Quand un ver informatique se transforme en supercalculateur

Des experts en sécurité américains expriment leur inquiétude sur l'ampleur que prend la diffusion du ver informatique appelé Storm Worm. Détecté pour la première fois le 17 Janvier 2007, celui-ci n'a cessé de se répandre sur les ordinateurs équipés de systèmes d'exploitation Microsoft. Les differents modes de diffusion et l'acharnement dont ont fait preuve les auteurs du virus ont abouti à une situation sans précédent pour ce qui est du nombre de machines infectées.

Dans un premier temps les "PC zombies" propagent le code malicieux en diffusant des pièces jointes infectées par courrier électronique. Plus récemment le ver a évolue en ouvrant des serveurs de pages Internet sur les machines contaminées qui essaient différentes attaques connues sur les navigateurs tout en maquillant les adresses sous forme de liens vers le site YouTube. Le 22 Août 2007, plus de 57 millions d'e-mails ont été émis par des ordinateurs infectés. Depuis l'apparition de Storm Worm, on estime à plus de 1,2 milliards le nombre de messages envoyés pour propager le virus.

Les dernières estimations donnent entre 1 et 50 millions de PC touchés. Un nombre exact est très difficile à déterminer à cause du fonctionnement du ver : chaque ordinateur contient une liste d'une trentaine de PC "voisins" eux aussi infectés, le réseau ainsi créé est totalement décentralisé, à l'instar de certain maillages Pair à Pair (P2P). Une fois exécuté sur un ordinateur, le ver installe un Rootkit (Win32.agent.dh) et ouvre une porte dérobée qui permet aux pirates d'exécuter des commandes à distance pour lancer des campagnes de pourriels ou d'attaques de déni de service distribuées (DDoS). De plus, le comportement défensif du code inquiète les spécialistes : dès qu'un ordinateur infecté repère une tentative de détection de vulnérabilité ou de malware par un serveur, il commande à l'ensemble des PC zombies du réseau de mener une attaque de type DDoS pour supprimer la menace. Certains sites anti-spam ont aussi été victimes de ces attaques.

Dernièrement, un autre type d'utilisation de ce réseau de "PC zombies" commence à inquiéter les experts en sécurité américains. Avec une moyenne de plus de 2GHz par processeur et de 1Go de RAM, Storm Worm est théoriquement capable de délivrer une puissance de calcul de loin supérieure au plus puissant des supercalculateurs du Top500 (IBM BlueGene/L de 280.6TFlop/s avec ses 131 072 CPU). Si on considère les estimations les plus pessimistes (50 millions de CPU), Storm Worm dépasse largement la puissance accumulée de tous les supercalculateurs du Top500 (4.9 PFlop/s en Juin 2007). Ces valeurs sont toutefois à pondérer en tenant compte de la bande passante disponible entre les nœuds de ce réseau. Cependant, les craintes formulées lors de l'apparition de ce ver pourraient bientôt devenir réalité : le groupe de pirates à l'origine du programme dispose maintenant d'une force de dissuasion inquiétante, ou à défaut contrôle un outil capable de casser des systèmes de cryptographie hors de portée jusqu'à présent (des clés utilisées dans des transactions de commerce électronique par exemple).

Les entreprises d'anti-virus avouent ne pas savoir qui est à l'origine des attaques et ignorent d'où elles sont lancées. La seule solution consiste actuellement à appliquer les consignes de sécurité de base : mettre à jour son système d'exploitation, s'équiper avec un logiciel anti-virus et bien paramétrer son pare-feu.

Redacteur : Vincent Reboul deputy-stic.mst@ambafrance-us.org
BE Etats-Unis numero 91 (17/09/2007) - Ambassade de France aux Etats-Unis / ADIT - http://www.bulletins-electroniques.com