Un plan pour attraper le ver Conficker

Le 1er avril, un ver informatique appelé Conficker, qui a déjà infecté des millions de machines dans le monde, devrait faire quelque chose de mal, bien que personne ne sache exactement quoi. Certains experts craignent qu'une armée de machines infectées ne reçoive l'ordre de lancer une attaque coordonnée ou d'envoyer un barrage de spam. Mais un outil publié aujourd'hui pourrait aider à réduire l'impact en permettant aux grandes entreprises et institutions d'éliminer rapidement les machines infectées en analysant des réseaux entiers à la recherche de signes d'infection.





L'analyse du ver Conficker a précédemment révélé que les ordinateurs infectés téléphoneraient à la maison le 1er avril pour recevoir un nouvel ensemble d'instructions. Il est déjà possible de détecter le ver en scannant les machines individuellement, mais c'est un processus relativement long. Il est également possible de détecter le bogue en surveillant les communications sortantes envoyées sur un réseau, mais la dernière version de Conficker est conçue pour rester silencieuse jusqu'au 1er avril.

Dan Kaminsky , directeur des tests d'intrusion pour la société de sécurité basée à Seattle IOActif , a aidé à créer le nouvel outil d'analyse et dit qu'il peut identifier une machine infectée en reconnaissant la façon dont elle se présente au réseau plus large. Cela permet de rechercher rapidement et facilement le ver à distance et ne nécessite aucun accès spécial aux machines. C'est comme conduire dans un quartier à la recherche de maisons avec de grands panneaux sur leurs portes, dit Kaminsky.

L'outil a été créé après Tillmann Werner et Felix Leder, membres d'un organisme de recherche indépendant appelé le Projet Honeynet , a demandé à Kaminsky de revoir leurs recherches sur Conficker. Le duo avait découvert que le ver modifiait l'apparence d'une machine sur un réseau. Kaminsky s'en est emparé, suggérant que les chercheurs créent un outil qui utilise ces informations pour trouver les machines infectées. Les chercheurs ont construit un tel outil et ont travaillé tout le week-end pour le préparer à une large distribution aux fournisseurs d'autres logiciels de sécurité. Quel que soit le scanner de vulnérabilité qu'une entreprise utilise, elle devrait avoir un support pour cela d'ici la fin de la journée, dit Kaminsky.



Bruce Schneier , directeur de la technologie de la sécurité chez Comptoir BT , affirme que la capacité du nouvel outil à rechercher le virus à distance devrait être utile, car elle permettra aux utilisateurs d'analyser très rapidement un grand nombre de machines. C'est important, dit Schneier, parce que le ver est un ravageur si méchant. Conficker est un ver extrêmement bien écrit, extrêmement bien conçu et extrêmement bien exécuté, explique Schneier. C'est vraiment un travail impressionnant, et il y a quelqu'un de très intelligent derrière. Mais Schneier ajoute qu'il est important pour les utilisateurs d'ordinateurs et les administrateurs de protéger leurs machines contre une variété de logiciels malveillants, pas seulement une seule menace.

Si vous avez géré un bon environnement, vous ne devriez pas vous en inquiéter, dit Rich Mogull , fondateur de la société de conseil en sécurité Sécurose , qui a aidé à connecter les chercheurs de Honeynet et Kaminsky avec les fournisseurs de sécurité réseau au cours du week-end. Mogull note que Microsoft a déjà publié plusieurs correctifs qui bloquent la vulnérabilité que Conficker utilise pour infecter une machine. Cependant, il dit que les entreprises inquiètes pour Conficker devraient commencer à le rechercher immédiatement, après avoir vérifié si leurs outils de sécurité réseau ont été mis à jour.

Kurt Rohloff , un scientifique qui étudie les vers Internet dans la société de recherche et développement BBN Technologies , dit que l'outil pourrait s'avérer utile, bien qu'il doute qu'il soit temps de trouver et de neutraliser chaque ordinateur infecté par le ver. Rohloff dit que le nouveau scanner pourrait être utilisé pour prendre des mesures préventives en identifiant les hôtes infectés et en les supprimant du réseau, bien qu'il admette que cette approche est drastique, car vous supprimez la connectivité.



Kaminsky note que l'outil est destiné aux organisations disposant de grands réseaux. Pour les particuliers, dit-il, la meilleure approche consiste à s'assurer que les dernières mises à jour de sécurité sont installées et qu'un logiciel antivirus à jour est en cours d'exécution. Étant donné que Conficker empêche un ordinateur d'accéder à certains sites Web de sécurité, les utilisateurs peuvent tester le ver en essayant de visiter ces sites, explique Kaminsky. Werner et Leder prévoient de publier un article le lendemain, décrivant les détails techniques de leur découverte.

cacher