L’extradition des cerveaux accusés progresse
Des millions d’ordinateurs infectés par le furtif et tenace Cheval de Troie DNSChanger pourrait être épargnée par une déconnexion planifiée d’Internet au début du mois prochain si un tribunal de New York approuve une nouvelle demande du gouvernement américain. Pendant ce temps, six hommes accusés d’avoir géré et profité de l’énorme collection d’ordinateurs piratés devraient bientôt être extradés de leur Estonie natale pour faire face à des accusations aux États-Unis.
DNSChanger modifie les paramètres d’un PC hôte qui indiquent à l’ordinateur comment trouver des sites Web sur Internet, détournant les résultats de recherche des victimes et les empêchant de visiter des sites de sécurité qui pourraient aider à détecter et à nettoyer les infections. Les serveurs Internet utilisés pour contrôler les ordinateurs infectés étaient situés aux États-Unis et, en coordination avec l’arrestation des hommes estoniens en novembre, un tribunal de district de New York a ordonné à une société privée américaine de prendre le contrôle de ces serveurs. Le gouvernement a fait valoir que l’arrangement donnerait aux FAI et aux entreprises le temps d’identifier et de nettoyer les PC infectés, des systèmes qui seraient autrement déconnectés d’Internet si les serveurs de contrôle étaient arrêtés. Le tribunal a accepté et a ordonné que les serveurs de contrôle de substitution restent opérationnels jusqu’au 8 mars.
Mais plus tôt ce mois-ci, la société de sécurité Internet Identity a révélé que le processus de nettoyage prenait beaucoup plus de temps que prévu : la société a déclaré que plus de 3 millions de systèmes dans le monde – 500 000 aux États-Unis – restent infectés par le cheval de Troie, et qu’au moins une instance du cheval de Troie fonctionnait toujours sur les ordinateurs de 50 % des entreprises du Fortune 500 et de la moitié de toutes les agences gouvernementales américaines. Cela signifie que si la date limite actuelle tient, des millions de PC seront probablement coupés du Web le 8 mars.
Dans un dossier déposé le 17 février auprès du tribunal de district américain du district sud de New York, des responsables du Département américain de la justicela Procureur américain pour le district sud de New Yorket Nasa a demandé au tribunal de prolonger de plus de quatre mois le délai du 8 mars pour donner aux FAI, aux entreprises privées et au gouvernement plus de temps pour nettoyer le gâchis. Le gouvernement a demandé que les serveurs de substitution soient autorisés à rester en activité jusqu’au 9 juillet 2012. Le tribunal n’a pas encore statué sur la demande, dont une copie est disponible ici (PDF).
Tout le monde ne pense pas que prolonger le délai est le meilleur moyen de résoudre la situation. En fait, les gens soucieux de la sécurité semblent fermement opposés à cette idée. KrebOnSecurity a mené un sondage non scientifique plus tôt ce mois-ci, demandant aux lecteurs s’ils pensaient que le gouvernement devrait donner aux utilisateurs concernés plus de temps pour nettoyer les infections des logiciels malveillants, qui peuvent être exceptionnellement difficiles à supprimer. Près de 1 400 lecteurs ont répondu que forcer les gens à respecter le délai actuel était la meilleure approche. L’opinion écrasante (~ 9: 1) était contre la prolongation de la date limite du 8 mars.
Les lecteurs de BreachTrace ont voté presque 9 contre 1 contre l’idée de prolonger la date limite du 8 mars.
Par ailleurs, les six hommes estoniens arrêtés et accusés d’avoir construit et profité du botnet DNSChanger devraient être extradés pour faire face à des accusations d’intrusion informatique et de complot aux États-Unis. Selon le Actualités des entreprises baltes, un tribunal estonien a décidé la semaine dernière que le pays peut extrader quatre des six (deux ont déjà été autorisés à être extradés). L’histoire note que la décision finale sur l’extradition sera prise par le gouvernement estonien après l’entrée en vigueur de la décision du tribunal, mais des sources proches de l’enquête affirment que les extraditions sont pratiquement assurées.
Image reproduite avec l’aimable autorisation d’Eesti Päevaleht.
Parmi ceux qui risquent une extradition certaine se trouve le meneur présumé du groupe, Vladimir Tsastsine, qui a dirigé pendant de nombreuses années une société d’enregistrement de domaine appelée EstDomains, très appréciée des cybercriminels. En 2008, JE PEUXl’organisation à but non lucratif qui supervise le secteur de l’enregistrement de domaines, a révoqué le contrat d’EstDomains pour vendre de nouveaux noms de domaine, citant l’antériorité de Tsastsin accusation criminelle pour faux, blanchiment d’argent et fraude à la carte bancaire.
Tsastsin et les cinq autres auraient gagné au moins 14 millions de dollars en vendant du trafic de recherche détourné de PC infectés à des annonceurs, et en échangeant des publicités affichées sur des sites populaires avec leurs propres publicités. Le gouvernement affirme que Tsastsin a blanchi les gains mal acquis en achetant des dizaines de voitures et de propriétés immobilières, y compris un certain nombre de terrains vides. L’infographie ci-dessus, publiée par Eesti Päevaleht — Le plus grand média quotidien d’Estonie — montre certaines des propriétés que Tsastsin (en bas à droite) et ses compatriotes auraient achetées avec les fonds gagnés grâce aux activités du cheval de Troie DNSChanger.
Une copie des actes d’accusation rendus contre Tsastsin et d’autres est disponible ici (PDF).