 |
Emploi
|
|
Start-up
|
|
Evénements 01 | |
Avis d'expert | |
Vidéos | |
Indicateurs
|
|
Distribution
|
|
Telecharger Pro
|
|
Livres blancs | |||||||||||||||||||||
Mise à jour : Conficker. C, toutes les questions et les réponses pour les entreprises
par mail
l'article
Mise à jour (2 avril 2009)
A 10 heures, heure française…
Alors que plusieurs pays, dont la France, sont déjà passés à la date du 2 avril 2009, c'est toujours le calme plat, pour l'instant, sur le front de Conficker.C, la dernière variante du virus. C'est en tout cas ce qu'indiquent les spécialistes sur leurs blogs (F-Secure ou McAfee). Ils constatent seulement que des machines « zombies » ont commencé à créer, comme prévu, des listes de 50 000 serveurs, avec pour but d'en contacter 500, afin d'obtenir des instructions.
Aucun éditeur de sécurité n'a été en mesure de nous donner plus d'informations pour l'instant, et la menace demeure vague. Si aucun événement n'est à signaler, Paul Ferguson, cité par l'AFP, parle quand même d'un « pistolet chargé quelque part, même si personne n'a appuyé sur la détente ». A ce stade, on ne sait toujours rien des intentions des auteurs du virus (Microsoft offre 250 000 dollars pour leur capture)… pour peu qu'ils en aient.
Que se passera-t-il le 1er avril ?
Poisson d'avril ou terrible menace ? Selon des éditeurs de sécurité, la troisième version de ce ver, Conficker. C, devrait entrer en action dans la nuit du 31 mars au 1er avril 2009. Encore plus sophistiquée que les deux précédentes (la première ayant été repérée en novembre dernier), elle servirait à mettre en action un botnet (un réseau de PC infectés et utilisés, à l'insu des entreprises et des particuliers, par les pirates).
Le réseau de mon entreprise sera-t-il bloqué demain matin ?
C'est difficile à dire car les motivations des pirates ne sont pas connues. Une chose est sûre : les machines déjà infectées serviront à quelque chose.
Mes ordinateurs sous Linux ou Mac OS sont-ils eux aussi concernés ?
Non. Ce ver ne contamine que les PC et les serveurs fonctionnant sous Windows. Un argument supplémentaire qui pourrait inciter des entreprises à migrer tout ou une partie de leur parc vers Linux.
Comment savoir si les ordinateurs de mon entreprise sont infectés ?
Premier test : essayez de vous connecter aux sites des éditeurs d'antivirus. Si cela échoue c'est que le PC est touché, ce ver bloquant en effet l'accès à ces adresses.
Deuxième test : utilisez un petit programme développé pour repérer Conficker. Le département américain de la sécurité a mis en ligne le 30 mars des liens pour télécharger des outils qui scannent tout le disque dur à la recherche de ce ver. Si une variante est repérée, il faut immédiatement couper l'accès au réseau de cette machine (ou des machines) et procéder à la désinfection. « Il faut noter que Conficker. C ne cherche pas à se propager. Au contraire, il a voulu rester discret. Ne provoquant pas d'incidents dans les réseaux d'entreprises [Conficker. B provoquait par exemple le verrouillage des comptes, NDLR], il est moins visible. On peut donc craindre qu'il n'y ait pas eu ces dernières semaines de recherches systématiques du ver pour assurer sa désinfection », estime Thomas Gayet, directeur adjoint du cabinet de sécurité Cert-Lexsi.
Comment désinfecter mon réseau ?
La première chose à faire est d'appliquer le correctif KB958644 proposé par Microsoft sur l'ensemble du parc de machines. Mais l'application de ce patch nécessite d'avoir auparavant migré vers Windows 2000 SP4, XP SP2 ou Vista. Il faut aussi lancer l'outil de suppression de Microsoft. Mais attention : ce programme ne détecte pas la variante C du ver ! Le cabinet de sécurité français Cert-Lexsi décrit heureusement sur son blog une méthode pour l'éradiquer et des outils de désinfection sont proposés par les éditeurs antivirus comme Doctor Web et Kaspersky.
Pourquoi faut-il nettoyer toutes les clés USB ?
Ce ver se propage notamment par les périphériques. Il est donc recommandé de désactiver les fonctions Autorun et Autoplay qui permettent d'afficher automatiquement le contenu d'une clé ou de lancer une application sans intervention. Pour ne prendre aucun risque, l'idéal est de formater toutes les clés USB utilisées pendant la période d'infection.
Quelles autres mesures dois-je prendre ?
Il faut veiller à ce que Windows Update soit de nouveau opérationnel car ce ver le désactive. Cette infection par ce code sophistiqué doit inciter les entreprises à renforcer leurs mots de passe. Elles doivent utiliser différents signes. Exemple : Ma24€!+37.
Il faut aussi vérifier la configuration des routeurs d'accès à Internet afin d'interdire des connexions entrantes sur le port 445.
Conficker, l'arme fatale ?
Les auteurs de ce ver ne sont pas des débutants car leur arme est d'une redoutable efficacité. En matière de sophistication, on ne fait pas mieux actuellement. Une partie importante du code de ce ver est même chiffrée pour ne pas être étudiée. Son système de mise à jour utilise également la cryptographie. « Il utilise plusieurs algorithmes de cryptographie, dont l'un nommé MD6 a été très récemment rendu public. Les auteurs du ver sont allés jusqu'à corriger des failles de sécurité, qui avaient été publiées par la suite, dans l'implémentation de cet algorithme à l'occasion de la mise à jour de Conficker. B vers C », précise Thomas Gayet.
Chaque version se distingue de la précédente par de nouvelles fonctions ou par l'optimisation de fonctions existantes. Selon l'éditeur de sécurité russe Doctor Web, la dernière version « donne la possibilité de désactiver le moniteur de fichiers des antivirus et des techniques permettant de se cacher de la détection de certains anti-rootkits populaires sont également intégrées ». Elle empêche aussi les mises à jour de Windows.
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM