Spécial sécurité : l'épidémie de Downadup est déclarée

Sommaire

- 1 - Downadup, l’invasion

- 2 - Le détail des 41 trous Oracle

- 3 - Cutwail, Rustock, Donbot, Ozdok, Xarvester et les autres

1) Downadup, l’invasion

Downadup ? Il est vraiment très gros, titre le dernier billet de F-Secure. Ses chercheurs ont tenté d’estimer le taux d’infection pays par pays, en observant les dialogues que le virus tente d’établir avec ses serveurs de mise à jour. Au total, 2,4 millions d’infections ont été répertoriées dans le monde… un chiffre très parcellaire, estime Mikko Hyppönen, la réalité étant probablement bien plus élevée. Rien qu’en Chine, le nombre d’IP résonnant aux accents de Downadup dépasse les 38 000. 38 000 entreprises, reprend Toni Koivunen du Response Team de F-Secure… Ce ne sont que des IP visibles, qui masquent généralement des réseaux locaux. Cela ne présume en rien du nombre de machines infectées à l’intérieur de ces mêmes réseaux… multiplier ce résultat par 10 doit probablement nous approcher un peu plus de la vérité.

Dans le reste de l’Europe, le tableau n’est guère plus brillant : 2337 IP bavardant avec l’accent Downadup en Allemagne, 4392 adresses confites aux Downadup-Conficker, 1789 en Grande Bretagne (une métrique révolutionnaire), 13115 en Italie – cet écart est surprenant - Ma… ma… ma in Ispagna son già mille e tre. Non, trois fois plus tout compte fait… 3300 plus exactement. Il faut la constance d’un Leporello pour chasser les exploits amoureux de ce ver envahissant. L’on en aurait aperçu un peu moins de 4000 aux Etats Unis et en Colombie, plus de 5000 à Taiwan et en Malaisie, plus de 11 000 en Argentine et en Corée, 15 000 en Ukraine, 16 000 en Inde, 25000 en Russie, 35000 au Brésil. Les répartitions géographiques massives semblent incohérentes, ni en rapport avec un semblant de carte de progression géographique, ni non plus en relation avec le taux d’équipement informatique des pays, et pas nécessairement avec le niveau estimé de piratage des noyaux Windows. Même en admettant une certaine imprécision dans la résolution géographique des netblocs, il n’y a pas de logique immédiatement visible. La suite après quelques autres métriques ?

2) Le détail des 41 trous Oracle

Annoncé la semaine dernière, le « patch Tuesday » d’Oracle est désormais officiellement documenté et détaillé sur le site de l’équipementier. Cette CPU massive compte 10 correctifs SGBD, 9 patchs pour le Secure Backup, 1 bouchon pour le TimesTen Data Server, 4 mises à niveau de l’Application Server, une seule pour la Collaboration Suite, 4 autres pour la E-Business Suite, une seule pour l’Enterprise Manager, 6 pour PeopleSoft Enterprise et EnterpriseOne et 5 pour BEA. A chacune de ces rustines correspond une faille –il n’existe pas, ou peu, chez Oracle, de notion de correction cumulative -, la liste CVE dressée par l’équipe de sécurité Oracle est longue comme un jour sans pain.

Le niveau général de dangerosité est élevé, prévient le Sans.

3) Cutwail, Rustock, Donbot, Ozdok, Xarvester et les autres

SecureWorks renoue un peu avec la tradition du Luhrq et de ses analyses fouillées des malwares. Aujourd’hui, l’équipe se penche sur la santé des botnets, ceux dont on parle souvent – et dont la santé n’est pas toujours des plus florissantes -, ceux aussi dont le nom passe inaperçu mais dont les ravages se font nettement sentir. Et pour commencer, les étoiles qui perdent dix places au "top ten" : Storm, touché par la renommée - un poison mortel pour un vecteur d’infection -. Suivi par le couple Rustock et Srizbi, deux botnets dont une grande partie du trafic reposait sur l’hébergeur véreux McColo. La fermeture de cette usine du malware a pratiquement condamné Srizbi. On le verra plus tard, Rustock continue à se bien porter, pour diverses raisons, à commencer par une anticipation très nette de son ou ses gardiens. Enfin Bobax, alias Kraken, est lui aussi sur la pente descendante, après avoir cumulé plus de 185 000 zombies et avoir décroché le titre de « plus gros botnet du monde ». Là encore, la publicité faite autour de ce réseau de machines infectées a été fatale à ses possesseurs.

La relève est pourtant déjà sur pied, nous assurent les chasseurs de SecureWorks. A commencer par Cutwail, estimé à 175 000 postes, qui n’a pratiquement pas souffert de la coupure McColo… bien au contraire. Car, pensent les rédacteurs de ce rapport, il se pourrait bien que ce soit Cutwail qui ait « récupéré » une partie de la clientèle de Rustock et Srizbi. Dur métier que celui de fournisseur de services mafieux. Il est si difficile de fidéliser la clientèle.

Cette perte de clients est tout de même relative. Rustock a encore de beaux restes, avec 130 000 postes, suivi de près par Donbot et Ozdok – respectivement 125 et 120 000 machines. L’écart entre la quatrième et la cinquième place est très net, puisque Xarvester n’a infecté « que » 60 000 PC. Mais son activité est très agressive, et son taux de croissance rapide. Viennent enfin Grum et Gheg, tous deux forts de 50 000 zombies, dans la mouvance des spam pharmaceutiques. Gheg est un botnet à fonctions et géométrie variables qui pourrait faire un dangereux adversaire en 2009, difficile à contrer avec des moyens conventionnels. Cimbot et Waledac, les deux derniers de la liste, ne comptent que 10 000 esclaves chacun. Mais leurs astuces technologiques (commande via P2P, chiffrement de l’exécutable..) et un important travail de re-engineering leur promettent un avenir certain. Avenir d’autant plus certain que tant que des politiques chercheront seulement à chasser les « violeurs de jeunes filles et diffuseurs de recettes de bombes », autrement dit orienteront leurs recherches vers le « coupable du dernier kilomètre », ils favoriseront le développement des véritables institutions mafieuses. Mais n’allons surtout pas penser qu’il puisse exister une certaine communauté d’intérêts entre la notion de pouvoir, l’orientation des lois et la préservation des épouvantails que sont les organisations criminelles.