Jenny Shearer, un porte-parole du FBI, a annoncé mardi 24 avril qu’un vaste réseau de serveurs informatiques, mis en place en novembre 2011 sur l’initiative de l’agence fédérale américaine pour déjouer un réseau mondial de plusieurs millions d’ordinateurs infectés par un botnet, va être éteint en juillet prochain, sans avoir totalement accompli sa tâche.
Et c’est là le problème, car l’arrêt de ces serveurs de remplacement pourrait tout simplement déconnecter d’Internet tous les ordinateurs répartis sur la planète qui y sont connectés. La plupart des ordinateurs concernés sont situés aux Etats-Unis, mais une bonne partie se trouve en Europe et, dans une moindre mesure, en Inde.
Un retour sur les faits s’impose pour réaliser l’ampleur du problème.
Court-circuiter les DNS
En novembre 2011, le FBI, assisté de plusieurs sociétés spécialisées en sécurité informatique (dont Trend Micro) et d’universités réputées pour leurs travaux de recherche, démantèle une opération de piratage d’envergure mondiale fonctionnant depuis 2007. Six Estoniens sont arrêtés et les infrastructures repérées. Le système, bien que complexe, est d’une efficacité redoutable. Dans un premier temps, les pirates diffusent DNSChanger, un botnet notamment dissimulé dans un lecteur vidéo téléchargeable sur Internet. A l’insu de ses utilisateurs qui ont opté pour ce lecteur, le malware s’installe au fil des années sur environ quatre millions de machines dans plus de cent pays à travers le monde.
L’infection atteint même des ordinateurs de la Nasa. DNSChanger modifie, sur la machine qu’il occupe, les adresses Internet des serveurs de noms de domaine (les DNS, ou Domain Name System) qui servent aux ordinateurs à savoir où trouver un site quand un internaute cherche à s’y rendre. Pour être plus explicite, en s’interposant entre les ordinateurs infectés et les vrais serveurs DNS, les pirates sont alors en mesure d’aiguiller 4 millions de PC vers les sites de leur choix. Le botnet, par un système complexe de redirection sur des sites malveillants, est également capable de désactiver l’antivirus et le système de mise à jour de la machine qui l’héberge afin d’empêcher sa détection et son éradication.
Une machine à cash
Dans le même temps, les pirates créent une société, Rove Digital, qui comprend plusieurs filiales. Ce montage habile leur permet d’héberger le système diffusant le botnet. Mais, surtout, les escrocs mettent en place un vaste système très lucratif de détournement de visite ou, encore plus fort, d’intégration de bannières frauduleuses sur des sites officiels. Ainsi, grâce au « click hijacking », quand un internaute disposant d’une machine infectée clique sur un lien pour se rendre vers un site, celui de l’iTunes d’Apple, pour prendre l’exemple mis en avant par le FBI, le malware re-route alors le navigateur vers l’un des sites appartenant aux hackers. Le visiteur découvre alors un site marchand vendant des logiciels de la firme de Cupertino.
Pire, les cybercriminels arrivent même à occuper frauduleusement les espaces publicitaires de sites officiels. Ainsi, des sites comme celui du Wall Street Journal ou d’Amazon, voient des bannières validées par leur régie publicitaire remplacées par des réclames poussées par les serveurs des hackers. Un système ingénieux qui aurait, selon le juge américain saisi de l’affaire, généré plus de 14 millions de dollars de bénéfices en quatre ans.
Un démantèlement complexe
En novembre 2011, devant l’ampleur et la complexité du réseau pirate ainsi que devant le nombre impressionnant de machines infectées, le FBI décide de ne pas fermer directement l’infrastructure matérielle mise en place par les cybercriminels. Le but étant d’éviter à plusieurs millions d’internautes de se retrouver coupés d’Internet.
L’agence fédérale met donc en place un réseau « sain » de serveurs DNS de remplacement pour, petit à petit, « éteindre » celui des pirates. Ce système temporaire était censé, à l’origine, ne fonctionner que jusqu’en mars 2012… Malheureusement, son existence ne permet pas d’éradiquer le botnet des machines infectées. En mars dernier, toutes les machines « malades » ne sont pas encore repérées. Le juge fédéral en charge du dossier prolonge donc le délai jusqu’au 9 juillet.
300 000 machines susceptibles d’être coupées du Web
L’agence fédérale estime qu’en juillet prochain environ 300 000 ordinateurs – dont une bonne partie en Europe, et peut-être en France – hébergeront encore le malware. Le jour de l’arrêt des serveurs de remplacement, ils risquent de se retrouver littéralement coupés d’Internet. C’est pourquoi l’agence fédérale, avec l’aide des sociétés qui ont collaboré au démantèlement, a relancé dernièrement sa campagne de suppression du malware. Une page spéciale sur le site de l’agence fédérale recense ainsi les adresses des sites des différents pays concernés (dont la France) sur lesquels les internautes peuvent vérifier si leur machine est infectée.
Pour l’Hexagone, vous pouvez vérifier que votre machine n’est pas contaminée à cette adresse : http://www.dns-ok.fr. Si votre machine est infectée, les conseils (en anglais) pour l’éradiquer sont dispensés ici. Vous trouverez sur cette page les adresses des sites d’éditeurs d’anti-malwares afin de vous débarrasser du dangereux botnet.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.