Categories: Cloud

McAfee s’inquiète d’une attaque qui vise les ordinateurs de particuliers en France

McAfee a identifié, le 25 mai 2007, une nouvelle forme d’attaque informatique qui cible les ordinateurs des particuliers. « Ce n’est qu’une attaque parmi d’autres, nous découvrons 1 à 2 attaques similaires par mois, précise François Paget d’Avert, le laboratoire de surveillance de l’éditeur de sécurité McAfee, mais avec celle-ci, nous avons réussi à démonter presque toute la méthodologie ce qui nous a permis d’expliquer la façon dont l’attaque s’est déroulée. » Et elle est pour le moins sophistiquée.

Dans son blog, François Paget explique qu’un cheval de Troie se contracte à partir d’une page Web infectieuse qui contient une routine en Javascript. Cette routine connecte l’ordinateur infecté à un site distant pour y télécharger un exécutable (.exe) qui, à son tour, télécharge une variété de fichiers malveillants.

Un schéma d’infection complexe mais efficace

L’éxécutable s’appuie sur des failles corrigées (MS06-006 et MS06-024) et non corrigées (type Adodb.stream) de Windows. S’il parvient à passer la protection antivirale (pour peu que celle-ci ne soit pas à jour), l’agent désactive le centre de sécurité de Windows XP SP2 et modifie la base de registre afin de télécharger et d’installer le cheval de Troie en question. Passée cette étape, l’exécutable s’auto-détruit et passe le relais au cheval de Troie qui enregistre alors l’adresse IP de la machine victime afin de la localiser géographiquement. Avec une grande précision puisqu’il va jusqu’à préciser la ville (et même les coordonnées longitudinaux) dans laquelle opère l’ordinateur infecté.

Le cheval de Troie télécharge également deux autres fichiers pour le moins indésirables. Le premier tente de désactiver les anti-virus installés et leur mise à jour tout en effectuant des captures d’écrans de formulaires d’authentification. Le second fichier installe un logiciel espion voleur de mots de passe particulièrement actif sur les services e-gold.com, meine.deutsche-bank.de, banking.postbank.de. Enfin, une série d’autres programmes intrusifs transforme à terme la machine en véritable PC zombie (un ordinateur aux ordres du pirate ou ses commanditaires) tout en poursuivant la collecte de données confidentielles.

C’est donc un schéma d’infection assez complexe mais apparemment très efficace que les pirates ont mis en place. Mais c’est avant tout la cible visée qui a retenu l’attention des ingénieurs d’Avert, et particulièrement d’Elodie Grandjean, qui a découvert l’attaque. « On a affaire à une attaque qui cible des particuliers ayant de faibles niveaux de sécurité et avec des navigations à risque », soutient François Paget. Par navigations à risque, on pense naturellement aux sites pornographiques ou aux plates-formes de distribution de logiciels « crackés ». Mais « on a constaté beaucoup de connexions sur des sites de rencontres et sur les Skyblog [les blogs de Skyrock, ndrl] à travers des pages vérolées volontairement créées ou involontairement vulnérables ».

Plus de 500 victimes en France

Les chercheurs d’Avert se sont également inquiétés de la proportion de victimes françaises ou francophones concernées. Alors que l’attaque a pris fin le 1er juin (ou, du moins, la page web à l’origine de l’infection a été fermée ou déplacée), le laboratoire de McAfee a recensé plus de 500 victimes situées en France contre 700 à 800 pour les Etats-Unis. Un résultat disproportionné par rapport à nos voisins où moins d’une centaine d’ordinateurs infectés ont été comptabilisés en Allemagne ou en Grande-Bretagne. Une situation qui a poussé McAfee à alerter les autorités policières nationales.

Aucune entreprise n’a été repérée parmi les victimes. « L’attaque cible vraiment les personnes inconscientes des dangers d’Internet, essentiellement le grand public et à des fins de fraudes financières, visiblement », insiste François Paget. Le porte-parole de la cellule de veille de McAfee souligne qu’un Windows à jour des correctifs renforcé par un anti-virus est aujourd’hui en mesure de prévenir ce type d’attaque « même si aucune solution n’est fiable à 100 % ». Qu’on se le dise.

Recent Posts

Digital Workplace : comment l’IA Générative s’installe dans l’environnement de travail

L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…

1 jour ago

PC Copilot+ : avec Arm ou x86 ?

Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…

2 semaines ago

Copilot+ : une sélection de PC convertibles

Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…

4 semaines ago

Avec Gemini intégré à Google Workspace, les prix s’envolent

Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…

1 mois ago

PC Copilot+ : c’est parti pour la transformation du parc

Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…

1 mois ago

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

3 mois ago