May 06

Windows, botnets et vos données privées

Tags: , Ignace Mouzannar (ghantoos) @ 5:51 pm

Hello, it’s me again!

Dans un tout autre contexte, je vous propose d’élaborer un exemple d’insécurité informatique sur les machines Windows (XP ou Vista) qui sont branchées sur Internet.

Il y a quelques jours, des chercheurs de l’université de UC Santa Barbara, ont publié un rapport résumant la méthode de prise de contrôle d’un Botnet appelé TORPIG.


Dans leur rapport, les chercheurs de la UCSB présentent la technique utilisée pour prendre le contrôle d’un réseau de machines infectées par le malware (logiciel malveillant) Torpig ainsi que quelques chiffres résumant la quantité de données sensibles récoltées durant les 10 jours de la prise de contrôle.

Quelques chiffres:

  • La prise de contrôle du réseaux Torpig n’a duré que 10 jours.
  • Durant ces 10 jours, les chercheurs ont récolté 8.7 Giga octets d’informations
  • Nombre de machines infectées qui se sont révélées: 182,800
  • Nombre de détails de comptes mail: 54 090
  • Nombre d’emails interceptés: 1 258 862
  • Nombre de formulaires web remplis: 11 966 532
  • Nombre de comptes http (facebook & co.): 411 039
  • Nombre de comptes gmail.com: 8 291
  • Nombre de comptes facebook.com: 7 812
  • Nombre de comptes myspace.com: 7 214
  • Nombre de comptes yahoo.com: 4 029
  • Last but not least, le nombre de mot de passes Windows: 1 235 122

    • Qu’est-ce qu’un BOTNET?

    Le terme botnet désigne un ensemble de machines zombies qui sont exploitées de manière malveillante. En d’autres termes, c’est un réseau de machines infectées par un malware ou virus, qui se retrouvent exploitées par une personne ou un groupe de personnes malveillantes qu’on appelle les “puppet masters”.

    Comment est-ce que ça fonctionne?

    En quelques lignes:

  • Les machines sont infectées par le malware en navigant sur des sites internet ou par une machine voisine qui a déjà été infectée.
  • Une fois infectée, la machine redémarre et plaçant le malware en amont du démarrage de Windows, ce qui le rend intraçable par les logiciels de “sécurité” (e.g. Norton Antivirus, McAfee, etc.).
  • Une fois la machine redémarrée, le logiciel malveillant se connecte sur le serveur Maître du Botnet, et télécharge des applications qui lui sont propres dites “modules”.
  • Les modules installés lui permettent alors de détecter les éléments sensibles présents sur l’ordinateur (e.g. configuration mail Outlook, achats en ligne, compte web type facebook, gmail, banque en ligne etc.)
  • Au fur et à mesure que les différents modules récoltent des données, celles-ci sont envoyées au “puppet master”
  • Toutes les données sensibles sont ensuite revendues sur le marché noir à des sommes astronomiques.

    • Conclusion

    Durant ces 10 jours, les chercheurs se sont fait passés pour le “puppet master”, ce qui leur a permis d’analyser les données envoyées par les machines infectées. Malheureusement, la prise de contrôle n’aura duré que 10 jours, car le malware a été mis à jour par ses vrais propriétaires. Il est donc de retour entre les mains des méchants marionnettistes.

    Pour plus d’informations, je vous invite à lire le rapport complet qui présente le détail de la prise de contrôle, et les risques sécuritaires que présente ce genre de botnet.

    Je pense qu’il est très important de connaître l’existence de ces réseaux là, car une grande partie de machines installées sous Windows (XP ou Vista) sont déjà infectées par ce type de “malware”.

    Vous cherchez une solution? Un seul mot: Linux, et un deuxième Ubuntu.

    Bien la bise,

    Ignace M

    Sources:

    http://tech.slashdot.org/article.pl?sid=09/05/04/0212214
    http://www.cs.ucsb.edu/~seclab/projects/torpig/torpig.pdf
    http://www.cs.ucsb.edu/~seclab/projects/torpig/index.html

    Leave a Reply