Même pas peur du 7 mars
Les ordinateurs belges à la merci d'un virus de type "DNS-changer" le 7 mars ? Pas de problème pour les clients d'Uniwan.be. En savoir plus en lisant la note technique ci-dessous rédigée par Jean-Marc ANDRE (General Manager d'Uniwan.be) ou en téléchargement.
Avec un accès au réseau sécurisé par un Firewall et une solution de protection globale des utilisateurs sur ordinateurs, tablettes, serveurs et smartphones; le tout géré centralement, nos clients ne risquent pas de devenir des hackers "sans le savoir".
En savoir plus sur la solution de protection "Firewall" ou protection globale des utilisateurs et bénéficiez de notre offre promotionnelle pour les professionnels!
UPDATED !!! Les serveurs provisoires sur lesquels les ordinateurs infectés par le virus “DNS Changer” sont redirigés seront maintenus en activité jusqu’au 9 juillet 2012 suite à une décision d’un tribunal américain.
Le danger avait été écarté par le FBI qui avait neutralisé le virus mais laissé les serveurs, sur lesquels les gens étaient redirigés, actifs jusqu’au 7 mars. Date après laquelle les ordinateurs infectés seraient privés d’accès au net.
Le 5 mars, cette date a été repoussée jusqu’au 9 juillet 2012 suite à une décision d’un tribunal américain.
Aurais-je encore accès à Internet après le 9 juillet ?
Par Jean-Marc ANDRE, General Manager UNIWAN.BE
Introduction
Suite une annonce du FBI, certains pensent que l'Internet pourrait bien se retrouver à l'arrêt ou en tous cas aux prises des pirates du web (cfr http://www.fbi.gov/news/stories/2011/november/malware_110911).
Pourquoi ce vent de panique ?
Depuis 2007, les cybercriminels déploient des malwares (code malveillant) ayant pour but de rediriger les internautes vers des sites pirates pour voler à leur insu toute une série de données "monnayables".
Cette famille de malware appelée "DNSChanger" aurait infecté plus de 4 millions d'ordinateurs dans plus de 100 pays.
Ce logiciel malveillant s'est attaqué aux ordinateurs de particuliers, la moitié du top 500 des entreprises et des organisations gouvernementales comme la NASA.
Depuis l'origine de ce problème en 2006, un nombre important de groupes se sont créés pour lutter contre ce fléaux avec à leur tête, la NASA, le CERT (voir explication plus bas) et le FBI.
Le FBI a donc lancé une investigation appelée "Ghost Click" qui a eu pour but d'une part de protéger les internautes en remplaçant les serveurs des pirates (rogue DNS) sur la toile par des serveurs sains et d'autre part de démanteler ce botnet (réseau de robots).
C'est le 9 novembre 2011 que le FBI a annoncé d'avoir arrêté six pirates estoniens membres du groupe "Rove Digital" à l'origine de ce recel organisé qui aurait rapporté plus de 14 millions de Dollars à leurs auteurs.
Durant cette conférence, le FBI a annoncé avoir démantelé un nombre important des serveurs pirates grâce notamment aux analyses effectuées sur les serveurs DNS "sains" placés sur ordre de justice du FBI par l'ISC (Internet System Consortium http://www.isc.org/ ) dans les Datacenter du réseau "Rove Digital".
Les serveurs du FBI "tournent" depuis des années et maintenant que les serveurs des pirates ont été déconnectés, le FBI annonce que leurs serveurs vont être arrêtés.
Le problème est là, la conséquence de l'arrêt des serveurs du FBI pourrait bien priver des millions d'internautes de leur accès à Internet, fini le web, le mail, les réseaux sociaux, et tout ce qui dépend de l'Internet.
En Belgique, le groupe CERT.BE est géré par BELNET (le service réseau des administrations et universités), le FEDICT (service fédéral des Technologies de l'Information et de la Communication) et l'IBPT (Institut Belge des services postaux et télécommunications).
Grâce au CERT, vous pouvez facilement vérifier si vous êtes "infecté" par un Malware de type "DNSCHANGER" en visitant le site http://www.dns-ok.be/ ou les sites d'autres nationalités (www.dns-ok.<pays>).
Ces sites dns-ok sont à l'origine du développement du groupe de travail appelé DCWG ( http://dcwg.org/ ) , le site original de test se trouve ici: http://dcwg.org/checkup.html.
Le groupe ISC.org a récemment demandé au FBI de maintenir les serveurs "sains" encore 120 jours suite à la médiatisation de DNSCHANGER
Que faut-il en penser ?
C'est la plus importante opération de cybercriminalité de l'histoire et elle démontre que nous entrons dans l'ère de la "Cyberwar" où les gouvernements occidentaux s'associent pour résister contre les cyber-terroristes.
Les exemples s'accumulent, après le FBI, c'est Interpol, récemment qui vient d'annoncer l'arrestation de 25 suspects du collectif de hacking Anonymous (cfr http://thehackernews.com/2012/02/interpol-tangodown-suspected-25.html)
Le monde de l'internet à compris très tôt le danger potentiel du kidnapping du réseau des réseaux par ses DNS ou par ses routeurs.
A l'origine, il y avait le DARPANET, ce réseau militaire puis universitaire qui, avant de devenir l'Internet, avait été attaqué par le premier virus (ver) de Robert Morris (Morris Worm) en 1988…
Le gouvernement US a compris alors l'urgence de mettre en place des services de prévention, c'est ainsi que furent créé le CERT, le SANS et le MITRE fin des années 80.
Ces initiatives sont maintenant suivies par d’autres nations dont la Belgique qui opère via Cert.be depuis 2003.
Les éditeurs de logiciels et matériels de sécurité sont aussi impliqués dans la prévention des problèmes de sécurité, l'opération "Ghost Click" en fut la démonstration.
Bref, tout est fait pour vous protéger, mais encore faut-il suivre toutes ces recommandations qui sont généralement plus à la portée des professionnels du métier.
Néanmoins, un nouveau comportement s'impose, car vous ne pouvez plus ignorer la menace de perdre ou d'exposer vos données privées ou professionnelles, à des groupes de cyber criminalistes qui en tireront un profit facile.
Retenez, une chose: maintenant le pirate c'est vous !
Que faire ?
Si vous ne voulez pas devenir un pirate à votre insu, adoptez une série de précautions.
Ne cédez pas au téléchargement illégal, c'est là que dorment la majorité des Malware et autres Virus qui permettront aux pirates de prendre possession de votre machine quel qu'en soit l'OS (windows, Linux, Mac, IOS, Android) ou l'équipement (pc, laptop, smartphone, tablette).
Protégez vos systèmes par mot de passe suffisamment complexe (minimum 6 caractères avec un mélange de chiffres et de lettres ou caractères spéciaux comme: "LaFr1t3à1€").
Maintenez vos systèmes à jour (windows-update, mac softupdate,…), ne ratez pas une mise à jour car elles concernent à 90% des mises à jour de sécurité.
Ne répondez pas aux questions suspectes sur Internet, du genre "votre pc n'est pas protégé, cliquez ici" ou "téléchargez gratuitement cet antivirus".
Ayez un système de protection de votre machine totalement à jour.
Prenez compte de la valeur de vos données, prenez les mesures qui s'imposent (backup, encryption).
Ne mélangez pas vie privée et vie professionnelle sur vos machines, vous risquez de ramener au boulot des codes malicieux.
N'installez pas n'importe quoi sur votre machine, refusez les propositions d'application, choisissez-les en "âme et conscience", sur une machine pro, ce droit devrait normalement vous être enlevé.
Il va de même sur les nouveaux terminaux mobiles, les smartphones et tablettes sont les nouvelles cibles des pirates.
Faites confiance à de vrais professionnels de la sécurité, disposant des certifications et accréditation capable de vous aider à tout moment.
Que se passe-t-il si je suis infecté ?
C'est simple, votre machine ne vous appartient plus !
Vous ne pourrez plus avoir confiance à votre navigateur web, chaque site pourrait être celui du pirate et pas celui que vous pensez.
Pendant que vous êtes connecté à votre banque, le logiciel espion présent dans votre machine pourra capturer les infos de votre compte, voir même effectuer quelques virements supplémentaires.
Plus rien ne fonctionnera correctement, les mises à jour ne pourront plus se faire et pire au lieu de mettre à jour votre OS et votre antivirus, le pirate mettra à jour ses logiciels espions.
Vous voilà donc victime mais aussi complice du pirate, car tout échange de mail, de clé USB, de visite d'autres sites web, d'accès aux serveurs de l'entreprise seront autant d'occasion pour le pirate d'organiser des attaques à l'aide de votre machine et de vos doigts !
Si votre machine ralenti anormalement, si les mises à jour ne se font plus, vous êtes peut être infecté.
Appelez le helpdesk !
Comment Uniwan peut-il m'aider ?
Uniwan est une société Wallonne créée en 2003 par quelques consultants issus des métiers de la sécurité et des techniques Open Source.
Uniwan opère depuis Pont-à-Celles avec son service desk disponible 24h/24 et 365 jours par an.
Uniwan a mis en place toute une infrastructure pour servir ses clients en matière de télésurveillance, backup, firewall, antivirus, support.
Nous disposons d'une offre MSSP (Managed Security Service Provider) accessible du meilleur datacenter d'Europe: Interxion.
Cette offre nous permet de vous proposer de nous sous-traiter la gestion de votre sécurité en ligne.
Chaque solution est gérée centralement, backupée, surveillée et maintenue par nos services.
Plus besoin de s'y connaitre en gestion de firewall, endpoint-security ou backup, Uniwan s'occupe de tout.
De cette façon la sécurité de vos postes, smartphones et serveurs est garantie, nous y veillons en permanence.
De notre console centrale, nous avons une vue globale sur ce qui se passe dans vos machines et équipements en temps réel.
C'est ainsi que par rapport à DNSCHANGER, Uniwan a implémenté en un temps record les règles de sécurité dans les équipements protégés et gérés par Uniwan.
Nous pouvons détecter pour vous, si vos machines ne se mettent plus à jour, si elles sont infectées ou s’il y a le moindre comportement suspect.
Ce service est fort demandé, c'est pourquoi, nous avons lancé une offre promotionnelle pour le mois de mars que vous retrouverez sur notre site web : http://www.uniwan.be.
L'offre est composée d'un firewall d'entreprise (boîtier) et d'un logiciel de sécurité géré, monitoré, backupé par Uniwan.
De cette façon, vous pourrez vous concentrer sur votre business et vous dire que l'approche du 7 mars ne vous fait pas peur et que vous êtes prêt à affronter la "CyberWorldWar"
Comment fonctionne DNSCHANGER ?
Les malware de type "dnschanger" vont placer du code malveillant démarrant avec votre pc par tous les moyens connus (autorun.inf, base de registre, point de backup, service,…)
Ce code malicieux rendra les mises à jour du système d'exploitation et de l’antivirus ou autres produits de sécurités inefficaces.
Le paramétrage DNS de vos cartes réseau sera remplacé par des IP situées dans les bornes suivantes:
67.210.0.0 à 67.210.15.255
93.188.160.0 à 93.188.167.255
77.67.83.0 à 77.67.83.255
213.109.64.0 à 213.109.79.255
64.28.176.0 à 64.28.191.255
Vous devez donc remettre à la place les DNS de votre ISP.
Le fonctionnement de DNSCHANGER est décrit ici:
http://www.dns-ok.be/dnschanger_fr.html
Les procédures à suivre sont décrites ici :
Après avoir changé les DNS, n'oubliez pas de passer votre PC sur un scanner en ligne à partir du mode "sans échec" avec support réseau.
Où sont les serveurs ?
Source: http://geomaplookup.net/
