Découvert fin 2008, Conficker fait pendant des mois la une des publications spécialisées. Accusé d’avoir infecté des millions d’ordinateurs à travers le monde, ce virus aux multiples actions n’est pas programmé pour faire des dégâts instantanés : il prend le contrôle de la machine infectée pour la mettre à la merci de futures instructions.

L’histoire de Conficker débute le 23 octobre 2008 quand Microsoft publie son 67e bulletin de sécurité de l’année. L’alerte est qualifiée de critique pour la plupart des versions courantes de Windows. Le correctif comble une faille par laquelle un attaquant pourrait réussir à déclencher à distance l’exécution de code arbitraire sur la machine. Dit autrement, la vulnérabilité permet de prendre le contrôle de l’ordinateur cible. Comme en 2003 avec Blaster, elle repose sur le protocole RPC (Remote Procedure Call).

Les premiers logiciels malveillants capables d’exploiter la faille apparaissent moins d’un mois plus tard. Les différentes occurrences sont surnommées Downup, Downadup, Kido ou… Conficker, le nom qui en définitive passera à la postérité.

Un virus protéiforme

Conficker est un virus protéiforme : cinq variantes principale, numérotées de A à E, sont identifiées entre novembre 2008 et le printemps 2009. Elles partagent un mode opératoire qui consiste à contrecarrer les défenses du système, désactiver les services liés à la sécurité et scanner le réseau à la recherche de nouvelles machines à infecter.

« Les versions B et C de Conficker sont capables d’aller se cacher dans une clé USB pour aller infecter de nouvelles machines »

En parallèle de ce socle commun, chaque nouvelle variante amène de nouvelles méthodes de propagation et d’infection : Conficker est mis à jour par ses auteurs, de la même façon qu’un éditeur de logiciel ajoute des fonctionnalités à ses produits. Les versions B et C de Conficker sont par exemple capables d’aller se cacher dans une clé USB pour aller infecter de nouvelles machines grâce à la fonction de lancement automatique Autorun. Elles savent aussi explorer les partages ou modifier la politique de sécurité d’un réseau local afin d’en ouvrir les portes à des requêtes venues de l’extérieur.

Image d'erreur

La diffusion de Conficker entre machines non-protégées. Source : Wikimedia, par Gppande.

Les analyses techniques montrent surtout comment chaque machine infectée par Conficker devient capable de transmettre et relayer des instructions transmises par un interlocuteur distant. Au départ, ce procédé peer-to-peer sert principalement à propager les mises à jour du virus ou à le doter de nouveaux mécanismes de défense face aux tentatives de désinfection, mais d’autres desseins apparaissent rapidement.

Conficker Working Group

Microsoft annonce le 12 février 2009 la création d’un groupe de travail dédié à Conficker, et promet dès le lendemain une récompense de 250 000 dollars à qui saura retrouver les responsables. Les chercheurs réunis au sein de ce Conficker Working Group soupçonnent qu’une échéance particulière est programmée au 1er avril 2009 : à cette date, le virus est censé se mettre à jour une nouvelle fois et intensifier de façon significative ses méthodes de propagation réseau.

De nombreux articles sonnent l’alarme à la veille de la date fatidique : John Markoff, le spécialiste sécurité informatique du New York Times, se demande par exemple s’il faut s’attendre à un désastre sans précédent ou un poisson d’avril. Il ne se passera finalement aucun événement significatif le 1er avril.

Conficker et ses suites vont pourtant continuer à semer le trouble pendant des mois et des années. Le virus servira notamment de vecteurs à des attaques visant la destruction ou le vol des fichiers stockés sur la machine. Il soutiendra également diverses campagnes plus ou moins ciblées mêlant dénis de service et engorgement du réseau.

Près de dix ans après sa création, Conficker n’a pas totalement disparu, notamment en entreprise où certains parcs informatiques sont encore sous des versions vulnérables de Windows : de temps à autres, on voit poindre une alerte de sécurité qui relate la découverte de nouvelles machines infectées.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !