Passer au contenu

Microsoft décapite l’un des plus gros botnets au monde

Rustock a été « mis par terre » par la firme de Redmond et les autorités. Le botnet avait transformé 1 million de PC en esclaves des spammeurs à l’insu de leur propriétaire.

Les spammeurs viennent de se prendre une grande claque. Microsoft a en effet annoncé voici quelques heures avoir porté un coup fatal au botnet (1) Rustock : un réseau de PC zombies déjà vieux de plus de quatre ans et qui était encore il y a peu, selon Symantec, la principale source de spams au monde, avec 47,5 % du total de pourriels et plusieurs millions de courriers indésirables envoyés chaque jour.

D’après les chiffres de Microsoft, c’est plus de 1 million de PC contaminés par le malware Rustock qui a ainsi été « libéré » des griffes des cyber-criminels par cette opération d’importance, menée conjointement par plusieurs divisions de Microsoft, avec l’appui des partenaires industriels, d’universités et des autorités. « L’opération b107 » rappelle beaucoup une opération du même type, b49, dirigée l’année dernière contre le botnet Waledac.

« Nous avons utilisé une conjonction de mesures techniques et légales afin de rompre la connexion entre la structure de commande et de contrôle du botnet et l’ensemble des machines infectées par le malware, avec pour objectif de stopper la totalité de ce botnet. », commente Bernard Ourghanlian, directeur technique et sécurité de Microsoft France.

Pour faire tomber Rustock, il a fallu agir de façon coordonnée, afin de couper physiquement et simultanément des serveurs situés dans plusieurs Etats américains et pour certains à l’étranger. L’opération a notamment consisté, avec l’appui des forces fédérales américaines, à saisir des dizaines de disques durs chez cinq hébergeurs situés à Kansas City, à Scranton, à Denver, à Dallas, à Seattle, à Chicago et à Colombus. Mais également à collaborer avec la police néerlandaise et le CERT chinois.

« Nous avons fait le nécessaire pour que l’on bloque l’enregistrement de domaines en Chine que le code du malware prévoyait d’utiliser dans le futur pour des opérations de contrôle », indique M. Ourghanlian. Et, à la différence de Waledac, dont le code pointait vers des noms de domaine – qui avaient donc pu être bloqués avec le concours de l’Icann -, Rustock comprenait dans son code 106 adresses IP, plus complexes à neutraliser, pour communiquer avec ceux qui le contrôlaient. D’où cette saisie chez les hébergeurs à qui elles étaient attribuées.

Une plainte pour violation du droit des marques

Cette saisie est le résultat d’une plainte déposée au mois de février par Microsoft contre les opérateurs de ce botnet. « Nous avons porté plainte à différents titres, notamment pour violation du droit des marques, puisque les opérateurs utilisaient les marques Hotmail, Windows ou Microsoft dans leurs courriers indésirables », indique M. Ourghanlian. Les disques durs récupérés sont en cours d’analyse. On espère notamment y trouver des logs, qui pourraient pointer vers les machines infectées. « Il serait alors possible de contacter les FAI afin qu’ils préviennent leurs abonnés et que ces derniers [les] nettoient. »

Grâce à cette opération, Microsoft en est certain, Rustock est hors d’état de nuire, même s’il demeure actif sur les machines : son code a été entièrement désassemblé et toutes les adresses IP vers lesquelles il pointait lui sont désormais interdites. Les contrôleurs du botnet, eux, courent toujours. « Vu la taille de Rustock, les personnes qui le contrôlaient sont sûrement expérimentées et bien cachées. Il sera peut-être difficile de les retrouver. Mais au moins, nous avons eu la possibilité de démanteler l’un des plus importants botnets de la planète. C’est déjà ça de gagné pour les internautes », conclut M. Ourghanlian.

(1) Un botnet est un réseau de PC « zombies » infectés par un malware qui permet aux cyber-criminels qui les commandent de les utiliser à l’insu de leurs utilisateurs, notamment pour l’envoi massif de courriers indésirables.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Eric Le Bourlout