NKM : 13 Millions de zombies!

Mar 07, 10 NKM : 13 Millions de zombies!

Vous avez peut-être aperçu dans l’actualité une histoire de réseau de PC “zombies” , ici 13 millions de PC soumis au bon vouloir de mafias internationales qui vendent parfois même des prestations à des clients véreux.

Tout comme le zombie du cinéma, le PC zombie fait encore semblant de fonctionner, mais à la différence du cinéma il ne grogne pas, ne pue pas et ne veut pas vous bouffer la cervelle. Il devient alors piloté à distance, de préférence en silence, et travaille pour une autre personne que vous. La zombification du PC se produit quand celui-ci est contaminé par une saloperie (via internet, P2P, clé usb etc..) ou malware. Les Windows se laissent parfois tromper, on peut planquer des saloperies dans les .mp3 ou les images de gros nichons téléchargés par les n00b.

Voici une vidéo de France24 sur le sujet, elle permet de comprendre certaines choses à ce genre d’histoire.

Vous avez entendu, un réseau de 13 millions de zombies, contenait des tonnes d’informations personnelles : Mariposa, un botnet. C’est à dire que le zombie intercepte le maximum de données sur le PC ( saisie au clavier, mails, fichiers XLS , base de données, mot de passe décodés, carte bancaire…) et les envoie à son maître. Vous imaginez alors aisément ce qui est possible de faire avec des millions de données privées de citoyensAt a press conference announcing the operation in Madrid on Wednesday, Spanish police said they recovered the personal details of 800,000 people from systems recovered from three alleged cybercriminals. This cache of stolen information includes bank login credentials from businesses and consumers as well as email passwords.   Et la même police à expliqué des choses : The “botnet” of infected computers included PCs inside more than half of the Fortune 1,000 companies and more than 40 major banks. Les victimes sont donc de simples citoyens ou alors de très grandes entreprises.

Tout cela est d’après moi bien plus important en terme de trouble sociaux et économiques que les “pedophiles à 2 clics de votre PC” qu’utilise la bande de zozos de l’UMP pour effrayer les parents qui oublient d’installer un contrôle parental sur le PC des gamins.

On estime (sic) que 25% des PC sont zombifiés dans le monde et +- 5% en France . Quand j’ai travaillé pour Wanadoo/FT en contact avec l’équipe sécurité/abuse , nous avions constaté lors de tests qu’il ne fallait que quelques dizaines de minutes à un PC non protégé de se faire “véroler” et servir alors de ressources pour une mafia ou un délinquant du net.Il faut actuellement entre 3 et 10 minutes pour que cela se produise.

Ces mafieux mettent en place des plates-formes technologiques pour envoyer du spam par millions de mail ou des attaques contre des sites commerciaux ou institutionnels. Et ces plate-formes sont de plus en plus puissantes, délocalisées, et capable de se reconstruire en cas de défaillance d’une partie d’entre elle.

Cela sert à diverses choses, dont la capture d’informations sur des zombies qui servent de pièges lors d’envoi de mails imitant ceux d’une banque (pishing). Ainsi en 2004, j’ai autopsié à distance un PC troufigné. Connecté en ADSL wanadoo, il servait de piège pour capturer les numéros de cartes bancaires, ça a duré quelques jours.

Le zombie peut aussi servir a transformer votre PC en serveur de fichiers pour distribuer tout et n’importe quoi. Ainsi des PC ont été zombifiés en site pour pédophiles , comme cette affaire de 2002 relatée en 2004 sur neuneu.org : un citoyen UK a passé quelques semaines en prison, sa vie a été salopée .. à cause d’un malware.

Cette image là sur la gauche, représente l’interface de gestion d’un réseau botnet que le BBC a testé.

Le fait que des PC soient zombifiés vient d’une mauvaise information des usagers d’internet: les utilisateurs ne savent pas que des millions de machines servent de jour comme de nuit à autre chose que ce qu’ils ont prévu. Ils sont des zombies dans un Botnet . Ils servent entre autre à envoyer 83,4% du SPAM :

Compromised (zombie) machines accounted for more than four in five (83.4 per cent) of an estimated global volume of 107 billion junk mail messages sent out every day during 2009.

Voilà si nous ne faites pas attention, votre merveilleux Quad-Core sous windows va servir de relais et envoyer du spam vers d’autres victimes à moins qu’il ne serve à distribuer des images pédophiles commerciales pour pervers en tout genre ou d’infrastructures pour d’autres choses. Et bien sûr cela se fait avec paiement de la part du spammeur qui “loue” le réseau de zombies ou de celui qui loue le réseau pour par exemple attaquer des sites Web concurrents.

Depuis 2002, il existe une directive de l’union Européenne UE : 2002/58/CE. Elle oblige les fournisseurs de service de mettre en place les outils pour lutter contre tout ce qui nuit à la sécurité des services  et les oblige à informer les clients des dangers. Voici ce qu’elle prévoit dans son article 4 les choses suivantes :

1. Le fournisseur d’un service de communications électroniques accessible au public prend les mesures d’ordre technique et organisationnel appropriées afin de garantir la sécurité de ses services, le cas échéant conjointement avec le fournisseur du réseau public de communications en ce qui concerne la sécurité du réseau. Compte tenu des possibilités techniques les plus récentes et du coût de leur mise en oeuvre, ces mesures garantissent un degré de sécurité adapté au risque existant.

le fournisseur, c’est votre opérateur Télécom ou FAI. “ses services” sont ceux que vous utilisez : accès au réseau, mail non pollué, hébergement Web qui ne vous renvoie pas sur des faux sites opérés par des délinquants etc..

2. Lorsqu’il existe un risque particulier de violation de la sécurité du réseau, le fournisseur d’un service de communications électroniques accessible au public informe les abonnés de ce risque et, si les mesures que peut prendre le fournisseur du service ne permettent pas de l’écarter, de tout moyen éventuel d’y remédier, y compris en en indiquant le coût probable.

Manifestement, les FAI ne font pas tous les mêmes efforts dans ce domaine et cela concerne aussi les fournisseurs  de services de type “dedibox, kimsufi” etc.. Pourtant cela est parfois possible à moindre coût. Ainsi en 2004, Wanadoo a su bloquer la propagation du ver Blaster en agissant sur sa plate-forme et informer ses clients de la méthode d’éradication.

La directive a parait-il été transcrite dans le droit FR: Loi n°2004-669 du 9 juillet 2004. On précise qu’en droit Français celle-ci existe, mais que son usage devant un tribunal de première instance serait assez difficile.

Pourtant, je m’étais inquiété en 2004 de ces problèmes, et j’avais envoyé un mail à un des spécialistes Internet de la majorité UMP-UDF de l’époque: Jean Dionis du Séjour. Celui-ci Rapporteur de la LCEN, m’avait précisé qu’il se renseignait sur la transposition de la directive 2002/58/CE et m’assurait que nous reprendrons bien entendu l’essence de l’article 4 de la Directive. Il me remerciait de l’avoir alerté.  Il me semble évident que cela n’a servi à rien.

Vous ne trouvez pas que plutôt de que de nous bassiner avec des risques sur les “pédophiles à 2 clics de votre PC” le gouvernement UMP devrait transcrire dans le droit Français cette partie de la directive et lutter contre les sites en question, et les mafias qui les exploitent souvent planquées dans des paradis fiscaux.. Mais cela demande plus de travail pour eux… et ne peut pas facilement servir dans le cadre d’un plan de propagande politique. Il va être aussi utile de savoir ce que Nathalie Kosciusko-Morizet pense de tout ça, ça tombe bien, elle est joignable sur twitter.


Comments

comments

Powered by Facebook Comments

1 Comment

  1. [neuneu.org] NKM : 13 Millions de zombies! http://www.neuneu.org/?p=343

Leave a Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

%d bloggers like this: