En tant que journaliste qui, pendant près de dix ans, a cherché à expliquer des sujets complexes de sécurité informatique à un large public, il est parfois difficile d’être pointilleux lorsque les principales publications d’actualités exagèrent une histoire de sécurité importante ou bousillent de petits détails : d’une part, la sécurité Internet reçoit si rarement plus qu’un traitement de surface dans les médias que l’attention accrue portée à la question semble souvent excuser l’essoufflement avec lequel les organes de presse couvrent ce qui peut sembler être des histoires inédites et exclusives.
Le problème avec cette ligne de pensée est qu’une histoire trop médiatisée a tendance à manquer de contexte important qui aide à encadrer la pièce de manière à la rendre plus pertinente, opportune et exploitable, par opposition à simplement sensationnelle.
le journal Wall Streetjeudi a publié des histoires peu critiques sur une découverte par NetWitnessune société de sécurité de Virginie du Nord qui a passé un certain temps à détailler l’étendue des infections par un seul botnet composé de PC infectés par Zeus, un cheval de Troie voleur de mot de passe qui permet aux criminels de contrôler les systèmes à distance. NetWitness a découvert que cette variante particulière du botnet, baptisée « Kneber », avait envahi plus de 2 500 entreprises et 75 000 ordinateurs dans le monde.
Le titre du Post : Plus de 75 000 systèmes informatiques piratés dans l’une des plus grandes cyberattaques, selon une société de sécurité.
Du WSJ : Nouvelle attaque de piratage de grande envergure détectée : une offensive mondiale a bloqué les données d’entreprise et personnelles de près de 2 500 entreprises : l’opération est toujours en cours.
La couverture de Yahoo! nous dit, Effrayante offensive mondiale de piratage enfin dévoilée.
Après une journée à esquiver d’innombrables personnes chargées des relations publiques qui ont demandé à leurs experts de s’attaquer à l’histoire, j’ai finalement décidé d’ajouter mes deux cents quand j’ai entendu ce joyau du PBS Newshour avec Jim Lehrer: « Un nouveau cas majeur de piratage informatique a été découvert. Un virus connu sous le nom de botnet ont envahi les ordinateurs et les ont utilisés pour voler des données à partir de systèmes commerciaux et gouvernementaux. Entre autres choses, les pirates ont eu accès aux systèmes de messagerie électronique et aux services bancaires en ligne. »
Sans rien enlever à NetWitness, dont j’ai utilisé et admiré le logiciel d’investigation réseau. En outre, la société dispose d’une belle écurie de chercheurs en sécurité et est dirigée par pas moins de Amit Yoranun geek perspicace qui était auparavant le plus haut responsable du cyber département de la Sécurité intérieure.
Et NetWitness a chronométré ses recherches de manière magistrale, publiant ses découvertes comme il l’a fait peu de temps après nouvelles que Google et de nombreuses autres grandes entreprises financières, énergétiques, de défense, technologiques et médiatiques avaient été compromises par une attaque informatique furtive.
La Poste Ellen Nakashima nous dit : « ..il est significatif… dans son ampleur et dans sa démonstration apparente que la sophistication des cyberattaques des groupes criminels se rapproche de celle d’États-nations tels que la Chine et la Russie ».
Malheureusement, ce botnet documenté par NetWitness n’est ni inhabituel ni nouveau. Au cours des dernières années, à tout moment, le nombre de botnets ZeuS distincts a oscillé par centaines. À l’heure actuelle, il existe près de 700 centres de commande et de contrôle en ligne pour les botnets ZeuS dans le monde entier, selon ZeuStrackerun site Web qui garde un œil sur la menace mondiale de ZeuS.
Il est vrai que tous les botnets ZeuS distincts n’ont pas 75 000 machines infectées sous leur emprise, mais ce n’est en fait pas si rare, et certains ont beaucoup plus de systèmes sous leur contrôle. L’été dernier j’ai écrit au sujet de un botnet ZeuS d’environ 100 000 systèmes infectés dont les seigneurs (ou ennemis) ont exercé la fonction « tuer le système d’exploitation » intégrée au code du botnet, ordonnant à tous les ordinateurs infectés de se rendre non démarrables et à toutes fins inutilisables par les méchants ou le propriétaires légitimes des machines.
Jetez un coup d’œil à l’intérieur de toutes les piles monstrueuses de données volées que ces botnets transforment chaque jour et il y a de fortes chances que vous trouviez des victimes similaires, comme indiqué dans l’article de Kneber : des ordinateurs infectés dans des dizaines d’institutions gouvernementales, militaires et éducatives, ainsi que dans de nombreux les plus grandes entreprises du monde.
En 2007, j’ai écrit un article pour le blog Security Fix du Washington Post intitulé Traquer les voleurs de mots de passe, dans lequel je me suis penché sur les données volées par un seul botnet qui avait infecté quelque 3 221 victimes américaines. Dans cet échantillon relativement minuscule, j’ai trouvé des machines infectées dans les systèmes du gouvernement américain (ministère de l’Énergie), des institutions financières (Bank of America) et de nombreuses entreprises du Fortune 50, dont IBM, Amgen et Merck (cette dernière a été retrouvée dans le Le botnet ZeuS disséqué par NetWitness).
Au fait, le nom du logiciel malveillant voleur de mots de passe que j’ai suivi dans cette histoire il y a trois ans ? « WSNPoem », pseudonyme du cheval de Troie ZeuS.
Le premier signe qu’une histoire pourrait être surestimée est généralement lorsqu’elle est minimisée par certaines des plus grandes sociétés de sécurité au monde, telles que McAfee et Symantec. Ce sont des entreprises que les critiques accusent souvent d’encourager l’hystérie face aux menaces de sécurité informatique afin d’augmenter les ventes de leurs produits et services.
Mais les deux entreprises ont aujourd’hui cherché à dissuader les gens et à assurer aux clients que la menace n’était – bien que sérieuse – rien de nouveau.
« Dans le monde de la cybersécurité, le botnet « kneber » n’est malheureusement qu’un autre botnet. Avec 75 000 machines infectées, Kneber n’est même pas si gros, il y a des botnets beaucoup plus gros », a déclaré McAfee dans un communiqué écrit. « Kneber est basé sur le cheval de Troie « Zeus », un logiciel malveillant connu des sociétés de sécurité. Dans notre rapport sur les menaces du quatrième trimestre 2009 récemment publié, nous avons constaté qu’au cours des trois derniers mois de 2009, un peu moins de quatre millions de machines nouvellement infectées ont rejoint les botnets.
Symantec a également minimisé la menace :
« Kneber, en réalité, n’est pas du tout une nouvelle menace, mais simplement un pseudonyme du tristement célèbre et bien connu cheval de Troie Zeus. Le nom Kneber fait simplement référence à un groupe particulier, ou troupeau, d’ordinateurs zombies, alias bots, contrôlés par un seul propriétaire. Le cheval de Troie lui-même est le même Trojan.Zbot, qui porte également le nom de Zeus, qui est observé, analysé et protégé depuis un certain temps maintenant.
Je suis peut-être un peu plus proche de ce botnet particulier que la plupart : après tout, j’ai écrit des dizaines de histoires au cours des neuf derniers mois sur les exploits des criminels organisés utilisant ZeuS pour voler des dizaines de millions de dollars à des petites et moyennes entreprises, des gouvernements et des organisations à but non lucratif.
Ce n’est là qu’une partie du contexte qu’il aurait été agréable de voir dans n’importe quel traitement de cette recherche par la presse grand public. D’où je suis, les histoires de sécurité qui manquent de contexte approprié ont tendance à sonner creux et à gâcher d’importantes opportunités de sensibilisation à l’ampleur, à la portée et à l’impact réel de ces menaces.