Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Le botnet Rustock ébranlé par des actions concertées des secteurs public et privé

par Christophe Auffray, ZDNet France. Publié le 18 mars 2011

Sécurité - Editeurs, autorités américaines, néerlandaises et chinoises et experts en sécurité se sont associés pour saisir des serveurs de contrôle et bloquer le réseau de PC zombies Rustock. Comme en 2010, les actions conjointes se poursuivent, mais avec des effets plus ou moins durables.

Lors de la présentation de son panorama cybercriminalité 2010, le Clusif soulignait les progrès accomplis sur le front de la lutte contre les botnets, grâce à des actions concertées. Les effets de ces opérations ne sont cependant souvent que provisoires.

En outre, elles tendent également à accélérer la professionnalisation des pratiques des botmasters, familiers du jeu du chat et de la souris. Certains réseaux zombies, démantelés ou abandonnés, sont ainsi souvent remplacés par d’autres ou simplement relancés.

Des serveurs saisis chez des hébergeurs américains

Rustock, habitué à des hauts et des bas en termes d’émissions de spam, était de nouveau très actif fin 2010, jusqu’à représenté 47,5% du spam mondial. C’est à ce botnet que plusieurs acteurs ont décidé de s’attaquer, dont Microsoft, les autorités américaines, néerlandaises, chinoises, mais aussi Pfizer, FireEye et des experts en sécurité de l’université de Washington.

Comme pour le démantèlement (provisoire et sans effet sur le volume de spam) du botnet Waledac, l’opération combinait actions en juste et mesures techniques. Le spam acheminé par les bots exploitant sans droit des marques comme Microsoft ou Pfizer, la justice a permis à ces entreprises d’obtenir la saisie de plusieurs serveurs de contrôle (hébergés aux US) de Rustock.

En collaboration avec la police néerlandaise, Microsoft indique sur son blog avoir également pu démanteler la structure de commande du réseau basée hors des Etats-Unis. L’éditeur précise enfin que des domaines ont été bloqués en chine grâce au CERT chinois.

800 000 postes Windows seraient toujours infectés

Mais si Rustock a été ébranlé par cette action conjointe, rien ne certifie en revanche que le botnet n’émergera pas de nouveau. D’ailleurs selon MessageLabs, l’impact sur le volume de spam ne serait pas significatif. Ce fut déjà le cas concernant Waledac, comme avait dû le reconnaître Microsoft.

Mais surtout les cybercriminels ont développé des canaux de secours et autres solutions de reprise afin de reprendre le contrôle des machines compromises.

Des ordinateurs infectés concernant lesquels Microsoft explique avoir commencé à apporter des solutions de désinfection. Pour prévenir la résurgence d’un botnet, toute nouvelle connexion entre les serveurs de contrôle et le bot doit être bloquée. Or, cela impose la suppression du bot sur les postes infectés.

Seules les actions conduites dans le temps ont de réels effets

Selon une estimation de Spamhaus, Rustock se composerait d’environ 800 000 machines Windows infectées. Mais leur nombre pourrait être bien moindre. L’Agence de sécurité européenne a d’ailleurs récemment publié un rapport mettant en garde contre ces estimations de la taille des botnets, d’après elle surévaluées.

« Une action musclée contre un botnet ce n’est pas simplement un coup d’éclat, mais des opérations qui seront menées dans le temps et accompagnées d’un suivi » mettait en garde en janvier l’expert d’Orange Labs Pierre Caron. « Les effets sont-ils durables ? On peut se poser la question. La baisse, notamment sur le spam, est conditionnée à la poursuite des actions » ajoutait-il.

Source : zdnet.fr