Flashback : des éditeurs remontent leurs chiffres

Florian Innocente |
Dr.Web, Symantec et Intego ont croisé leurs chiffres et observations sur le comportement du malware Flashback et on fait le constat que sa propagation, bien que déclinante, restait élevée. De l'ordre de 566 000 machines infectées pour les estimations en date du 19 avril chez Dr.Web. Au milieu de la semaine, Symantec avait publié des chiffres montrant une forte décrue (moins de 100 000 machines au 17 avril) tandis que le même jour, Kaspersky en dénombrait trois fois moins. Cette forte disparité dans les mesures est expliquée d'au moins deux manières et Symantec, dans une mise à jour de son billet, s'est rangé à l'analyse de Dr.Web (Kaspersky est encore en train de l'étudier).



Dr.Web rappelle d'abord le fonctionnement général de ce malware (lire aussi Interview : Flashback et la mécanique d'un malware). Lorsqu'il est installé sur une machine, il envoie une requête vers un nom de domaine calculé par ses soins (qui change tous les jours), à la recherche d'un serveur de contrôle qui pourra lui retourner les actions à entreprendre. Ce nom de domaine est décliné en .com, mais aussi en .net, .in, .kz et .info. Des sociétés de sécurité comme Dr.Web ou Symantec ont donc acheté des séries de noms de domaines et installé des "sinkhole" (ou pots de miel) afin de récupérer les requêtes émises par les machines infectées pour les dénombrer et les analyser.

Dr.Web explique les gros écarts de relevés réalisés ces dernières heures par le fait qu'après avoir contacté les noms de domaine qu'il avait achetés, les machines infectées se sont tournées vers un autre à l'adresse 74.207.249.7, dont on ne sait qui est derrière. Les Mac contactent ce serveur, mais celui-ci ne ferme pas la connexion TCP. Les machines patientent donc en espérant une réponse qui ne vient pas. Elles ne cherchent pas non plus à contacter un autre nom de domaine, et disparaissent ainsi des statistiques si ces serveurs successifs comptaient parmi ceux préemptés par les éditeurs d'antivirus.

Symantec a reconnu la pertinence de cette analyse et donné une nouvelle estimation au 20 avril, avec 185 000 identifiants uniques désignant une machine infectée (sachant que ce peut-être aussi une machine virtuelle fonctionnant chez un autre éditeur et servant de piège à malware).

Intego de son côté a observé qu'une redirection avait été apparemment mise en place par les organismes en charge des serveurs de noms de domaines (DNS). La conséquence est que le Mac infecté qui tente de contacter un serveur se voit retournée sa propre requête. Il n'obtiendra pas d'infos d'un possible serveur de contrôle, il n'ira pas en chercher un autre et ne sera donc pas non plus comptabilisé dans les "pots de miel" installé par les éditeurs. Intego donne une liste test de noms de domaines où la requête fait un aller et retour, en affichant l'adresse locale de la machine (127.0.0.1).

Le 18 avril, lorsqu'elle avait publié sa mise à jour de sécurité Java, Apple avait aussi déclaré qu'elle travaillait à démanteler ces serveurs « En plus de la vulnérabilité de Java, le logiciel malveillant Flashback exploite les serveurs informatiques hébergés par ses créateurs pour effectuer de nombreuses actions critiques. Apple collabore avec les différents fournisseurs d’accès à Internet dans le monde pour désactiver cette commande et contrôler le réseau. » Il faut peut-être y voir un effet de cette initiative.

avatar codeX | 
[quote]les machines infectées se sont tournées vers un autre à l'adresse 74.207.249.7, dont on ne sait qui est dernière[/quote] Il n'y a qu'à faire appel à nos kadors d'Hadopi. Eux, savent retrouver qui est derrière une adresse IP.
avatar puccini | 
cette nouvelle ip nous mène à ... l' IUOAVSDC (International Union of Anti-Virus Software Developper Company).
avatar ziggyspider | 
A part des si et des peut être, ils n'ont pas l'air d'y voir grand chose, hormis quelques hypothèses.
avatar LaurentR | 
"Apple collabore avec les différents fournisseurs d’accès à Internet dans le monde pour désactiver cette commande et contrôler le réseau. " Ne cherchez pas plus loin. Flashback est une création d'Apple pour contrôler Internet !!! Tous aux abris !!!!!
avatar damien83 | 
LaurentR2 Flash /come back BIG BROTHER !!!!! XD
avatar expertpack | 
Pas tres credibles nos editeurs, vous ne trouvez pas?
avatar LaurentR | 
Est-ce que ça a poussé certains d'entre vous à prendre un anti-virus ? Je me pose sérieusement la question.
avatar debione | 
@ LaurentR J'ai peut-être encore une vieille boite de Tamiflu dans les affaires de ma grand-mère, sinon je ne vois pas de quoi tu parles...
avatar Vanton | 
@LaurentR : Je pense qu'une minorité a pu franchir le cap, mais je doute qu'on ait assisté à une déferlante d'achats. Macgé ? Un sondage ?
avatar ericaqc | 
@LaurentR Pas dans mon cas
avatar bigham | 
Mazette, c'est aussi passionnant que les sondages sur les intentions de vote aux élections ou une étude sur le chemin parcouru par un myriapode en 1 jour.
avatar Florian Innocente | 
[b] @ vanton : Macgé ? Un sondage ? [/b] Je me dit même que ça pourrait faire un appel à témoins. Mais en élargissant le cadre, au-delà des simples questions de malware et de l'actualité récente.
avatar Rufus | 
Des anti-virus mac il en exite des gratuits et très bons. Mais pour une vraie sécurité, passez à linux. Deux distributions modernes, faciles et très sécurisées : http://chakra-project.org/ http://www.sabayon.org/ Ca vous évitera de participer au merveilleux monde du botnet
avatar lmouillart | 
@Rufus "Mais pour une vraie sécurité, passez à linux." => foutaises. Linux est tout aussi passoire que OS X ou Windows, les technologies et concepts utilisés sont quasi identiques.
avatar Trollolol | 
lmouillart [21/04/2012 18:55] "@Rufus "Mais pour une vraie sécurité, passez à linux." = foutaises. Linux est tout aussi passoire que OS X ou Windows, les technologies et concepts utilisés sont quasi identiques." +1 Archlinux.org (et ses dépots), Kernel.org, Fedoraproject.org, ... qui utilisent du Linux comme OS pour leurs serveurs se font déjà fait troué. Le kernel et plusieurs soft on fait l'objet de failles permettant des accès root à la machine bien que parfois le comment n'est toujours pas été identifié :)
avatar Rufus | 
lmouillard, peu de chances que ce que tu dis soit vrai. Linux a une vraie politique de sécurité. http://www.gentoo.org/doc/en/security/security-handbook.xml?full=1 Linux a une réflexion poussée sur la sécurité et propose des solutions avancées. http://www.gentoo.org/proj/en/hardened/primer.xml Linux propose des mises à jours et des informations sur les failles très rapidement. http://www.gentoo.org/security/en/vulnerability-policy.xml Ces trois points démontrent que les technologies et les concepts sont très différents entre Mac/Windows et Linux On peut préférer Mac à Windows ou à Linux pour x ou y raisons plus ou moins rationnelles, mais les faits concernant l'attention portée à la sécurité par les développeurs Linux ne peuvent être niés. Pour des raisons de priorités, les éditeurs commerciaux n'ont d'intérêt à sécuriser leurs logiciels que lorsque leur réputation est sur la sellette, comme dans le cas des vulnérabilités CVE-2011-3544, CVE-2008-5353, et CVE-2012-0507 utilisées par flashback dont le correctif de la dernière a enfin été poussé après que la presse ait mis la pression sur Apple. Une fois de plus, je ne peux que conseiller de préférer l'original à la copie.
avatar lmouillart | 
@Rufus les technologies PAM, les quota, les sandbox, les piles non excecutable, les firewall intégrés de base et complet, les points de montages, environnements contraints : c'est partout le même type de techno : les noyaux, les implémentations, les bibliothèques ne sont pas les mêmes mais ces systèmes sont très similaire. Il suffit d'utiliser des systèmes type OS/400 OS/390 SCOMP GEMSOS pour voir à quel point ces systèmes sont similaires.
avatar Rufus | 
Trollolol je ne vois pas ce que tu trouves aux dépots d'Archlinux, ils sont signés comme ceux de Debian ou Gentoo. Dans les exemples que tu donnes, les failles étaient certainement liées à un manque de maintenance de la part des admins, pas de la part des développeurs. Dans le cas de flashback, le problème du botnet ne vient pas d'Oracle mais bien d'Apple qui ne permet pas aux admins (nous en l'occurence) de faire une mise à jour de sécurité sur nos machine en temps et en heure et qui par peur de la peur ne communique pas sur les failles, la santé économique de la multinationale reposant en grande partie sur le mythe de l'invulnéramilité...
avatar Rufus | 
lmouillart, ton raisonnement est amusant.
avatar Trollolol | 
Ce que je trouves ? C'est qu'ils ont été compromis (en 2009 de mémoire) suite à un hack avec une faille non connu tout comme l'ont été kernel.org, fedoraproject.org et d'autres. Tu dis que Linux est + sûr, ont te dit que nan, l'histoire à montrer que Linux n'est pas plus sûr que les autres c'tout :)
avatar sheepsound | 
Le jour ou j'estime utile la présence d'un anti-virus sur mon Mac je retourne tout simple à la concurrence. L'utilité apple sera alors compromise à mes yeux et le prix d'acquisition réellement injustifié.
avatar UnAncienDuMac | 
@ codeX " Il n'y a qu'à faire appel à nos kadors d'Hadopi. Eux, savent retrouver qui est derrière une adresse IP. " projecthoneypot.org fait ça très bien !
avatar lmouillart | 
@sheepsound si t'es sur OS X juste pour éviter les virus tu t'es trompé de plateforme.
avatar Rufus | 
Trollolol, tu n'as clairement aucune notion de sécurité informatique. Ni des échelles de gravité. Comparer des attaques ciblées qui n'ont eu aucune conséquence à une attaque 1-day qui a eu pour conséquence des centaines de millier de machines compromises (avec toujours aujourd'hui un botnet vivace) ne démontre que la faiblesse de ton raisonnement. Pour employer une comparaison (puisqu'il faut en venir là) c'est comme affirmer que l'avion est aussi dangereux que la moto puisque des terroristes arrivent parfois à passer au travers de la sécurité et qu'en moto on porte un casque, alors que l'avion est le moyen de transport le plus sûr en europe. Grâce à des types comme toi, les crackers ont de beaux jours devant eux...
avatar Trollolol | 
"Trollolol, tu n'as clairement aucune notion de sécurité informatique." Parce que toi par contre t'es un expert... sauf que tu n'es au courant de rien... "Comparer des attaques ciblées qui n'ont eu aucune conséquence à une attaque 1-day qui a eu pour conséquence des centaines de millier de machines compromises" Quand Fedora à été compromis, ils ont news que les liveCD avait pu être touché, ils ont générer de nouvelles images et ont demander à tous ce qui en avait DL (encore fallait-il lire la news sinon tu sais pas que) et installer depuis une date donnée de reDL une image et recommencer leur install. Pareil avec les dépots d'Archlinux, tous les paquets ont été vérifier pour s'assurer qu'aucun n'avaient été modifier. Mais c'est des attaques qui n'ont aucune conséquence, juste la tentative de création d'un botnet... Et kernel.org c'est juste le site qui héberge un des dêpots principal du noyau Linux (et Google Android entre autres), arriver à modifier ce qu'il contient (au hasard ajouter une backdoor) en restant inaperçu n'aurait eu absolument aucune conséquence autre qu'un simple hack de site... les péons j'te jure. "ne démontre que la faiblesse de ton raisonnement." + "Grâce à des types comme toi, les crackers ont de beaux jours devant eux... " Ca fait 2 semaines que t'utilise Ubuntu (sic) et tu fais déjà ton fanboy barbu qui sais tout mieux que tout le monde ? T'utilises le même discours moisi qu'apple sur ça super invulnérabilité, des botnets Linux yen a déjà dire le contraire c'est agir comme une des fangirl de steve.

CONNEXION UTILISATEUR