Reportage: Microsoft dévoile les secrets du ver Conficker

Redmond– Au cœur de la forteresse Microsoft sur la côte ouest des Etats-Unis, les experts maison expliquent comment le ver Conficker/Downadup est venu à bout de nombre de postes.

Si ce malware est de nature particulièrement complexe, les ravages qu’il a engendré sont particulièrement coriaces et nombreux. De même, bien que la faille que le ver Downadup exploite ait été corrigée depuis trois mois, le malware continue de faire des siennes. A en croire certains experts, il serait même en passe de devenir la plus grosse attaque contre les PC Windows depuis des années.

Jeff Williams, responsable principal du centre de protection contre les malwares (MMPC) témoigne : « Tout a commencé le 6 octobre. Nous avons commencé à avoir des informations montrant qu’une vulnérabilité était exploitée. Le MSRC (l’équipe de réponse de Microsoft) a été dépêché avec une équipe d’enquête afin d’en évaluer l’impact ainsi que le nombre de personnes touchées« . Les équipes ont donc été informées rapidement et ont commencé à faire entrer le virus dans leur cycle de solutions de sécurité.

« Nous avons ensuite essayé jusqu’au 22 octobre de stabiliser la situation. C’est à ce moment que nos équipes sont passées au niveau rouge. On a dûaccélérer la cadence afin de trouver rapidement une parade efficace car les impacts commençaient à être forts » commente le responsable. C’est au matin du 23 octobre que les développeurs de Redmond ont trouvé le correctif adéquat. Le patch MS08-067 a alors pu être diffusé publiquement.

Les responsables présents à la conférence expliquent alors qu’ils ont collaboré via le MAPP (Microsoft Active Protection Program). Avec des partenaires sécurité très « particuliers », ils ont pu tenter de comprendre quelles étaient les ramifications du malware. A ce titre, l’ingénieur en chef conteste la « mise en garde » de l’Us-Cert et préfère parler de « collaboration et de partage des informations« . Simple histoire de points de vue.

Toujours est-il qu’en lisant entre les lignes on s’aperçoit que le début des attaques peut être approximativement localisé. L’Asie, plus précisément le Japon pourrait ainsi être le foyer de départ de Conficker. Une position qui confirmerait les informations selon lesquelles les postes les plus touchés se trouvent en Asie (Malaisie, Philippines, Japon, Vietnam) puis en Amérique du Sud. Jeff Williams du MMPC : « Le ver a été vu pour la première fois sous la dénomination W32/Gimmiv en s’introduisant dans nombre de serveurs japonais. C’est seulement le 21 novembre que l’on a vu le ver sous sa forme actuelle circuler et infecter les réseaux ». Un signe du c aractère professionnel des pirates à en croire les services de Redmond.

Conficker a ensuite eu plusieurs vies dans le sens où pas moins de trois versions se sont succédées. Le ‘A’ apparu dès les premières attaques, le ‘B’ (Win32/Arpoc) quelques jours après puis enfin le ‘C’ le 20 février. A ce titre, les ingénieurs de Microsoft ont renoncé à évaluer le nombre exact de personnes touchées par le malware. « Nous ne pouvons pas, à l’heure actuelle, mesurer le nombre de victimes à travers le monde. Si on s’y essayait, on ferait sûrement des doubles comptages. On peut juste imaginer que l’échelle est très large…« . Les responsable, pressé par l’assemblée lance, mais avec retenue, le chiffre de 3 millions de victimes. Les éditeurs de sécurité évoquent de leur côté plus de 10 millions de postes infectés.

Une architecture contre le malware est en cours d’élaboration pour un ver qui pourrait encore faire des siennes. D’autant que la récompense de 250.000 dollars court toujours, comme les pirates…