nos magazines

Actualités gestion et logiciel informatique professionnel

Offre et recherche Emploi informatique internet

Salon conférences inofrmatique IT ebusiness 01

Vidéos reportage entreprise acteur informatique

Retrouvez tous les services 01Net dédiés aux professionnels !

Livres blancs e-commerce informatique et nouvelles technologies

Retrouvez l'ensemble des dossiers de la rédaction 01net Entreprise

Les synthèses des bonnes pratiques sur les sujets IT du moment

Agenda

Applications web et logiciels

Système d'exploitation

01net Entreprises > Actualités > Sécurité

Mise à jour : Conficker. C, toutes les questions et les réponses pour les entreprises

Que s'est-il passé le 1^er avril ? Mon réseau est-il infecté ? Comment débarrasser mon entreprise du ver ? 01netPro. tente de répondre aux questions que se posent les entreprises.

Philippe Richard

01net.

le 02/04/09 à 11h15

2 réactions

Mise ?our (2 avril 2009)

A 10 heures, heure française…
Alors que plusieurs pays, dont la France, sont déjà passés à la date du 2 avril 2009, c'est toujours le calme plat, pour l'instant, sur le front de Conficker.C, la dernière variante du virus. C'est en tout cas ce qu'indiquent les spécialistes sur leurs blogs (F-Secure ou McAfee). Ils constatent seulement que des machines « zombies » ont commencé à créer, comme prévu, des listes de 50 000 serveurs, avec pour but d'en contacter 500, afin d'obtenir des instructions.
Aucun éditeur de sécurité n'a été en mesure de nous donner plus d'informations pour l'instant, et la menace demeure vague. Si aucun événement n'est à signaler, Paul Ferguson, cité par l'AFP, parle quand même d'un « pistolet chargé quelque part, même si personne n'a appuyé sur la détente ». A ce stade, on ne sait toujours rien des intentions des auteurs du virus (Microsoft offre 250 000 dollars pour leur capture)… pour peu qu'ils en aient.

Que se passera-t-il le 1^er avril ?
Poisson d'avril ou terrible menace ? Selon des éditeurs de sécurité, la troisième version de ce ver, Conficker. C, devrait entrer en action dans la nuit du 31 mars au 1^er avril 2009. Encore plus sophistiquée que les deux précédentes (la première ayant été repérée en novembre dernier), elle servirait à mettre en action un botnet (un réseau de PC infectés et utilisés, à l'insu des entreprises et des particuliers, par les pirates).

Le réseau de mon entreprise sera-t-il bloqué demain matin ?
C'est difficile à dire car les motivations des pirates ne sont pas connues. Une chose est sûre : les machines déjà infectées serviront à quelque chose.

Mes ordinateurs sous Linux ou Mac OS sont-ils eux aussi concernés ?
Non. Ce ver ne contamine que les PC et les serveurs fonctionnant sous Windows. Un argument supplémentaire qui pourrait inciter des entreprises à migrer tout ou une partie de leur parc vers Linux.

Comment savoir si les ordinateurs de mon entreprise sont infectés ?
Premier test : essayez de vous connecter aux sites des éditeurs d'antivirus. Si cela échoue c'est que le PC est touché, ce ver bloquant en effet l'accès à ces adresses.
Deuxième test : utilisez un petit programme développé pour repérer Conficker. Le département américain de la sécurité a mis en ligne le 30 mars des liens pour télécharger des outils qui scannent tout le disque dur à la recherche de ce ver. Si une variante est repérée, il faut immédiatement couper l'accès au réseau de cette machine (ou des machines) et procéder à la désinfection. « Il faut noter que Conficker. C ne cherche pas à se propager. Au contraire, il a voulu rester discret. Ne provoquant pas d'incidents dans les réseaux d'entreprises [Conficker. B provoquait par exemple le verrouillage des comptes, NDLR], il est moins visible. On peut donc craindre qu'il n'y ait pas eu ces dernières semaines de recherches systématiques du ver pour assurer sa désinfection », estime Thomas Gayet, directeur adjoint du cabinet de sécurité Cert-Lexsi.

Comment désinfecter mon réseau ?
La première chose à faire est d'appliquer le correctif KB958644 proposé par Microsoft sur l'ensemble du parc de machines. Mais l'application de ce patch nécessite d'avoir auparavant migré vers Windows 2000 SP4, XP SP2 ou Vista. Il faut aussi lancer l'outil de suppression de Microsoft. Mais attention : ce programme ne détecte pas la variante C du ver ! Le cabinet de sécurité français Cert-Lexsi décrit heureusement sur son blog une méthode pour l'éradiquer et des outils de désinfection sont proposés par les éditeurs antivirus comme Doctor Web et Kaspersky.

Pourquoi faut-il nettoyer toutes les clés USB ?
Ce ver se propage notamment par les périphériques. Il est donc recommandé de désactiver les fonctions Autorun et Autoplay qui permettent d'afficher automatiquement le contenu d'une clé ou de lancer une application sans intervention. Pour ne prendre aucun risque, l'idéal est de formater toutes les clés USB utilisées pendant la période d'infection.

Quelles autres mesures dois-je prendre ?
Il faut veiller à ce que Windows Update soit de nouveau opérationnel car ce ver le désactive. Cette infection par ce code sophistiqué doit inciter les entreprises à renforcer leurs mots de passe. Elles doivent utiliser différents signes. Exemple : Ma24€!+37.
Il faut aussi vérifier la configuration des routeurs d'accès à Internet afin d'interdire des connexions entrantes sur le port 445.

Conficker, l'arme fatale ?

Les auteurs de ce ver ne sont pas des débutants car leur arme est d'une redoutable efficacité. En matière de sophistication, on ne fait pas mieux actuellement. Une partie importante du code de ce ver est même chiffrée pour ne pas être étudiée. Son système de mise à jour utilise également la cryptographie. « Il utilise plusieurs algorithmes de cryptographie, dont l'un nommé MD6 a été très récemment rendu public. Les auteurs du ver sont allés jusqu'à corriger des failles de sécurité, qui avaient été publiées par la suite, dans l'implémentation de cet algorithme à l'occasion de la mise à jour de Conficker. B vers C », précise Thomas Gayet.

Chaque version se distingue de la précédente par de nouvelles fonctions ou par l'optimisation de fonctions existantes. Selon l'éditeur de sécurité russe Doctor Web, la dernière version « donne la possibilité de désactiver le moniteur de fichiers des antivirus et des techniques permettant de se cacher de la détection de certains anti-rootkits populaires sont également intégrées ». Elle empêche aussi les mises à jour de Windows.

Actu précédente

Les newsletters ne sont pas exemptes de risques

Actu Suivante

Faut-il supprimer Adobe Reader en entreprise ?

envoyer
par mail

imprimer
l'article

2 AVIS SUR CET ARTICLE

Avis sur «Mise à jour : Conficker. C, toutes les questions et les réponses pour les entreprises»

plus d'infos ...

de Marc Blanchard , posté le 01 avril 2009 à 09h49

Consultez egalement mon post sur mes recherches sur Confiker.C sur mon blog:

http://marc-blanchard.com/blog/index.php/2009/03/28/61-confikerc-le-stormworm(...)

alerter le modérateur

Comme d'hab ...

de RSI_lambda , posté le 03 avril 2009 à 11h58

Mes ordinateurs sous Linux ou Mac OS sont-ils eux aussi concernés ?
Non. Ce ver ne contamine que les PC et les serveurs fonctionnant sous Windows. Un argument supplémentaire qui pourrait inciter des entreprises à migrer tout ou une partie de leur parc vers Linux.

Oui, c'est exactement ce qu'il faut faire ! Comme ça, une fois que tout le parc mondial sera en Linux, les vilains pirates seront bien embêtés ! Ha Ha ! Parce que c'est évident qu'ils profitent des failles de sécurité de Microsoft alors que Linux ne pourra jamais être infecté par un virus ! Ha Ha !

Bon allez, assez rigolé. Faut que je retourne bosser moi ...