Le cyberblog du coyote

 

Extra

Editorial

Ce blog a pour objectif principal d'augmenter la culture informatique de mes élèves. Il a aussi pour ambition de refléter l'actualité technologique dans ce domaine.

jeudi 16 avril 2009

Microsoft met en garde contre les faux antivirus

Au menu du rapport semestriel de Microsoft sur la sécurité informatique (Security Intelligence Report) figurent en bonne place la prolifération de faux antivirus et l'augmentation des vulnérabilités. Vista paraît bien mieux sécurisé que XP.
On ne le répètera jamais assez : le meilleur antivirus est celui dont la mise à jour est la plus récente, sachant que l’expression récente se rapporte à un délai se mesurant en minutes… Mais encore faut-il que le fameux antivirus en soit bien un ! Dénoncées par le rapport de sécurité de Microsoft, de nombreuses arnaques mettent en jeu de faux logiciels de sécurité, appelés rogues, exploitant la peur ou la naïveté de certains internautes.
Ces logiciels pénètrent dans l’ordinateur comme un cheval de Troie, à l’occasion d’un téléchargement anodin. Une fois actifs, ils affichent un faux avertissement qui n’a d’autre but que de faire croire à une infection et proposer un lien vers la solution-miracle, qui sera bien sûr l’achat d’un logiciel de désinfection. Manœuvre bien inutile, puisque seul le compte en banque de la victime sera ainsi désinfecté…
Rien qu’en France, Win32/SpywareSecure, le rogue vedette du moment, a infecté 260.000 ordinateurs entre juillet et décembre 2008, soit une augmentation de plus de 87% sur une durée de six mois ! Son challenger, Win32/Renos, s’est mis en poche 4,4 millions d’ordinateurs dans le monde sur la même période, soit une augmentation de 66,6%.
Cependant, toujours en France, les chevaux de Troie (logiciels de téléchargement au fonctionnement transparent, ou leurs contraires) tiennent toujours le haut du pavé et représentent plus de la moitié des infections.

Augmentation des failles de sécurité

Etrangement, les failles de sécurité semblent reculer chez tous les éditeurs de programmes… sauf Microsoft. Ainsi entre 2007 et 2008, leur nombre s’est réduit de 16% par rapport à 2007, alors qu’entre le premier et le deuxième semestre 2008, le géant de Redmond constate un bond de 67,2% de vulnérabilités concernant ses propres produits, alors que cette augmentation n’était que de 16,8% entre 2007 et 2008.
Ces vulnérabilités concernent à 90% les navigateurs et les applications, alors que les systèmes d’exploitation sont de mieux en mieux protégés. Sans surprise, on constate que le taux d’infections lié à un OS est directement proportionnel à son ancienneté. Ainsi, Microsoft affirme que Windows Vista SP1 subirait par rapport à Windows XP SP3 60,6% d’attaques réussies en moins et 89,1% de moins par rapport à XP sans service pack. Ces résultats, qui proviennent de la collecte d’informations issues de 450 millions d’ordinateurs dans le monde, sont semblables pour les systèmes d'exploitations clients et serveurs.
Il est bon de noter également que seules les machines faisant tourner un système d’exploitation original renvoient leurs informations à la source, permettant de compiler ces statistiques. Fonctionnant sans ce lien, les systèmes basés sur une copie illégale, prudemment isolés de la source, donc sans mise à jour et nettement moins sécurisés, ne reflètent leur état que sur certains forums… sans mention de leur origine.

Source : Futura-Sciences

dimanche 12 avril 2009

Le Conficker nouveau est arrivé

On aurait pu le croire endormi… mais une mise à jour complète du ver Conficker est actuellement transmise depuis la Corée du Sud vers les ordinateurs déjà infectés, conférant à cet organisme virtuel de nouvelles capacités de dissimulation.
La mise en activité du ver, annoncée pour le premier avril, avait finalement fait long feu. Peut-être grâce aux multiples avertissements et mises en garde des éditeurs de logiciels et de produite de sécurité. Mais il n’était qu’endormi…
Selon la société californienne (basée au Japon) Trend Micro, Conficker aurait été réactivé sur les ordinateurs qu’il infectait déjà, stimulé par la réception d’une mise à jour depuis un réseau localisé quelque part en Corée du Sud.
Les éditeurs d’antivirus ont relevé une modification profonde du code du ver, qui exploite désormais une technologie de rootkit, très difficilement détectable et basée sur l’ouverture d’une porte dérobée sur l’ordinateur infecté. Son fonctionnement était auparavant basé sur la technologie P2P, et c’est précisément par un nœud IP de ce réseau P2P hébergé en Corée du Sud que les mises à jour sont acheminées à destination des machines hôtes. Le nouveau ver a reçu l’appellation officielle de WORM_DOWNAD.E.
Dans un grand souci de discrétion, du moins avant une manifestation quelque peu plus bruyante, le nouveau venu nettoie toutes ses traces de passage sur l’ordinateur qui l’accueille, y compris dans le registre (dans la Ruche). Il établit ensuite le contact avec divers sites connus, tels que MSN.com, eBay.com, CNN.com ou AOL.com. Ces connexions lui servent à tester les potentialités de l’ordinateur local et définir sa stratégie. A défaut d’ouverture vers le monde extérieur, il recherche des IP locales.
Un autre comportement, tout aussi intéressant, a été signalé par Trend Micro. Lors de ses connexions, Conficker tente d’accéder au domaine goodnewsdigital, et y télécharge un petit fichier appelé print.exe. Or, ce domaine et ce fichier sont déjà utilisés par un autre ver, Waledac, une évolution du virus Storm. Celui-ci est connu de triste mémoire pour avoir constitué, en 2007 et 2008, le plus grand réseau d’ordinateurs zombies. Selon beaucoup de spécialistes, cette constatation attesterait d’un lien de parenté certain entre Conficker et Waledac-Storm, et donc entre leurs concepteurs.

Source : Futura-Sciences

jeudi 2 avril 2009

Conficker : le ver n'a pas frappé mais l'alerte n'est pas levée...

Conficker, que nous avions déjà qualifié de « ver de tous les records », continue de se répandre sur le net à grande vitesse. Et s’il ne s’est pas activé ce premier avril à minuit comme le redoutaient les programmeurs, l’alerte n’est pas passée pour autant.
Connu aussi sous le nom de Downadup, Conficker utilise une faille présente dans Windows XP et Vista, mais aussi dans d’autres versions comme Windows 2000, Windows Server 2003, Windows Server 2008 et même Windows 7. Microsoft a publié un patch correctif dès octobre 2008 et Symantec a mis à la disposition de tous un utilitaire permettant de détecter et détruire le ver. Mais ce ver poursuit sa route, à l’abri derrière la passivité de certains utilisateurs ou administrateurs système…
L’analyse du code de Conficker a démontré que ce logiciel malveillant est conçu pour s’activer le 1er avril (et ce n’était pas un poisson…) à minuit. Son travail est d'infecter 250 serveurs par jour en les contraignant à déverser des flots de spams ou autres joyeusetés. A l'heure dite, il doit générer 50.000 nouveaux noms de domaine et à en sélectionner 500 d’entre eux afin de rendre la détection beaucoup plus difficile.

Surprises à venir ?

Jusqu’à présent cependant, la véritable offensive n’a pas encore été détectée, ou n’a pas produit les ravages escomptés par les concepteurs du ver. Cependant, analyse Toralv Dirro, du département sécurité chez Mc Afee, « ce serait stupide de la part des gars qui contrôlent Conficker d'utiliser la première opportunité alors que tout le monde s'excite à son sujet tout en l'observant avec précision. S'il devait se passer quelque chose ce serait dans les prochains jours ». Le professionnalisme des auteurs de ce malware, qui a déjà infecté plus de 12 millions d’ordinateurs, n’est plus à démontrer. Et cela ne rassure pas.

Source : Futura-Sciences