Logiciels malveillants des années 2000 : LoveLetter et le ver Conficker

Logiciels malveillants des années 2000 : Se souvenir de LoveLetter et du ver Conficker

Nous poursuivons notre série sur les grands classiques des logiciels malveillants et avons atteint les années 2000. C’est donc l’occasion de nous remémorer deux menaces qui ont été très populaires au cours de cette décennie : Loveletter et Conficker.

Nous poursuivons notre série sur les grands classiques des logiciels malveillants et avons atteint les années 2000. C’est donc l’occasion de nous remémorer deux menaces qui ont été très populaires au cours de cette décennie : Loveletter et Conficker.

Nous poursuivons notre série sur les logiciels malveillants les plus marquants et aujourd’hui, nous nous penchons sur les années 2000. Deux menaces bien connues sont LoveLetter (2000) et le ver Conficker (2008). Nous passerons ici en revue le fonctionnement et l’impact de chacun d’eux.

LoveLetter

Le 5 mai 2000, un courriel a commencé à se répandre dans la boîte de réception d’utilisateurs, dans lequel on pouvait lire en objet « I Love You », alors que le corps du message comprenait un message qu’on peut traduire par « Ouvre la lettre d’amour que je t’ai envoyée ». Le message était accompagné d’une pièce jointe nommée Love-Letter-For-You.TXT.VBS. Malheureusement, beaucoup sont tombés dans le panneau de cette technique d’ingénierie sociale et ont été infectés par le ver LoveLetter, également connu sous les noms VBS/LoveLetter, Love Bug ou ILOVEYOU.

Ce ver écrit en VBScript a été développé aux Philippines par deux jeunes étudiants en informatique, Reonel Ramones et Onel de Guzman. Le succès de LoveLetter tient en partie au fait que le message contenant la menace semblait avoir été envoyé par un contact connu, car le ver avait la possibilité d’entrer dans le carnet d’adresses de la victime et d’envoyer ensuite des copies de lui-même à ses contacts. Selon l’armée américaine, LoveLetter s’est répandu 15 fois plus vite que Melissa.

Quels dommages LoveLetter pouvait causer? En double-cliquant simplement sur la pièce jointe, la menace active et écrase les fichiers sur le système avec des copies de lui-même et apporte des modifications au registre Windows. D’autre part, les nouvelles de l’époque indiquent que LoveLetter a infecté environ 55 millions d’ordinateurs dans différentes parties du monde et que les dommages causés ont causé des pertes évaluées à environ dix milliards de dollars.

Dans une entrevue accordée au New York Times, Onel de Guzman a déclaré qu’il était devenu suspect en raison d’une proposition de thèse qu’il avait envoyée à l’institut où il étudiait, proposant une méthode pour voler les mots de passe et obtenir un accès Internet gratuit. Sa proposition a été rejetée, et comme il l’explique dans l’interview, Guzman a non seulement dit à ses professeurs qu’ils avaient un esprit fermé, mais que selon lui « ils ne voulaient pas croire qu’il avait créé un programme qui exposait l’existence d’un trou dans le système d’exploitation. »

Bien que Ramones et de Guzmán aient tous deux été arrêtés, aucun des deux n’a été condamné. En effet, à l’époque, les lois en vigueur aux Philippines ne couvraient pas les crimes informatiques.

Conficker

Le 23 octobre 2008, Microsoft a publié un correctif réparant une vulnérabilité critique (MS08-067) sur le service Serveur, qui, selon les termes utilisés dans la version, pourrait permettre à un attaquant d’exécuter à distance du code. Ainsi, l’entreprise a exhorté les utilisateurs à mettre à jour leurs systèmes d’exploitation immédiatement.

Le fait que cette version ait eu lieu en dehors du cycle habituel de mises à jour que Microsoft effectue tous les deux mardis du mois (patch Tuesday), a montré que c’était quelque chose d’important. Et le jour même de la sortie du correctif, le premier code malveillant détecté exploitait la vulnérabilité annoncée par Microsoft et volait les noms d’utilisateur et les mots de passe de MSN Messenger, Outlook Express et Internet Explorer, ainsi que les cookies stockés dans le système, mais n’a pas atteint des taux élevés d’infection et n’a pas survécu. Ce code a été détecté par des produits ESET en tant que Win32/Gimmiv.

Moins d’un mois plus tard, le 21 novembre 2008, le ver Conficker faisait son apparition et allait faire sa marque dans le monde entier, compromettant les ordinateurs dans les foyers, les entreprises et les agences gouvernementales utilisant Windows dans 190 pays.

Après analyse, les experts en sécurité se sont rendu compte qu’ils avaient affaire à un code malveillant développé par des professionnels, présentant des routines de propagation et de mise à jour qui n’avaient jamais été vues auparavant. Et près d’un mois plus tard, le 29 décembre, une nouvelle variante de Conficker a été détectée qui non seulement incorporait des améliorations pour empêcher la désinfection, mais qui pouvait également être propagée par des périphériques USB et des dossiers partagés avec des mots de passe faibles, et qui avait la capacité d’infecter les ordinateurs qui avaient installé le correctif de sécurité que Microsoft avait lancé en octobre de la même année.

Avec le temps et les variantes qui ont émergé, elle est devenue la famille de logiciels malveillants la plus répandue jamais connue. Même huit ans après son apparition, celle-ci était encore l’une des plus répandus dans le monde.

Jusqu’à il y a deux ans, cette épidémie de logiciels malveillants avait infecté près de 11 millions d’appareils, dont des machines du ministère britannique de la Défense et de la Bundeswehr (Forces armées unifiées allemandes).

Les conséquences économiques de Conficker ont été énormes. Il en a coûté 1,5 million de livres à la ville de Manchester, au Royaume-Uni, pour se remettre des dommages causés par cette menace.

Le sérieux de Conficker a conduit le département américain de la Sécurité intérieure à financer la création d’un groupe de travail appelé The Conficker Working Group, auquel ont participé des membres d’ESET, de CISCO, de Facebook, et de Microsoft, entre autres, dans le but d’étudier son impact à long terme.

En fait, le groupe a publié un document dans lequel il exprimait sa préoccupation à l’effet que « le ver, bien instruit, pourrait présenter une menace réelle pour l’infrastructure essentielle d’Internet. »

Malgré tous les dégâts que ce code malveillant a causés et son impact, il n’a pas été possible d’identifier les responsables derrière Conficker. Il semble que le ver ait abandonné ses activités à la fin de 2009, bien qu’il demeure encore entouré de mystères.

Selon l’expert d’ESET Aryeh Goretsky, celui-ci a trop attiré l’attention et a amené toute l’industrie de la sécurité à être vigilante, rendant très difficile pour les acteurs malveillants derrière Conficker d’agir pour monétiser leur menace.

Ne ratez pas le dernier article de cette série sur les logiciels malveillants classiques, dans lequel nous passerons en revue ce que nous pensons être deux des menaces les plus importantes de la décennie 2010.

D’autres articles d’intérêt :

Discussion