.J'ai fait part à plusieurs reprises, de l’importance d’appliquer une mise à jour exceptionnelle publiée par l’éditeur Microsoft. Cette mise à jour sans délai était justifiée par la dangerosité de la vulnérabilité découverte.
.
Plusieurs programmes malveillants exploitant cette vulnérabilité ont depuis été identifiés dont le plus connu est le ver Conficker. Ce ver s’est massivement propagé sur l’Internet depuis fin novembre 2008 et le nombre total de machines compromises au niveau mondial est évalué à plusieurs millions.
.
Plusieurs variantes de ce code sont également apparues : après Conficker A (première souche) sont apparus Conficker B, B++, C puis D. Chaque version se distingue de la précédente par de nouvelles fonctions ou par l’optimisation de fonctions existantes.
.
Cette évolution permanente renforce encore davantage la dangerosité potentielle de ce code malveillant. Au fil du temps, un important réseau s’est constitué et se met à jour (des cas de passage de la version B vers la version D ont ainsi été identifiés), même si des solutions efficaces d’éradication sont régulièrement proposées.
.
La prochaine phase pourrait être l’activation de ce réseau de machines compromises : une machine infectée par le ver Conficker pourrait alors servir à mener différentes attaques sans aucune action de l’utilisateur : suppression ou altération du système d’exploitation - ou de fichiers sur la machine, vol de données personnelles, hébergement de contenus illicites, participation à des attaques informatiques …
.
La seule solution efficace pour protéger sa machine de la compromission par les différentes variantes de ce code reste l’application du correctif de sécurité de Microsoft sur une machine saine (cf procédure détaillée ci-dessous) et l’application de bonnes pratiques.
.
Si cela n’a pas encore été fait, nous vous recommandons une nouvelle fois de mettre en œuvre les mesures suivantes :
.
Détecter et supprimer le code malveillant
.
Cette opération doit impérativement être menée avant l’application du correctif de sécurité.
.
Microsoft met à votre disposition un outil de détection et de suppression du code malveillant que vous pouvez télécharger librement à l’adresse suivante :
.
Outil Microsoft de suppression des codes malveillants (dont Conficker)
.
Si vous rencontrez une difficulté lors du téléchargement de ces logiciels, cela peut provenir de l’infection de votre ordinateur par le code malveillant. Il faut alors télécharger l’outil de suppression depuis un autre ordinateur.
.
Certaines versions récentes de Conficker empêchent l’outil de Microsoft de s’exécuter : dans ce cas, il suffit de le renommer avant de l’exécuter.
.
Une fois cette opération effectuée, vous pourrez alors appliquer le correctif (cf. étapes ci-dessous) et appliquer des mesures complémentaires.
.
.
Pour les particuliers
.
Si votre ordinateur ne bénéficie pas des mises à jour automatiques ou si ce n’est déjà fait, appliquez le correctif de sécurité de Microsoft
.
.
Pour ceux qui voudraient aller plus loin :
.
Changez le mot de passe par défaut de l’interface de configuration des "box" (ou modem ADSL) ; Vérifiez que les pare-feux personnels n’autorisent pas de connexion entrante sur le port 445 notamment ;
Utiliser votre ordinateur avec un compte limité en droit ;
Conficker utilisant les supports amovibles, pensez à ne pas connecter une clé USB d’origine inconnue sur votre machine ;
Choisir de bons mot de passe.
.
.
Pour les PME
.
Appliquez le correctif de sécurité de Microsoft ;
Vérifiez la configuration des routeurs d’accès à l’Internet (ou modem ADSL) afin d’interdire des connexions entrantes sur le port 445 ;
Changez, si ce n’est déjà fait, la configuration par défaut de ces équipements (en particulier le mot de passe administrateur).
.
Pour aller plus loin, notamment pour protéger un réseau local
.
Egger Ph.