|
| |
|
|
| Sommaire Sécurité |
 |
| Qu'attendre de l'attaque programmée de Sober Z ? |
| Fin novembre, iDefense fixait au 6 janvier la date possible d'un envoi massif de messages à caractère nazi. Les messageries seront-elles contaminées aujourd'hui ? Si l'attaque à lieu, à quoi ressemblera-t-elle exactement ?
(06/01/2006) |
|
"Toutes les machines déjà infectées vont se connecter à 00h00 pour mettre à jour le ver. L'attaque ne se fera donc pas forcément immédiatement"... Damase Tricart chez Symantec résume ainsi la situation. iDefense (une filiale de VeriSign) avait tiré la sonnette d'alarme dès la fin novembre en annonçant un spam massif, en provenance d'Allemagne, et dû à Sober Z.
Le ver engorge les serveurs de messagerie depuis déjà plus d'un mois (lire l'article du 24/11/2005). Qu'il s'agisse de sa variante X, W ou Z, il utilise habilement l'ingénierie sociale pour tromper les utilisateurs et les conduire à ouvrir - sans le vouloir - une porte d'accès distant sur leur PC, le transformant ainsi en "zombie".
Sobez représentait fin novembre 1 message reçu sur 14, et 1 message sur 2 interceptés par les fournisseurs d'accès (source Sophos). Damase Tricart confirme : "Selon les dernières statistiques, Sober est l'attaque numéro un avec 1 000 échantillons reçus auprès des grands comptes, là où les autres ne dépassent pas la centaine".
Et d'ajouter : "Sober Z ou X envoie des messages rédigés en allemand et en français. Certains peuvent sembler provenir du FBI ou d'éditeurs antivirus pour inciter à mettre à jour leurs produits".
iDefense estimait que l'attaque du 6 janvier, une date anniversaire pour le mouvement nazi, correspondrait à un envoi de messages de propagande raciale.
| "Ces spam pourront être des messages publicitaires, l'idée nazie n'est qu'une supposition parmi tant d'autres" |
Ce que Damase Tricart tempère : "le but de l'opération est de rendre encore plus contrôlable le PC pour qu'il reçoive encore plus de spam Il pourra s'agir de messages publicitaires, l'idée nazie n'est qu'une supposition parmi tant d'autres".
Luis Corrons, directeur de PandaLabs, confirme toutefois l'hypothèse d'iDefense : "Nous voyons un nombre croissant d'attaques liées au prétendu hacktivism, c'est-à-dire au cybercrime à caractère politique". Il est vrai qu'en juin 2004, Sober H avait envoyé des e-mails à des milliers d'utilisateurs, essentiellement allemands et hollandais, contenant déjà des messages nationalistes, liés à l'élection du Parlement Européen.
Mais quel que soit le contenu du spam, comment se protéger ? "Si des pointes d'envoi apparaissent, nous le saurons très vite.
La meilleure arme reste toujours une protection à jour" affirme Damase Tricart. Et chez Kaspersky, "des scénarios de détection des variantes de Sober [ont été développé]. Si le code du ver n'est pas modifié, l'éradication est très aisée. C'est d'ailleurs pour celà que nous conseillons à nos clients ces jours-ci une mise à jour horaire de l'antivirus" décrit Marc Blanchard, directeur du centre antivirus européen.
Les serveurs de messagerie des FAI devront donc redoubler d'effort pour se préparér à cette éventuelle surcharge du trafic, même si elle n'interviendra pas par surprise.
|
| |
| |
|
|
|
Dossier 
