Feuille d’information : Le ver Conficker

Feuille d’information : Le ver Conficker  

Le Conficker est un ver d’Internet à deux phases
Conficker, aussi connu sous le nom de Downadup, est une forme de programme informatique malveillant d’Internet reconnu comme étant un ver. Les vers sont conçus pour infecter les ordinateurs puis se propager à d’autres ordinateurs. Conficker est un ver à deux phases. La première phase infecte un ordinateur et fait en sorte qu’il fasse partie d’un réseau de machines hôtes puis qu’il attende les instructions de la seconde phase du ver.

Un tel réseau est connu sous le nom de réseau de zombies dont les ordinateurs infectés en faisant partie sont les zombies. Tous les systèmes infectés faisant partie d’un réseau de zombies peuvent être contrôlés par un soi-disant « bot-herder » et utilisés pour des activités illégales telles que du pollupostage, de la fraude et de l’usurpation d’identité.

La réponse initiale de la communauté internationale de la sécurité au Conficker a été de se concentre à combattre la première phase que l’on croit être responsable de plusieurs millions d’infections d’ordinateurs à l’échelle mondiale. À présent, trois variantes de Conficker sont connues, A, B et C. La première variante, Conficker A, semble tenter de télécharger et d’installer des logiciels antivirus frauduleux comme deuxième phase et ce, sans succès apparent. En ce moment, on ne sait pas quelle action la variante la plus récente à l’intention de prendre.

Conficker a fait sa première apparition en octobre
La première variante de Conficker, Conficker A, a été détectée en octobre 2008, profitant d’un invulnérabilité jusque là inconnue dans un système d’exploitation de Microsoft ayant été retouché par la suite. Les experts en sécurité Internet se sont efforcés à comprendre comment le ver se propage et ont pris d’autres mesures pour empêcher sa capacité à se propager.

Conficker se développe
Les auteurs de Conficker ont répondu rapidement à ces efforts avec une deuxième variante plus forte et plus robuste, Conficker B. Les auteurs de ce ver se sont donnés beaucoup de mal pour concevoir une menace étant à la fois techniquement sophistiquée et versatile en l’armant d’un certain nombre de moyens d’attaque et de défense différents. Les experts en sécurité se sont occupés de variations de cet assortiment de combines pendant des années mais, ce qui rend Conficker unique, est le nombre de combines ayant été incorporées dans son design et le degré de sa propagation.

Le ver possède également la capacité de se mettre à jour de lui-même ainsi que de recevoir des fichiers additionnels liés à l’exécution de sa deuxième phase. Une fois de plus, il ne s’agit là de rien de nouveau. Lorsque la seconde phase de Conficker B est activée, elle génère une liste aléatoire de 250 nouveaux domaines Internet auxquels se connecter chaque jour, un certain nombre d’entre eux pouvant être infectés du fichier de commande et de contrôle fournissant à Conficker les instructions dont il a besoin afin d’exécuter des actions malveillantes.

Activation de Conficker C prévue le 1er avril
Au début du mois de mars, une troisième variante, Conficker C, a fait son apparition. Tandis que Conficker B générait une liste journalière de 250 nouveaux domaines vers lesquels se connecter à la recherche d’un fichier de commande et de contrôle, la nouvelle variante commencera, le 1er avril, à générer une liste journalière de 50 000 domaines d’indicatifs de pays à l’intérieur desquels ces fichiers pourraient être cachés. Ces noms sont tirés de 110 domaines d’indicatifs de pays, y compris l’extension canadienne  point-ca.

Sans avoir une idée plus claire du motif derrière la création du ver et de ses variantes, ou des actions que le réseau de zombies prendra, Conficker est considéré comme étant une menace potentielle pour l’infrastructure Internet à l’échelle mondiale.

Une coalition internationale est occupée à combattre Conficker
Une coalition des parties affectées, y compris des entreprises de logiciels, des opérateur de registre, des vendeurs de sécurité, des chercheurs de sécurité privée et des groupes académiques de partout dans le monde se sont réunis pour offrir une réponse coordonnée à la menace de Conficker et fournir la suppression et des outils de réparation pour le ver. Cette coalition est dirigée par Microsoft qui a offert 250 000 $ de récompense en échange de renseignements menant à l’arrestation et à une conviction à ce sujet.

La coalition a cherché à identifier le lieu de résidence du ver à travers le Web et à réduire ses effets avant que la seconde phase de Conficker C ne débute le 1er avril.

D’autres membres de la coalition incluent ICANN, NeuStar, VeriSign, CNNIC, Afilias, Public Internet Registry, Global Domains International Inc., M1D Global, AOL, Symantec, F-Secure, ISC, des chercheurs de Georgia Tech, la Shadowserver Foundation, Arbor Networks et Support Intelligence.

Le Canada se joint à l’effort international
Parce que la base de registre du nom de domaine point-ca a été la cible de Conficker C, l’Autorité canadienne pour les enregistrements Internet, ou ACEI, a mis en place un plan afin de répondre aux mauvais usages potentiels de la base de registre point-ca et d’assurer son intégrité en temps qu’une des bases de registre de domaines les plus sures et les plus robustes au monde.

Les efforts d’ACEI incluent référencer préventivement et isoler les noms de domaines de point-ca n’étant pas précédemment enregistrés prévus d’être générés au cours des 12 prochains mois par Conficker C. Ce geste, couvrant la grande majorité des noms affectés durant cette période, empêchera l’enregistrement de ces domaines par des auteurs indésirables. Dans de rares cas où le nom de domaine a déjà été enregistré, ACEI va activement examiner et surveiller les activités de ces domaines et prendre les mesures nécessaires si une activité suspicieuse est détectée. Pour des raisons de sécurité, ACEI n’est pas disposé à fournir de plus amples détails.

-30-

Afin d’obtenir d’autres renseignements ou pour obtenir une entrevue, les médias peuvent contacter :
Leo Valiquette
inmedia Public Relations Inc.
Tél. : 613 234 7227 x226
Mobile : 613 769 9479
Courriel : lvaliquette@inmedia.com

Francis Moran
inmedia Public Relations Inc.
Tél. : 613 234 7227 x224
Mobile : 613 769 7753
Courriel : fmoran@inmedia.com