Ces dernières semaines, les autorités espagnoles ont arrêté trois hommes soupçonnés d'être les animateurs du réseau d'ordinateurs zombies (botnet) Mariposa (papillon en espagnol), un botnet spécialisé notamment dans le vol d'informations à grande échelle. Les experts en sécurité estiment qu'il s'agit d'un des botnets les plus importants au monde et qu'il est porbable que Mariposa était devenu plus imposant que le botnet constitué via l'infection Conficker. D'après les dernières estimations, près de 12,7 millions d'adresses IP ont été recensées comme ayant un jour été utilisées par les noeuds contrôlés par le botnet et ce dans 190 pays. En septembre 2009, Defence Intelligence, une société spécialisée dans la sécurité informatique basée à Ottawa estimait à plus de 7000 le nombre de nouveaux systèmes infectés chaque jour par Mariposa .
Selon la police espagnole, les trois suspects, âgés de 25, 30 et 31 ans, n'avaient pas d'antécédents judiciaires. D'autres arrestations sont attendues dans d'autres pays. Les trois hommes ont pu être identifiés grâce à la coopération d'un registrar.
L'action d'un groupe de volontaires
Le démantèlement de Mariposa trouve son origine dans la constitution d'un groupe de volontaires, le Mariposa Working Group, qui, fin décembre, est parvenu à prendre la main sur les serveurs contrôlant le botnet et à transmettre des informations sur ses animateurs à la Guardia Civil et aux autorités américaines. Le botnet Mariposa a été identifié en mai 2009 par la société canadienne Defense Intelligence, qui a pu détecter l'activité de Mariposa sur le réseau de certains de ses clients. Les experts canadiens, ainsi que les chercheurs du Georgia Tech Information Security Center et ceux de l'éditeur espagnol Panda, sont à l'origine du Mariposa Working Group.
Le botnet Mariposa était utilisé par ses créateurs pour dérober des données confidentielles (numéros de cartes de crédit, codes d'accès à des sites bancaires). De nombreux grands comptes possèdent, dans leurs murs, des ordinateurs infectés : selon Associated Press, la moitié du Fortune 1 000 est concernée et près de 40 grandes banques mondiales.
L'infection qui a permis de bâtir le botnet - qualifiée de "très professionnelle, très efficace", par Pedro Bustamante, un chercheur de Panda Security interrogé par nos confrères de AP - se répandait via MSN ou les réseaux peer-to-peer. Et touche pour l'essentiel des ordinateurs sous Windows (XP ou versions antérieures).
En complément :
Par consultant expert en sécurité web
Tous les services du MagIT sur