Kasperky : ‘les cybercriminels se construisent un supercalculateur’

Explication: le ‘hacking’ criminel rapporterait 10 à 15 fois plus que le  » business » de la drogue

Marc Blanchard, responsable des recherches scientifiques antivirus de Kaspersky Lab, qui, accessoirement, est devenu quasi-épidémiologiste, revient sur un chiffre lancé en juin 2007 par le FBI.

Selon le célèbre « bureau fédéral des investigations », il y avait à cette période près d’1 million de botnets en activité (serveurs de réseau robots). « Aujourd’hui on en compte près de 30 millions »affirme Marc Blanchard qui s’inquiète « de cette évolution rapide, et du désordre numérique actuel, des spams, des faux serveurs web, blogs et mails qui se multiplient. »

D’après ce responsable, un des signes forts de cette tendance, est le temps d’exploitation des vulnérabilités ‘Zero day’.

Des tests en laboratoires lui ont fait découvrir qu’aujourd’hui, il fallait compter seulement quatre minutes pour exploiter une faille. À titre d’exemple, en 2003, les ‘hackers’ devaient compter entre 15 et 20 minutes, contre plusieurs jours en 1997.

Un autre constat inquiète Marc Blanchard: auparavant l’unité centrale (CPU) des machines zombies flirtait avec les 100% d’utilisation, notamment parce que le code malveillant utilisé effectuait des opérations à virgule flottante. À l’heure actuelle, les ‘stormworms’ (vers en tempête) sont des codes qui analysent l’utilisation du CPU.

Par exemple, si un ordinateur a une capacité de 337 mégaflops, le code ne va utiliser que 210 mégaflops. Il requiert donc 53% du CPU et laisse 47% de CPU libre.

Cette fonction fait que la perception de l’attaque est quasi nulle pour un utilisateur lambda qui peut encore utiliser des applications comme Word ou Excel sans réaliser que son ordinateur a été transformé en Zombie. Pour Marc Blanchard, les cybercriminels sont ainsi en train de se créer un réseau d’une capacité de calcul supérieur aux super-calculateurs actuels.

Un super-calculateur CRAY offre une capacité de 101.000 téraflops. Autre exemple, le BOINC utilisé par le Seti: il « tourne » à 579.000 téraflops. Après un savant calcul, Blanchard estime qu’avec 30 millions de PC zombies, les cybercriminels disposent d’une puissance de 210.000 téraflops…« Entre début juillet 2007 et fin août début septembre nous avons remarqué une hausse de 300% de l’activité des ‘stormbotnets’ et des ‘stormworms’. »

Curieusement, cette « épidémie » relevée par Marc Blanchard, n’a pas été signalée. Selon lui « les cybercriminels sont en train de créer un réseau de P2P complètement décentralisé ». Or toutes les machines infectées ne sont pas encore en activité, certaines sont en mode « sommeil. « 

Concrètement, le hacker criminel utilise l’enveloppe vide d’un code malveillant et -via son point d’entrée- il crée un code mâle, un code femelle, et un code géniteur. Ces derniers communiquent et répondent aux attaques en renvoyant des « exploits ».

Si une machine femelle tombe elle est automatiquement remplacée. En conséquence, les serveurs ‘botnets’ peuvent être reconstitués de façon automatique et intelligente. Il s’agit en quelque sorte d’un système de d’auto-reproduction… informatique…

L’avantage du réseau P2P est d’éviter la géolocalisation par les forces de police ou autres gendarmes du Net qui parviennent, dans de nombreux cas, à remonter à la machine administratrice, du serveur ‘botnet’, mais pas toujours.

Cette nouvelle technique, qui est proche du principe d’un réseau maillé, explique la grosse différence entre les statistiques de juillet 2007 fournies par le FBI et celles plus récentes du laboratoire Kaspersky.

En conclusion, Marc Blanchard conseille aux entreprises de mettre en place des solutions antivirus au niveau des serveurs HTTP, pour éviter le piratage des pages Web. Et aux utilisateurs, il recommande de ne jamais décocher l’option protection des virus internet.