30 oct. 2010

Koobface, qui c'est ?

Qui cest celui-là ? Un virus, un ver en fait, qui s'installe sur un ordinateur dans une applet Java infectée quand on clique sur un lien web. Que fait-il ? Il installe un programme destiné à permettre à d'autres machines de prendre le contrôle de la vôtre afin de l'utiliser à des fins malveillantes, deni de service, transmission de malwares, et similaires.

Comment cela se passe-t-il ? Via certains réseaux sociaux, comme Facebook ou Twitter, il est possible de se transmettre des liens d'un internaute à l'autre, pour partager des adresses de sites que l'on a apprécié. Si on clique sur ce lien "infecté", le système d'exploitation demande l'autorisation d'installer l'applet, et il y aura toujours des gens pour dire oui... sinon, ça ne marcherait pas, en se disant que ça doit être indispensable d'installer ce truc pour aller voir ce fameux site. Une fois ce petit programme installé, il va se charger tout seul de télécharger certains fichiers afin de transformer un innocent ordinateur personnel en une machine zombie. Koobface a ainsi été fort actif en 2008 sur les ordinateurs utilisant Windows, mais était inopérant sur les autre systèmes d'exploitation. Ceci est parfaitement normal, on sait bien que si on veut pratiquer le terrorisme efficace, il vaut mieux envoyer des bombes sur une tour habitée par des milliers de gens que sur une ferme de Lozère n'hébergeant qu'un vieil agriculteur célibataire ! (il y a d'autres raisons techniques aussi, mais ce n'est pas le sujet de ce billet).

Mais voilà que Koobface évolue, et qu'il s'attaque maintenant, de la même façon, aux ordinateurs tournant sous Linux ou MacOS. Son mode d'action est le même : une fois arrivé sur le site en suivant le lien envoyé, l'applet Java demande à s'installer, et si on dit oui, elle s'installe et tente de procéder de la même façon qu'en 2008... Mais là, c'est moins facile, même si le Linuxien ou le MacUser est aussi négligent que son collègue Windowsien et dit oui par défaut.

Sur MacOS, ça ne marche pas, le ver tente de crééer un dossier pour y télécharger ses programmes malveillants, mais n'y parvient pas.

Sur Linux (essai fait sous Ubuntu), ça marcherait mieux, le téléchargement des fichiers se passe "bien" et on observe ensuite un trafic inhabituel.

Mais de toutes façons, tout ça n'est pas vraiment au point parce que, quand on éteint la machine, ce botnet s'arrête, bien évidemment, mais est incapable de repartir quand l'ordinateur est rallumé ! Un peu légers, non, messieurs les crackers ? Il y a encore du chemin avant d'arriver à la malveillance la plus efficace...

Toutefois, le plus inquiétant est de voir le nombre de gens qui sont capables de cliquer sur tout ce qu'ils rencontrent, des liens dont ils ne savent pas où ils mènent, des propositions d'installation de programmes dont ils ignorent ce qu'ils font, etc.. comme quoi, ce qui est le plus vulnérable dans un ordinateur, c'est ni le hard, ni le soft, mais bien l'interface chaise-clavier !

Merci à Otourly qui a transmis ce lien via Twitter et qui m'a donc donné l'idée de ce billet. Vous pouvez cliquer, c'est sans danger !!

3 commentaires:

olivier a dit…

Les fournisseurs d'accés à Internet devraient distribuer un recueil du "bon usage d'internet ou pourquoi ne pas cliquer sur n'importe quel lien".

Les fournisseurs se cantonnent, malheureusement, uniquement à un rôle commercial (ouverture de ligne). Mais ils devraient aussi développer leur rôle éducatif.

Quant à FaceBook, ne porte t'il pas aussi une part de responsabilité, n'étant pas en mesure d'assurer un "service" sécurisé ?

Nanou a dit…

Je préfère de loin les crackers B.... en apéro :-)

Scrongneugneu a dit…

« le plus inquiétant est de voir le nombre de gens qui sont capables de cliquer sur tout ce qu'ils rencontrent, des liens dont ils ne savent pas où ils mènent [...] » : oui et non.

Oui, si l'on songe à la désorganisation que cela peut provoquer.

Non, si l'on songe que cette désorganisation peut elle-même, dans de très rares cas, se montrer salutaire, en raison des efforts de réparation ultérieurs. Je ne donnerai pas de détails, mais :D