier soir par voie de communiqué le succès d’une vaste opération lancée contre un botnet du nom de ZeroAccess. La firme était notamment associée au FBI ainsi qu’à l’European Cybercrime Centre (EC3) d’Europol. Ce parc de machines zombies avait gonflé démesurément pour dépasser les deux millions d’ordinateurs, nécessitant une intervention pour se débarrasser notamment des serveurs de contrôle.
Une intervention physique dans plusieurs pays d'Europe
La firme avait donc déposé une plainte la semaine dernière devant un tribunal du Texas pour obtenir le droit d’agir directement. L’autorisation a été donnée peu de temps après, permettant à Microsoft de faire bloquer les trafics entrant et sortant des machines concernées sur le territoire américain. 18 adresses IP, correspondant à des serveurs de contrôle, ont également été bloquées, et la firme indique également avoir pris possession de 49 noms de domaines associés au botnet.
Microsoft ne s’est toutefois occupé que de la partie technique, car un travail plus en profondeur a été réalisé par Europol. Une action portant sur plusieurs juridictions a donc été menée pour intervenir directement sur les serveurs en Lettonie, au Luxembourg, en Suisse, aux Pays-Bas et en Allemagne. Des mandats de perquisition ont permis la récupération physique des machines associées aux IP frauduleuses qui avaient été repérées en Europe.
Détourner les résultats des moteurs de recherche
Le fonctionnement de ZeroAccess n’est pas comparable à Ponny, que nous abordions hier. Ainsi, il n’était pas question ici de récupérer des identifiants, mais de détourner de la publicité. Le ou les malwares étaient installés soit via des sites qui avaient été corrompus, soit à travers des logiciels trafiqués. Une fois en plus, il détournait les pages des principaux moteurs de recherche (Google, Bing et Yahoo) pour orienter les utilisateurs vers de faux résultats, voler des informations personnelles ou encore détourner les clics faits sur les publicités. C’est précisément cette activité qui était pointée du doigt car ZeroAccess aurait fait perdre environ 2,7 millions de dollars de chiffre d’affaires aux agences de publicité tous les mois.
Selon le communiqué de Microsoft, le botnet ZeroAccess était particulièrement difficile à combattre. La faute à une infrastructure technique basée sur les échanges P2P, ce qui permettait aux pirates de le contrôler depuis de nombreuses machines. Conséquence, la firme, comme le FBI et Europol, estime que toutes les machines n’ont pas nécessairement été mises hors d’état de nuire et que le botnet survit peut-être sous une forme très affaiblie. L’intérêt de l’opération était toutefois de court-circuiter le modèle économique mis en place, ce qui est le cas.
Les utilisateurs prévenus
Pour la suite, la firme indique travailler avec ses partenaires pour avertir les utilisateurs dont les machines ont été contaminées. Microsoft recommande l’installation de solutions spécifiques car ZeroAccess bloque toute tentative manuelle pour le déloger. La meilleure protection pour se prémunir contre ce type de menace est de toujours installer les mises à jour de sécurité et de faire attention à la source des téléchargements de logiciels.
On notera que cette action illustre parfaitement la situation qui risque de se produire à large échelle lorsque le support de Windows XP prendra fin en avril 2014. Les failles ne seront plus corrigées et certains pays, dont la Chine, auront de réelles difficultés puisque l’ancien système y règne toujours avec plus de 50 % de parts de marché.
