Le jeudi 5 décembre, Microsoft a annoncé dans un communiqué qu’il avait réussi, avec l’aide du FBI et d’EUROPOL, à démanteler le botnet ZeroAccess (également connu sous le nom de Sirefef), réputé pour avoir infecté près de deux millions d’ordinateurs.

Un mal persistant dans le monde informatique

Un botnet un réseau d’ordinateurs infectés (les « bots ») par un logiciel malveillant (« malware » en anglais) capable de scanner des blocs d’adresses web dans le but de repérer les machines vulnérables et de les infecter par une sorte de virus. Une fois contaminé, chaque ordinateur devient alors l’esclave du cybercriminel à l’origine du botnet (on parle alors d’ordinateurs « zombies »). Ces « malwares » ont en effet la particularité de pouvoir exécuter des tâches programmées à distance par le cybercriminel. Par extension, on emploie le mot « botnet » pour désigner à la fois le réseau d’ordinateurs infectés et le malware lui-même.

Un botnet est souvent à l’origine d’actions malveillantes comme la récupération de données d’un hôpital, d’une université ou de toute infrastructure en attaquant sa base informatique. Les objectifs recherchés par les créateurs des botnets sont souvent de collecter des données, de générer du flux fictif sur des sites ou encore de rediriger les internautes sur de mauvais résultats de recherche afin de générer des recettes publicitaires. Les botnets sont également réputés pour leur spamming, les usurpations d’identité qu’ils permettent, les vols de données personnelles ou encore simplement la propagation de virus qu’ils engendrent. Dans le cas de vol d’identité, ou de récupération de données personnelles, les cybercriminels ont ensuite la possibilité soit d’utiliser ces informations pour leur compte, soit de les revendre ensuite sur des forums afin d’en tirer un avantage financier. Les cybercriminels programment également fréquemment les botnets dans le but de prendre la main sur le navigateur utilisé par l’ordinateur infecté afin que les moteurs de recherche ne fonctionnent plus normalement. Ainsi, lorsque l’internaute fait une recherche, par exemple sur Google ou Bing, les résultats affichés ne sont pas les vrais résultats mais ceux programmés par le cybercriminel, proposant de faux sites afin d’augmenter leur flux de visiteurs.

C’est cette dernière pratique entre autre qui est utilisée par le botnet ZeroAccess, jumelée avec une autre qui consiste en générer de faux clics sur des liens ou en rediriger les clics qui peuvent être faits sur d’éventuelles publicités internet. De ce fait, les bannières publicitaires, qui coûtent très cher aux annonceurs, n’atteignent pas leur objectif car l’internaute n’est pas redirigé vers le site du produit ou du service vanté. Pourtant, les annonceurs continuent de payer pour l’espace publicitaire qu’ils louent sur internet. Ainsi, les publicitaires estiment avoir perdu près de 2,7 millions de dollars par mois à cause de ZeroAccess qui était spécialisé dans cette pratique, appelée « la fraude au clic », ou encore « clickjacking ». ZeroAccess est également accusé d’avoir fait de l’extraction de Bitcoins, monnaie virtuelle très en vogue actuellement, et notamment chez les cybercriminels.

Les botnets posent deux difficultés majeures. Tout d’abord il est très facile d’en « attraper » un sur le web. En effet, si votre ordinateur n’est pas parfaitement protégé, il suffit d’un seul clic malheureux sur un lien frauduleux et le virus entre dans le système d’exploitation de la machine. Le virus de ZeroAccess présente également la particularité de désactiver en grande partie  la sécurité mise en place sur l’ordinateur (antivirus, antispam…) sans que l’on s’en rende compte. C’est là que réside la deuxième difficulté de ce virus: il est compliqué de le déloger de la machine.

Il est très difficile d’éliminer un botnet pour la simple et bonne raison qu’il est généralement mal aisé de détecter qu’un ordinateur a été infecté. De plus, la plupart des botnets, et c’est le cas pour ZeroAccess, fonctionnent sur la technologie Peer-to-Peer qui permet une propagation du virus d’ordinateur à ordinateur.

De nombreux botnets existent sur Internet  et Microsoft s’est donné comme objectif d’en éliminer le plus possible afin de paraître plus sûr auprès de son public.

Une action menée conjointement par le secteur public et le secteur privé

Microsoft, qui souffre depuis quelques années déjà d’une mauvaise réputation en terme de sécurité sur ses systèmes d’exploitation, a décidé de mener un combat sans merci  aux différents botnets circulant sur Internet. Déjà durant l’été 2013, l’entreprise avait réussi à bloquer le botnet Citadel (un malware capable de récupérer toutes les données tapées sur le clavier de l’utilisateur de l’ordinateur infecté), et en 2011 elle avait participé au démantèlement du botnet Rustock (un malware éditeur de spam).

Mais pour bloquer de tels réseaux d’ordinateurs infectés, Microsoft, qui ne s’est chargé que de la partie technique du travail, a eu besoin de l’aide du FBI dans un premier temps, puis, au vu de la localisation présumée des cybercriminels liés à ZeroAccess, elle a eu recours au récent Centre Européen de lutte contre la cybercriminalité d’Europol, créé en janvier 2013. L’entreprise de Redmond a également sollicité des entreprises privées, leaders dans l’industrie des technologies, et notamment A10 Networks, spécialisée dans l’optimisation des « applications d’entreprises à partir des infrastructures réseaux ».

Pour mener à bien son action contre ZeroAccess, Microsoft a commencé par déposer une plainte le 25 novembre auprès de la Cour fédérale du district ouest au Texas pour réclamer le droit de bloquer les trafics des machines infectées sur le territoire des Etats-Unis. Cette plainte incriminait huit personnes, et était rédigée à la fois en anglais et en russe, ce qui laisse présumer de la nationalité de certains cybercriminels inquiétés. Le tribunal a donc autorisé Microsoft à bloquer 18 adresses IP de serveurs qui contrôlaient le botnet. Microsoft a ensuite bloqué une cinquantaine de noms de domaine liés au botnet (donc de fausses adresses de sites servant à infecter les ordinateurs ou à générer de faux clics).

Mais comme tout ce qui se rapporte à Internet, une frappe au niveau international est nécessaire. C’est pourquoi Microsoft a demandé de l’aide à Europol pour agir au niveau des pays de l’Union Européenne. C’est donc avec l’aide des autorités de plusieurs Etats européens que le centre européen de lutte contre la cybercriminalité d’Europol (ou « European Cybercrime Center », dit EC3) a mené des perquisitions notamment en Suisse, en Allemagne, aux Pays-Bas et en Lettonie, afin de récupérer les machines associées aux IP frauduleuses détectées par Microsoft et qui contrôlaient ZeroAccess.

Un centre d’excellence créé pour redorer le blason de Microsoft

En 2010 Microsoft préconisait une action collective pour combattre les botnet, et « l’application des modèles de la santé publique à Internet », à savoir l’établissement de « certificats de santé » pour les ordinateurs et la mise en quarantaine des machines infectées. Cela posait bien évidemment un problème juridique, tout comme l’avait fait en 2009 la loi HADOPI, car cela sous entendait de priver d’Internet des utilisateurs, sous le prétexte d’éviter qu’ils n’infectent d’autres machines. Or cela portait atteinte au droit d’accès à Internet, érigée comme une liberté fondamentale par le Conseil Constitutionnel (Décision n°2009-580 DC, 10 juin 2009). Pourtant, une étude menée par Microsoft montre que « la moitié des internautes adultes a été un jour la victime de cybercriminels » et que les attaques « coûteraient 113 milliards de dollars par an aux consommateurs ».

Microsoft a donc créé récemment son propre centre spécialisé dans la lutte contre les cybermenaces: le Microsoft Cybercrime Center. Cet établissement est basé sur le campus de la firme à Redmond aux Etats-Unis. Une centaine d’avocats, de chercheurs, d’experts informatiques et de statisticiens ont été engagés dans ce centre pour mener à bien la mission de Microsoft. Mais l’établissement est également ouvert aux chercheurs extérieurs et aux « anciens hackers » qui peuvent ainsi participer à la surveillance et à la détection des menaces liées à l’informatique et à Internet. Microsoft a par ailleurs développé de nouveaux outils, et notamment la plateforme Cyberforensics qui établit une vision mondiale de la cybercriminalité. Des outils plus pratiques ont été mis en place également, comme par exemple PhotoDNA (logiciel qui traque les photos pédopornographiques sur le net). Enfin, le Microsoft Cybercrime Center dispose d’un laboratoire ultra-sécurisé utilisable en temps de « crise » par les chercheurs et experts extérieurs en cas de « menace précise » sur Internet.

En ce qui concerne le botnet ZeroAccess, Microsoft a souhaité insister sur la communication directe avec les utilisateurs en publiant sur son site des préconisations de sécurité à mettre en place sur les ordinateur équipés du système d’exploitation de Windows. Entre autres, Microsoft insiste donc sur l’importance des mises à jour de sécurité proposées à la fois par Windows et par les antivirus installés, mais la firme rappelle également l’attention à porter à la «source des téléchargements de logiciels ». Bien sûr, la firme en a profité pour vanter la sécurité renforcée de son dernier système d’exploitation Windows 8.

La difficile éradication des malwares grâce à la technologie du Peer-to-Peer

Pour le moment cependant, le botnet ZeroAccess n’a pas été totalement supprimé. En effet, les «créateurs» de ce réseau ont pris soin de baser son fonctionnement sur la technique du Peer-to-Peer (P2P), c’est-à-dire que chaque ordinateur infecté devient une source de propagation du malware. Cela permet aux cybercriminels de contrôler ensuite le malware à partir de n’importe quel poste infecté, et de changer très facilement de poste lorsque le premier est « nettoyé ». De plus, comme nous l’avons mentionné plus haut, il est très difficile de détecter dans un premier temps le malware, mais ZeroAccess empêche également toute « tentative manuelle pour le déloger » selon le communiqué de Microsoft, ce qui complexifie sa suppression.

Ainsi, le fait d’avoir bloqué les adresses IP des cybercriminels présumés et d’avoir supprimé des noms de domaine liés au botnet n’a pas pour autant empêché que sa propagation virale continue.  De plus, les cybercriminels n’ont toujours pas été appréhendés. Mais Microsoft est tout de même satisfait d’avoir au moins brisé le « business model » de ZeroAccess et de l’avoir considérablement affaibli, obligeant les cybercriminels à revoir leur stratégie technique pour ce botnet.

Sources

ANONYME, « Botnets 101 What they are and how to avoid them », Site web du FBI, www. fbi.gov, publié le 06/05/2013, consulté le 14/12/2013, consultable sur <http://www.fbi.gov/news/news_blog/botnets-101>

ANONYME, « Cybercrime: Europol et Microsoft font plier l’énorme botnet ZeroAccess », L’Expansion, www.lexpansion.lexpress.fr, publié le 06/12/2013, consulté le 15/12/2013, consultable sur <http://lexpansion.lexpress.fr/high-tech/cybercrime-europol-et-miscrosoft-font-plier-l-enorme-botnet-zeroaccess_419357.html>

ARENE (V.), « Microsoft, Europol et le FBI stoppent le botnet ZerAccess », Le Monde Informatique, www.lemondeinformatique.fr, publié le 06/12/2013, consulté le 15/12/2013, consultable sur <http://www.lemondeinformatique.fr/actualites/lire-microsoft-europol-et-le-fbi-stoppent-le-botnet-zeroaccess-55911.html>

AUFRAY (C.), « ZeroAccess: Microsoft participe à la lutte contre un botnet », Zdnet, www.zdnet.fr, publié le 06/12/2013, consulté le 15/12/2013, consultable sur <http://www.zdnet.fr/actualites/zeroaccess-microsoft-participe-a-la-lutte-contre-un-botnet-39796144.html>

BIGET (S.), « Microsoft dévoile sa base tactique contre le cybercrime », Futura Sciences, www.futura-sciences.com, publié le 21/11/2013, consulté le 15/12/2013, consultable sur <http://www.futura-sciences.com/magazines/high-tech/infos/actu/d/informatique-microsoft-devoile-base-tactique-cybercrime-50352#xtor=RSS-8>

FEUGEY (D.), « Microsoft, Europol et le FBI stoppent le botnet ZeroAccess », Silicon, www.silicon.fr, publié le 06/12/2013, consulté le 11/12/2013, consultable sur <http://www.silicon.fr/microsoft-europol-et-le-fbi-stoppent-le-botnet-zeroaccess-91303.html>

G. (J.), « Microsoft, FBI et Europol: le botnet ZeroAccess touché mais pas coulé », Génération Nt, www.generation-nt.com, publié le 06/12/2013, consulté le 15/12/2013, consultable sur <http://www.generation-nt.com/microsoft-europol-botnet-zeroaccess-malware-actualite-1824072.html>

GERARD (A.), « Microsoft, le FBI et Europol coupent l’accès à un botnet de 2 millions de PC », PC Inpact, www.pcinpact.com, consulté le 15/12/2013, consultable sur <http://www.pcinpact.com/news/84774-microsoft-fbi-et-europol-coupent-acces-a-botnet-2-millions-pc.htm?utm_source=PCi_RSS_Feed&utm_medium=news&utm_campaign=pcinpact>

HACHMAN (M.), « Microsoft, Europol claim victory in taking down ZeroAccess botnet », PcWorld, www.pcworld.com, publié le 05/12/2013, consulté le 14/12/2013, consultable sur <http://www.pcworld.com/article/2069880/microsoft-europol-claim-victory-in-taking-down-zeroaccess-botnet.html>

LE BOURLOUT (E.), «Microsoft, le FBI et Europol démantèlent un énorme Botnet », 01net, www.01net.com, publié le 06/12/2013, consulté le 15/12/2013, consultable sur <http://www.01net.com/editorial/609834/microsoft-le-fbi-et-europol-démantelent-un-enorme-botnet/#xtor=RSS-16>