Aller au contenu

Torpig : visite du centre de commande d’un botnet

In English anglais

120px-pig_dsc039781
Torcochon ?

Non, il ne s'agit pas ici du virus de la grippe porcine. Des chercheurs de l'université de Santa Barbara en Californie ont publié un rapport rendant compte des observations qu'ils ont pu faire lors d'une prise de contrôle temporaire d'un système de commande du botnet Torpig.

Il s'agit d'un botnet basé sur un logiciel malveillant (Torpig/Sinowal/Anserin/Mebroot) affectant les systèmes Microsoft Windows. Il aurait été d'abord repéré (selon RSA) en février 2006 ou en juillet 2005 selon d'autres spécialistes. Cela fait donc bientôt quatre ans que ce cheval de Troie sévit, et toujours aussi activement !

Les conclusions du rapport des chercheurs de Santa Barbara, reprises dans un article chez ZDNet, sont que cet outil malveillant permet de collecter actuellement des millions de mots de passe, des milliers de numéros de carte bancaire ou d'identifiants d'accès à des comptes bancaires. Ces chercheurs ont mis en ligne une page de suivi de ce projet.

C'est un nouvel exemple (j'en parlais déjà voici quelques semaines) des techniques qu'il est nécessaire aujourd'hui d'utiliser pour collecter efficacement de l'information sur ces botnets : il est nécessaire de les pénétrer. Aujourd'hui, de tels modes de collecte de preuve restent purement et simplement illégaux.

3 thoughts on “Torpig : visite du centre de commande d’un botnet

  1. Cédric Pernet

    Merci Eric pour ce lien.

    Par contre, juste une petite remarque, Torpig a bien plusieurs alias, notamment Sinowal et Anserin. Par contre, Mebroot est différent. Mebroot est en effet un framework rootkit indépendant. La confusion est facile, dans le sens où depuis sa détection initiale, Mebroot n'a jamais "droppé" autre chose que le cheval de Troie Torpig. Néanmoins, il est envisageable qu'un jour Mebroot se mette à propager d'autres malware.

    Quant à la "nécessité de pénétrer des botnets", ce n'est pas le cas ici. Ces chercheurs ont simplement enregistré certains domaines avant les cybercriminels, et ont usurpé ainsi le command&control du botnet. Après, ce que je trouve beaucoup plus choquant d'un point de vue juridique, est le fait qu'ils soient allés fouiller dans la correspondance personnelles des victimes de Torpig.

    Répondre
    1. Eric Freyssinet

      Merci pour la remarque sur Mebroot.

      Sur l'interprétation de la "pénétration des botnets", le principe est que la loi pénale est technologiquement neutre (à quelques exceptions près). Donc quel que soit le subterfuge utilisé pour se placer au cœur du botnet, il s'agit bien d'une intrusion dans ce dispositif de commande du botnet : les chercheurs en ont bien l'intention, ils ont accompli un élément matériel (de surcroît collecté des données personnelles) et l'infraction existe. Donc c'est illégal. Pour un service d'enquête, en Europe cela aurait en plus une connotation de collecte déloyale de preuves. C'est pour ça par exemple, qu'il ne nous est pas possible de mettre en place des "pots de miel" pour collecter des preuves. C'est le même raisonnement juridique - et la jurisprudence - qui nous a contraints à demander au législateur de mettre en place le dispositif des cyberpatrouilleurs des articles 706-35-1 et 706-47-3 du code de procédure pénale, qui encadre l'investigation sous pseudonyme en matière d'atteintes aux mineurs, prostitution et traite des êtres humains par Internet. Des dispositions semblables, adaptées aux infractions d'atteintes aux STAD nous permettraient de faire des progrès et d'avoir des outils juridiques solides et efficaces.

      Répondre
  2. Ping : Torpig : visit of a botnet « Digital crime

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.