[by LaMenta3 - CC-BY-SA]

Cloud ou Grid Computing ?

Le Cloud Computing (i.e informatique dans les nuages) et le Grid Computing (i.e Grille informatique) sont deux notions proches mais qui possèdent certaines divergences. En effet, le premier consiste à rassembler de manière logique les ressources de milliers de machines homogènes alors que le second s'applique à créer une infrastructure virtuelle basée sur des milliers de machines hétérogènes. Pour plus de commodité, j'emploierai le terme "cloud".

White vs Black Clouds

Lors d'une conférence, Rodney Joffe de Neustar a annoncé des chiffres impressionnants. Commençons par ce que j'appellerai les White Clouds :

Rackspace

  • 65 000 machines
  • 130 000 CPU
  • Bande passante : 300 GB/s

Amazon

  • 160 000 machines
  • 320 000 CPU
  • Bande passante : 400 GB/s

Google

  • 500 000 machines
  • 1 million de CPU
  • Bande passante : 1,5 TB/s

Maintenant, regardons les chiffres du fameux Black Cloud :

Conficker

  • 6.4 millions de machines (230 pays)
  • 18 millions CPU
  • Bande passante : 28 TB/s

Ainsi, le réseau de botnets Conficker est 18 fois plus puissant que le géant Google. Ces millions de machines infectées (botnets) servent essentiellement à l'envoi de spam, à réaliser des attaques DDOS (déni de service) ou encore à la récupération de données confidentielles. Selon F-Secure, le réseau Conficker possèderait même près de 9 millions de machines avec près de 354 000 adresses IP uniques.

Qu'est-ce que Conficker ?

Conficker est un ver qui s'infiltre via une faille Windows touchant toute la suite Microsoft (2000, XP, Vista, 7, server 2003, server 2008), principalement XP, colmatée depuis le 23 octobre 2008 (patch MS08-067). La faille permet au ver de se connecter via le port TCP 445 et d'outrepasser l'authentification en utilisant le protocole RPC (Remote Procedure Call). Après un scan des PC's non-patchés, le ver peut se répandre à une vitesse exponentielle. La force du ver est de savoir s'adapter à la machine pour pouvoir mieux l'infecter. Il pourra ainsi profiter d'une faille du service svchost.exe, s'installer depuis un périphérique amovible, casser le mot de passe de l'utilisateur via un dictionnaire "bruteforce" intégré.

Son fonctionnement

Une fois installé dans la machine, il agit en désactivant les défenses immunitaires de l'hôte : désactivation, entre autres, de Windows update et du centre de sécurité Windows. Ensuite, il bloque l'accès au site Windows Update et aux serveurs des anti-virus (pour empêcher la récupération des dernières listes de définition). Le ver Conficker reçoit ensuite des instructions depuis des serveurs pseudo-aléatoires ou en utilisant le protocole P2P pour se mettre à jour (et évoluer de la version A aux versions B, C, D et E). Une analyse intéressante (en) montre, entre autres, que le ver s'est surtout répandu dans des zones géographiques où la majorité des utilisateurs ont une version "pirate" de leur OS Windows, leur empêchant souvent d'effectuer les mises à jour sur Windows Update. De plus, on apprend que le ver possède plusieurs couches pour obfusquer son code source original et éviter que certaines personnes comprenne son mécanisme de fonctionnement.

En cela, le parallèle avec les virus organiques est intéressant : le ver Conficker peut muter, court-circuiter son hôte d'accueil en désactivant le système immunitaire, comme pourrait le faire le virus du Sida.

Etes-vous infectés ?

Pour savoir si vous êtes infectés par Conficker A / B / C+, vous pouvez suivre ce lien. Si vous ne voyez pas les logos des sociétés d'anti-virus, c'est que Conficker a bloqué l'accès à ces sites pour vous empêcher de récupérer la bonne mise à jour.

Bref, patchez votre système, scannez votre machine avec les dernières bases de définition....ou changez d'OS !

Poursuivre votre lecture sur le site