Sécurité : Microsoft démantèle Waledac un réseau de botnet

Publié le 27 Février 2010

Sécurité : Microsoft démantèle Waledac un réseau de botnet
 Après des mois de traque, Microsoft a démantelé le réseau botnet Waledac, considéré comme l'un des dix plus importants réseaux constitué de centaines de milliers d'ordinateurs infectés (pc zombies) dans le monde contrôlées à distance par les pirates.

 Waledac utilisait des ordinateurs zombies, avec l'aide d'un ver informatique contenu en pièce jointe, il utilisait la technique du phishing pour inonder Internet de courriels frauduleux, il aurait ainsi envoyé plus d'un milliard et demi de spams par jour principalement vers des comptes Hotmail pour pour commettre des attaques de type "déni de service" (Ddos) ou répandre des logiciels malveillants. Il utilisait également la technologie P2P pour contrôler les ordinateurs de son réseau.

infection des pc par waledac
 Microsoft annonce qu'entre le 3 et le 21 décembre 2009, il aurait découvert près de 651 millions de messages de spam
sur sa messagerie Hotmail. Une seule solution, anéantir la prolifération des botnets.

 La firme de Redmond décide de mener une bataille technique et juridique, au nom de code : Opération b49. Elle s'appuie sur l'aide de la justice et pour la partie technique de spécialiste, au sein du groupe Botnet Task Force, constituée de Shadowserver, l'Université de Washington et Symantec.

 Dans un communiqué Symantec affirme qu'en tant qu'expert en sécurité informatique, il a « fourni au tribunal des informations sur ce que sont les botnets, comment ils sont utilisés pour les cyberattaques, ainsi que des informations spécifiques relatives au botnet Waledac ».

 Dans un communiqué, Richard Boscovich, responsable juridique chez Microsoft affirme "Nous avons décidé que la meilleure tactique serait de littéralement ériger un mur" et "couper le cordon ombilical" entre les ordinateurs infectés et ceux qui ont réussi à en prendre le contrôle à distance.

  Trois jours après son dépôt de plainte contre les spammeurs auprès du tribunal en Virginie, Microsoft a réussi avec ses partenaires techniques, a coupé les connexions entre les centres de commande du botnet et les ordinateurs infectés qu'il contrôlait, de son côté un juge fédéral a autorisé la fermeture temporaire de 277 noms de domaine Internet, par l'entreprise VeriSign qui gère les noms de domaine en .com, administrés par les cybercriminels pour contrôler le réseau Waledac.

 Malgré la réussite de ce démantèlement, on ne peut pas parler de succès total car Microsoft reconnait que l'opération n'avait pas nettoyé les ordinateurs infectés et recommande de vérifier la présence de ce genre de malware avec des outils de sécurité adaptés comme un antivirus.

 Des spécialistes en sécurité confirment les propos de la firme de Redmond sur l'efficacité réelle de cette riposte. Certains restent sceptiques sur le démantèlement total du botnet Waledac, car ces réseaux sont capables de se reconstituer en très peu de temps. À voir s'il donne des signes de vie dans les prochains mois.

- Marc Rotenberg, de l'Electronic Privacy Information Center, exprime ses doutes dans le Wall Street Journal, soulignant que certains sites, ciblés par Microsoft, ont pu être injustement mis hors service.

- Pour Amichai Shulman, responsable chez Imperva, interrogé par la BBC explique que, "dans peu de temps, d'autres malfaiteurs vont combler le vide laissé par Waledac".

 Computer World dans un entretien avec plusieurs experts en sécurité, fait part de leur scepticisme comme l'explique Joe Stewart de SecureWorks en raison de l'utilisation du protocole P2P, la déconnexion de domaines ne peut suffire à démanteler Waledac. Pour être efficace, Microsoft aurait dû s'attaquer également à l'ensemble des IP codées dans le bot. Par contre ce réseau était utilisé pour installer de faux antivirus et non diffuser du spam, ce qui ne devrait pas affecter le volume de spam émis.

 Même son de cloche pour Richard Cox, directeur chez Spamhaus, "Waledac n'était pas une grande menace et représente moins de 1 % de l'ensemble de l'émission de spam". Zeus, autre réseau de Botnet, serait le plus actif en ce domaine et constituerait une menace plus sérieuse.

 L'éditeur Sophos, salue l'initiative de Microsoft, mais confirme les limites de l'opération. Pour Laurent Gentil, ingénieur sécurité chez Sophos, si Waledac a bien pris « une balle dans le pied », il a techniquement les moyens de se reconstituer. « Les pirates ont tiré les leçons des précédentes campagnes d'éradication. Ils ont mis en place des plans de secours pour ne pas perdre leur botnet qui est un outil très lucratif. La question est de savoir combien de temps ils mettront à relancer Waledac. »

Réseau Botnet

Rédigé par DarkNight

Publié dans #Attaques Informatiques

Repost 0
Commenter cet article