Toute l'actualité des noms de domaine et nouveaux gTLDs

Archives de mots clés: botnet

L’attaque sur l’internet belge est la conséquence d’une action de spam

L’augmentation suspecte du trafic internet remarquée lundi sur les serveurs de DNS.be, le gestionnaire des noms de domaine « .be », ne résulterait pas d’une attaque orchestrée par des cybercriminels mais d’une action de spam mal exécutée à partir de l’étranger, a indiqué mardi la Computer Emergency Response Team belge (CERT.be) dans un communiqué.

DNS.be a informé lundi la CERT.be et la Federal Computer Crime Unit (FCCU), d’une hausse importante du trafic internet sur les serveurs des noms de domaine « .be« .

Deux serveurs de DNS.be ont été surchargés pendant près de quatre heures à la suite de cette augmentation du trafic. La CERT.be a monitoré et analysé cette hausse, et en a conclu qu’il ne s’agissait pas d’une attaque orchestrée par des cybercriminels mais d’une action de spam d’une série de botnets, un réseau d’ordinateurs hackés issus principalement d’Europe de l’Est et d’Amérique du Sud, qui a mal tourné.

« D’autres services CERT européens ont rapporté des hausses comparables du trafic internet dans leurs pays respectifs« , a indiqué la CERT.be.

« Tout indique que les spammeurs ont mal configuré leurs botnets et ainsi inondé les serveurs de noms de domaine ‘.be’ avec des requêtes fautives. Même s’il ne s’agit pas d’une attaque ciblée, les conséquences sont identiques : les serveurs peuvent être surchargés. Nous continuons à surveiller la situation, mais à l’heure actuelle cela semble se normaliser« , a indiqué le porte-parole de la CERT.be, Jan Torreele.

Source: RTBF.be

L’internet belge hacké

La zone des noms de domaine « .be » serait attaquée depuis dimanche par un réseau d’ordinateurs hackés, aussi appelé botnet, peut-on lire lundi sur le site internet de Data News.

Le directeur général de DNS.be, Philip Du Bois, ne sait pas de quel endroit provient l’attaque mais il a prévenu la Computer Emergency Response Team (CERT) et la Federal Computer Crime Unit (FCCU).

Le gestionnaire de domaines DNS.be reçoit depuis dimanche jusqu’à 6 fois plus de demandes sur ses serveurs que d’habitude. Deux serveurs « .be » ont été perturbés pendant une quarantaine d’heures, rendant les sites webs difficilement ou pas du tout accessibles.

« Nous avons introduit une plainte auprès du FCCU et nous espérons que les criminels pourront être identifiés », a indiqué Philip Du Bois.
Ce n’est pas la première fois qu’une attaque de ce type a lieu, d’après M. Du Bois. Des attaques similaires auraient eu lieu récemment au Chili, aux Pays-Bas et en Slovénie.

Les utilisateurs d’internet ne devraient pas remarquer le problème rencontré par DNS.be car le gestionnaire des domaines belges peut se rabattre sur un réseau externe anycast avec 41 noms de serveurs, d’après Data News. (belga)

Source: 7/7.be

Microsoft freine juridiquement les activités des botnets

La firme de Redmond a constaté une baisse spectaculaire du nombre d’ordinateurs infectés par Waledac, un logiciel malveillant lié à un réseau de botnets responsable de l’envoi massif de spams. Un succès du à une action conjointe de la justice et de chercheurs

Ce malware a été utilisé pour envoyer des e-mails et infecter des ordinateurs par l’entremise d’un faux logiciel antivirus, en s’appuyant sur un système peer-to-peer compliqué pour communiquer avec d’autres machines infectées. Dans le dernier rapport semestriel sur la sécurité informatique qu’elle vient de publier, Microsoft indique ainsi avoir nettoyé seulement 29 816 ordinateurs infectés par Waledac au second trimestre de cette année, contre 83 580 ordinateurs au premier trimestre.

Selon Adrienne Hall, directeur général du département « Trustworthy Computing » de Microsoft, « la baisse du nombre de machines infectées atteste du succès de l’action juridique menée par Microsoft cette année. »  Les actions en justice menées par Microsoft contre Waledac sont sans précédent, puisque, fait assez rare, l’entreprise a obtenu une ordonnance ex parte d’interdiction temporaire (TRO) pour fermer les noms de domaine malveillants que les contrôleurs de Waledac ont utilisé pour communiquer avec les machines infectées. Le fait de recourir à un tribunal « permet de prendre acte du fait que des poursuites sont engagées pour rechercher les auteurs, » a déclaré Adrienne Hall.

Jugement favorable et exequatur accélérée

Ce type de jugement permet d’interrompre une activité sans préavis et sans nécessité de faire comparaître l’auteur devant un tribunal. Dans le cas de Waledac, le blocage soudain des noms de domaine a empêché les opérateurs du botnet de disposer de suffisamment de temps pour enregistrer d’autres domaines et permettre à leurs robots de réinitialiser des instructions. En général, les tribunaux fédéraux rechignent à délivrer ce genre d’ordonnance, car elle peut violer le droit des accusés à un procès équitable, sauf si le juge est convaincu que les auteurs peuvent se réorganiser rapidement et reprendre leur activité. C’est ainsi que Microsoft a réussi à obtenir deux TRO ex parte du tribunal.

Dans les documents d’assignation de Microsoft, on trouve 27 fois le nom de celui qui a enregistré les noms de domaines mis en cause, apportant au tribunal « un objectif identifiable pour une procédure juridique, tout en protégeant les droits des personnes de recourir à une procédure régulière. » Mais la plupart des 276 noms de domaines utilisés pour contrôler Waledac ont été enregistrés par des registrars domiciliés en Chine.  Autre signe de la diligence dont a bénéficié Microsoft, celle-ci a pu rendre la TRO ex parte applicable par la loi chinoise et mettre la procédure en conformité avec les traités internationaux. Les titulaires des noms de domaine ont été notifiés par la Convention de La Haye par une « demande aux fins de signification ou de notification à l’étranger d’un acte judiciaire ou extra judiciaire » et tous les documents ont été envoyés au ministère chinois de la Justice en plus d’être publiés sur un site Internet spécifique.

Touché mais encore actif

Les sites ont été fermés dans les 48 heures après que la cours de justice de Virginie a délivré son ordonnance. Le mois dernier, le tribunal avait déjà tenu audience, ouvrant un jugement par défaut contre les prévenus non identifiés, et a octroyé le transfert du contrôle des domaines à Microsoft. L’entreprise indique dans son rapport qu’une injonction permanente est en cours. « Nous pensons que cela a effectivement porté un coup à Waledac, » a déclaré Adrienne Hall. Si les avocats ont travaillé sur le plan juridique, les experts techniques ont également attaqué Waledac. Microsoft a ainsi mobilisé une équipe de chercheurs en sécurité informatique qui ont infiltré le système de contrôle peer-to-peer de Waledac. Une fois à l’intérieur du réseau de zombies, ils ont détourné les machines infectées vers leurs serveurs, de manière à couper les cybercriminels de leur propre botnets.

Mais si Waledac a bien été touché, il reste encore actif, puisque le botnet arrive en 23ème position des sur l’ensemble de botnet détectées. Ce qui fait dire à Microsoft dans son rapport, que même après de nombreuses mesures juridiques et techniques, les botnets restent des adversaires difficiles à combattre.

Source: Le Monde Informatique

Auteur: jean Eylian – IDG news service

Microsoft et Net : PC infectés mis en quarantaine

Pour tacler plus efficacement les botnets, un chercheur en sécurité de Microsoft propose de mettre en quarantaine les ordinateurs infectés. Il souhaite un certificat de santé pour les ordinateurs désireux de se connecter à Internet.

La firme de Redmond se montre très active dans la lutte contre les réseaux d’ordinateurs zombies. Cette année, Microsoft a ainsi porté plainte contre des spammeurs utilisant le botnet Waledac et a sollicité le concours de la justice US pour ordonner à VeriSign la désactivation d’un peu moins de 300 noms de domaine Internet servant à assurer le contrôle-commande du botnet.

Microsoft a toutefois d’autres idées pour combattre les botnets et prône une approche plus globale mais aussi radicale du problème en s’inspirant du modèle de santé publique. Responsable Informatique de confiance chez Microsoft, Scott Charney estime que pare-feu, antivirus et mises à jours de sécurité automatiques réduisent les risques d’infection d’un ordinateur et donc ses chances de rejoindre un botnet, mais ce n’est pas suffisant.

Il propose la mise en place d’un certificat de santé qui sera à présenter par un ordinateur voulant se connecter à Internet. Ce certificat permettra de vérifier qu’un ordinateur dispose de solutions de sécurité à jour et correctement configurées, et n’est pas infecté par un malware. Le cas échéant, si le certificat révèle un problème de sécurité, le FAI enverrait une recommandation et dans certains cas irait jusqu’à limiter l’accès à Internet à l’ordinateur, sans toutefois un bannissement total afin que l’accès à quelques services soit toujours opérationnel.

 » Tout comme un individu qui n’est pas vacciné met en danger la santé des autres, les ordinateurs qui ne sont pas protégés ou qui ont été compromis avec un bot mettent les autres en danger et sont une grande menace pour la société « 

, écrit Scott Charney.

Une telle solution nécessiterait toutefois une grande collaboration à plusieurs niveaux, y compris l’intervention des gouvernements. C’est tout à fait possible selon Scott Charney qui cite en exemple Signal Spam pour la France. Reste de nombreuses questions sur le respect de la vie privée avec le type d’informations susceptibles d’être dévoilées par le certificat de sécurité. Quant à parler de privation d’accès à Internet, même partielle…

Source:  Génération NT

Spam : bientôt la fin du fléau ?

La chute de Waledac, qui envoyait 1,5 milliards de spam par jour, offre de nouvelles pistes à la lutte contre les pourriels.

« Il y a quelque chose de pourri au royaume du Net ».

Un Shakespeare moderne aurait beau jeu de lancer cette phrase, en consultant ses emails. Noyés dans les propositions de contrefaçon de montres et de « médicaments », entre le mot doux d’une conquête que vous ne vous connaissiez pas et cet homme qui veut absolument vous donner de l’argent, vous arrivez parfois à trouver un email ne demandant ni votre RIB, ni votre numéro de Carte Bleue.

La liberté de publier et d’envoyer ce qui nous plaît sans entraves est une base du Net. La neutralité du Net, c’est à dire le principe que vos données ne sont pas traitées différemment que celles d’une autre personne, en est une autre. Nous sommes théoriquement libres d’accéder à ce qu’il nous plaît et de recevoir ce que d’autres internautes jugent bon de nous envoyer, dans les mêmes conditions.

La gestion des noms de domaine, ce moyen d’humaniser les adresses, est aujourd’hui effectuée par l’ICANN, garant de la neutralité de la distribution de ces précieuses « étiquettes ». Un nom de domaine a un propriétaire, qui achète à l’année le droit de l’utiliser.

Cette liberté, qui a existé parce que les élites politiques comprenaient mal son importance, est aujourd’hui progressivement mise sous curatelle. Le plus grand pays du monde, la Chine, « protége » à l’aide de 30000 fonctionnaires les qualités de son Internet.

En France, comme d’ailleurs dans de nombreux autres pays, la lutte contre la pédopornographie sert de couvert pour des lois dont le large spectre d’action permet de diminuer l’efficacité des systèmes potentiellement nuisibles pour les droits d’auteur.

Un aspect positif plutôt imprévu de cette diminution des libertés, tant du point de vue légal que jurisprudentiel, vient de faire son apparition sous l’impulsion de Microsoft, une fois n’est pas coutume.

Les services de spam modernes se basent sur des botnets, des réseaux de dizaines de milliers d’ordinateurs mal protégés par leurs propriétaires et pilotés à distance depuis Internet. Waledac était un botnet réunissant plus de 70000 ordinateurs infectés.

Les virus, spams et autres nuisances visant principalement les systèmes d’exploitation de Microsoft, celui-ci a un intérêt commercial à diminuer le mal à sa source, pour améliorer l’image de ses produits.

Habituellement, pour enrayer le spam, qui se propage principalement par email, les fournisseurs de boîte mail bloquent les IP de certaines sources notoirement « mauvaises » : il s’agit de la liste noire. Les emails envoyés via cette source n’arrivent donc tout simplement pas à destination. Mais cette liste ne peut pas réellement contenir 70000 ou 80000 IP différentes, soit toutes les IP contrôlées par le botnet !

Sans l’ouvrir, et donc sans violer le secret des correspondances, il n’est pas aisé de savoir si un mail donné est un spam ou tout à fait utile. Le mal doit être donc coupé à la source, et c’est ce qu’a fait Microsoft, en amenuisant tout d’abord les communications des ordinateurs infectés.

Pour instaurer cette quarantaine, les communications P2P entre ordinateurs zombies, les noms de domaines correspondant au botnet et certains serveurs ont été visés. Cependant, cette situation ne permettait pas d’espérer que l’ordinateur de Mme Michou, non consciente de ce qui se passait, se voit administrer un antidote.

Pour enfin cibler précisément et directement les personnes et ordinateurs affectés, un dernier pas était nécessaire : un accord judiciaire. Avec le transfert de contrôle de 276 noms de domaine à Microsoft, par une procédure « d’ex parte » qui a empêché les propriétaires du botnet de… déménger en changeant de nom de domaine, donc d’adresse, cette énorme source de spam ne se relèvera pas.

Naturellement, Microsoft se félicite de cette action réussie, et en profite pour communiquer sur ses solutions de sécurité. Il faut bien rappeler que, si effectivement les solutions de Microsoft sont efficaces, de nombreuses solutions d’autres acteurs sont disponibles, à la vente, voire gratuitement…

L’on retiendra surtout que le spam a peut-être vécu son apogée cette année, que, jurisprudence aidant, il est probable que les botnets pourront désormais être attaqués de façon judiciaire et plus uniquement sur le front de la technologie… et que ce qui a été appliqué avec succès aux botnets risque fort d’être dupliqué contre les réseaux de peer to peer disposant d’un système nerveux central.
Source : Ariase