Powered By Blogger

Rechercher sur ce blogue

jeudi 3 juillet 2014

Botnet: Microsoft et les dommages colatéraux

 

Quand Microsoft fait tomber des millions de sites web pour s’attaquer à un botnet

En voulant régler son compte à un malware infectant des millions de PC sous Windows, Microsoft s’est attaqué à No-IP.com… Un service qui était certes utilisé par les cybercriminels qu’il visait, mais également par une foule de clients parfaitement légitimes. Malaise.

 
Quand Microsoft joue au shérif de l’internet, cela peut aller très loin. Il y a deux jours, la firme entreprend sa dixième opération « coup de poing » contre un botnet, ces réseaux de PC zombies qui pourrissent des millions de PC sous Windows. Une pratique désormais rôdée : depuis déjà plusieurs années, Microsoft s’est en effet fait spécialité de ces blitz anti-pirates. En 2010, il avait par exemple fait tomber Rustock, l’un des plus gros pourvoyeurs de spams au monde. Et il y a deux ans, avait porté un sacré coup à Zeus. A chaque fois de façon musclée, grâce à l’appui d’un juge et de la police fédérale.
Des initiatives louables qui ont rendu l’internet (un peu) plus sûr. Mais on peut légitimement se demander si Redmond n’est pas allé beaucoup trop loin dans sa croisade avant-hier.
Tout commence par une plainte, déposée le 19 juin par Microsoft auprès d’une cour du Nevada. Elle incrimine deux individus, responsables selon la firme d’avoir généré les botnets Bladabindi et Jenxcus. Mais aussi une entreprise américaine, Vitalwerks Internet Solutions, éditeur du service de DNS dynamique* No-Ip.org. Ils sont co-accusés d’avoir joué un rôle dans « la création, le contrôle et l’assistance à l’infection de millions d’ordinateurs avec des logiciels malveillants, ce qui a fait du mal à Microsoft, ses clients et le public au sens large. »

Une méthode invasive et des millions de clients sur le carreau

Et le 26 juin, la firme obtient de la cour une injonction temporaire qui lui a permis de prendre le contrôle de 23 noms de domaines gérés par No-IP et largement utilisés par ses clients. Objectif de Microsoft : débusquer les sites web (il estime le nombre à 18 000) utilisés par les cybercriminels, qui utilisaient le service de No-IP pour toujours rester en contact avec les machines qu’ils ont infectées.
Une décision qui ne passe pas, du côté de chez No-Ip, une entreprise pourtant célèbre, qui a pignon sur Web depuis 1998. « C’est étonnament invasif » indique le service, qui se plaint immédiatement des méthodes de Microsoft. « Nous sommes très surpris. Nous avons toujours travaillé étroitement avec d’autres compagnies quand des cas d’activité malveillante nous ont été reportés. Malheureusement, Microsoft ne nous a jamais contacté, ne nous a jamais demandé de bloquer des sous-domaines. »
« Ils nous ont dit qu’ils ne feraient tomber que les mauvais sites et étaient censés rediriger tout le bon trafic à nos utilisateurs, mais ce n’est pas ce qui est arrivé » a commenté Natalie Goguen, directrice marketing de No-Ip sur le site KrebsOnSecurity. «[Leurs serveurs] n’ont pas été capables de gérer nos volumes de trafic. » Résultat : No-Ip s’est écroulé pour l’ensemble de ses clients. Goguen estime que pas moins de 4 millions de sites parfaitement légitimes sont devenus d’un coup inaccessibles, durant plus d’une journée, le service commençant à peine à reprendre de la vigueur.
Microsoft indique qu’une « erreur technique » de son côté a pu provoquer des problèmes de connexion au service. Soit. Mais au delà, il est étonnant de voir Redmond traiter une entreprise telle que No-Ip comme un vulgaire complice de cybercriminel, sans l'avoir -a priori- contactée pour trouver une solution à l'amiable avant cet assaut soudain. No-IP réfléchit d'ailleurs avec ses avocats à la meilleure réponse à apporter à Microsoft. L'affaire est loin d'être réglée... 
 
* Les services de DNS dynamiques sont très pratiques : ils vous permettent de lier l’adresse IP de votre connexion maison (qui change régulièrement chez certains FAI) à un seul nom de domaine. Grâce à eux, même si vous changez d’IP, vous accéderez toujours à votre site avec le même nom de domaine. Ils sont particulièrement utilisés par les utilisateurs de micro-serveurs ou de NAS, par exemple.
 
 
REF.:

Aucun commentaire: