{"id":22,"date":"2013-12-11T11:22:05","date_gmt":"2013-12-11T11:22:05","guid":{"rendered":"http:\/\/www.boullier.fr\/valentin\/2013\/12\/11\/Offensive-majeure-contre-le-botnet-Zero-Access"},"modified":"2013-12-11T11:22:05","modified_gmt":"2013-12-11T11:22:05","slug":"2013-12-11-offensive-majeure-contre-le-botnet-zero-access","status":"publish","type":"post","link":"https:\/\/www.boullier-avocat.fr\/index.php\/2013\/12\/11\/2013-12-11-offensive-majeure-contre-le-botnet-zero-access\/","title":{"rendered":"Offensive majeure contre le botnet ZeroAccess"},"content":{"rendered":"

Une alliance compos\u00e9e de Microsoft, du FBI, de l’E3C (European Cybercrime Center) et d’autres acteurs priv\u00e9s a men\u00e9 une offensive majeure contre le botnet ZeroAccess<\/em> (ou Sirefef). Le botnet a \u00e9t\u00e9 perturb\u00e9, mais pas d\u00e9mantel\u00e9, notamment en raison de la complexit\u00e9 de son architecture.<\/p>\n

Qu’est-ce qu’un botnet ? <\/strong><\/p>\n

Un botnet est un \u00ab\u00a0r\u00e9seau d’ordinateurs priv\u00e9s infect\u00e9s par des logiciels malveillants et contr\u00f4l\u00e9s tel un groupe sans le consentement des propri\u00e9taires (\u00ab\u00a0network of private computers infected with malicious software and controlled as a group without the owners’ knowledge\u00a0\u00bb<\/em> – Oxford Dictionnaries<\/a>). Ce r\u00e9seau constitue ainsi un \u00ab\u00a0r\u00e9seau d’ordinateurs zombies\u00a0\u00bb, parfois utilis\u00e9 sans que les propri\u00e9taires des ordinateurs sachent que leurs ordinateurs ont \u00e9t\u00e9 infect\u00e9s. Un botnet peut \u00eatre utilis\u00e9 pour remplir diff\u00e9rents buts : facilitation du spam, tentatives de phishing<\/em>, attaques DDoS (Distributed denial of service)<\/em> etc.<\/em><\/p>\n

Le botnet ZeroAccess a surpris par sa complexit\u00e9 : celui-ci est structur\u00e9 en r\u00e9seau peer-to-peer, et a \u00e9t\u00e9 con\u00e7u dans le but d’emp\u00eacher toute protection. Ainsi, les ordinateurs infect\u00e9s pouvaient parfaitement communiquer entre eux et se transmettre des mises \u00e0 jour. Microsoft note en effet que :<\/p>\n

\n

36. This architecture is employed as a way to resist countermeasures. In a peer-to-peer network, the participating infected computers, called nodes<\/q>, or peers<\/q>, engage in constant communication with each other, and can quickly and reliably update each other with new versions of the malware and new instructions. In other words, in a peer-to-peer network, any one of the infected computers can function as a command-and-control server.
\nCet extrait est tir\u00e9 du document suivant (.pdf, en anglais) : http:\/\/botnetlegalnotice.com\/zeroaccess\/files\/Cmplt.pdf<\/a>. Dans ce m\u00eame document, Microsoft a ainsi qualifi\u00e9 ZeroAccess d’un des botnets les plus robustes et durables d’aujourd’hui.<\/small><\/p>\n<\/blockquote>\n

ZeroAccess a infect\u00e9 1,9 million d’ordinateurs dans le monde. Le principe de ce botnet est notamment de pirater les r\u00e9sultats de recherche en renvoyant l’internaute vers des sites malveillants afin de permettre \u00e0 l’ordinateur de devenir un \u00ab\u00a0zombie\u00a0\u00bb \u00e0 son tour. Ainsi infect\u00e9, l’ordinateur permettait des click-fraud<\/em> (d\u00e9tournement de clics pour augmenter les d\u00e9penses publicitaires de concurrents).<\/p>\n

Contre-attaque<\/strong><\/p>\n

C’est une unit\u00e9 sp\u00e9ciale de Microsoft qui a men\u00e9 la contre-attaque, appel\u00e9e \u00ab\u00a0DCU\u00a0\u00bb pour Microsoft’s Digital Crimes Unit<\/a>. Cette unit\u00e9 a d\u00e9j\u00e0 men\u00e9 des op\u00e9rations contre des botnets comme par exemple les op\u00e9ration b107 (Rustock Botnet), b70 (Nitol botnet<\/a>), ou encore b58 (Bamital)<\/em>.<\/p>\n

La DCU de Microsoft m\u00e8ne ces actions en partenariat avec des acteurs publics (US Marshals, Gendarmerie nationale, etc.<\/em>) ou priv\u00e9s (Symantec, A10 Networks, etc.<\/em>).<\/p>\n

La DCU n’a pas men\u00e9 cette lutte seule, puisqu’elle \u00e9tait ici en partenariat avec le FBI, A10 Networks, d’autres fleurons de l’industrie, et, soulignons-le, l’E3C (European Cybercrime Centre), qui a ouvert en janvier 2013. Situ\u00e9 \u00e0 la Hague, ce centre sp\u00e9cial ambitionne de devenir le fer de lance europ\u00e9en dans la lutte contre la cybercriminalit\u00e9 :
\n\u00ab\u00a0EC3 aims to become the focal point in the EU\u2019s fight against cybercrime, through building operational and analytical capacity for investigations and cooperation with international partners in the pursuit of an EU free from cybercrime.<\/q> (E3C<\/a>)\u00a0\u00bb<\/em><\/p>\n

Cette contre-attaque aura notamment permis de saisir quarante-neuf sites ayant permis de diffuser le malware. Cette op\u00e9ration technique n’a h\u00e9las pas permis le d\u00e9mant\u00e8lement complet de ZeroAccess, mais Microsoft esp\u00e8re que cette offensive aura permis de perturber ZeroAccess \u00ab\u00a0de mani\u00e8re significative\u00a0\u00bb : \u00ab\u00a0Microsoft expects that this action will significantly disrupt the botnet\u2019s operation\u00a0\u00bb<\/a><\/em><\/p>\n

Des actions judiciaires sont bien s\u00fbr en cours, et ce tant aux \u00c9tats-Unis qu’en Europe, gr\u00e2ce notamment au concours d’Europol.<\/p>\n","protected":false},"excerpt":{"rendered":"

Une alliance compos\u00e9e de Microsoft, du FBI, de l’E3C (European Cybercrime Center) et d’autres acteurs priv\u00e9s a men\u00e9 une offensive majeure contre le botnet ZeroAccess (ou Sirefef). Le botnet a \u00e9t\u00e9 perturb\u00e9, mais pas d\u00e9mantel\u00e9, notamment en raison de la complexit\u00e9 de son architecture. Qu’est-ce qu’un botnet ? Un botnet est un \u00ab\u00a0r\u00e9seau d’ordinateurs priv\u00e9s infect\u00e9s […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"opened","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[2],"tags":[],"_links":{"self":[{"href":"https:\/\/www.boullier-avocat.fr\/index.php\/wp-json\/wp\/v2\/posts\/22"}],"collection":[{"href":"https:\/\/www.boullier-avocat.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.boullier-avocat.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.boullier-avocat.fr\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.boullier-avocat.fr\/index.php\/wp-json\/wp\/v2\/comments?post=22"}],"version-history":[{"count":0,"href":"https:\/\/www.boullier-avocat.fr\/index.php\/wp-json\/wp\/v2\/posts\/22\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.boullier-avocat.fr\/index.php\/wp-json\/wp\/v2\/media?parent=22"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.boullier-avocat.fr\/index.php\/wp-json\/wp\/v2\/categories?post=22"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.boullier-avocat.fr\/index.php\/wp-json\/wp\/v2\/tags?post=22"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}