Question à Club-Internet

J’ai sous les yeux un e-mail qui proviendraient du service Abuse de Club-Internet. Une abonnée au service l’a reçue le 20 septembre 2007 et m'appelle à l'aide. Une rapide recherche via Google me montre qu’il circulait déjà en 2005 et 2006. La teneur du message est suspecte, cela ressemble à une de ces nombreuses rumeurs annonçant l’arrivée d’un virus inconnu, terrifiant et indétectable.

Mettons nous quelques instants à la place d’un internaute recevant de la part de son fournisseur d’accès un message de ce type lui apprenant qu’un programme malveillant est sur sa machine et précisant :
Ce logiciel opère sur votre machine à votre insu, il est très difficile de le détecter. En effet, aucun anti-virus ne peut l'identifier ni l'éliminer.
Nous vous demandons de prendre toutes les mesures nécessaires afin d'éliminer cet Open Proxy de votre machine.
[…]
Ce problème résulte très souvent d'une infection virale sur votre ordinateur, nous vous recommandons de tester l'intégrité de votre ordinateur par le biais d'un antivirus en ligne, tel que celui disponible sur http://securite.club-internet.fr

Si ce message émane effectivement de Club Internet, il m’apparaît pour le moins étrange: après avoir indiqué que les anti-virus sont impuissants, il propose de passer... un anti-virus.

En cherchant les termes « open », « proxy » et « Club-Internet » sur de nombreux forums (dont ceux de Club-Internet) je découvre des dizaines de  messages en provenance d’utilisateurs en galère. Par contre, je ne trouve aucune réponse de la part de leur support. Joint par téléphone, ils préconiseraient un reformatage du disque !

J’espère que ces quelques lignes - qui ne se veulent pas agressives au dépend de Club-Internet – les feront réagir.
S’ils sont - comme je le suppose - à l’origine de ces messages, je me permets de leur proposer d’ajouter à leur courriel un lien vers une fiche technique explicative d’aide à la résolution du problème. Résolution ne passant pas par le reformatage !

NOTA :
Sur un PC familial, un « open proxy » n’est qu’un programme malveillant parmi d’autres. C’est un cheval de Troie qui peut parfois être protégé par un rootkit. L’open proxy est un serveur relais qui permet à des personnes non autorisées d’utiliser votre machine pour envoyer des mails. S’il a été associé à un rootkit, celui-ci le rend plus difficilement détectable.

Dans la plupart des cas, un anti-virus à jour est suffisant pour détecter et éliminer ce type d’intrus. Si l’on vous accuse, alors que votre anti-virus (à jour) ne détecte rien, il faudra vous résoudre à passer un logiciel anti-rootkit. McAfee propose Rootkit Detective. C’est un utilitaire gratuit disponible sur le lien : http://vil.nai.com/vil/stinger/rkstinger.aspx

Vous pouvez aussi vérifier l’intégrité de votre machine en recherchant des ports ouverts. Un outils de test est disponible sur le lien : http://www.richard.zonnet.nl/cgi-bin/nph-proxycheck

Pensez enfin à installer un pare-feu personnel !

La France à son tour la cible de l'armée chinoise ?

Mise à jour du 12 septembre 2007 (Source AFP):
Selon une source proche du dossier, parmi les cibles en France figurait le site internet du ministère de la Défense.
Mise à jour du 12 septembre 2007 (Source Universal Press Agency):
Des espions étrangers ont piraté les ordinateurs du gouvernement de Nouvelle Zélande.[...] de toute évidence, des gouvernements étrangers étaient responsables des attaques.
- - - - - - - - - - - - - - - - - - - - -
Depuis le mois d’août, la presse se faisait l’écho de possibles attaques informatiques menées par les militaires chinois au dépend de l'Allemagne (Der Spiegel, 27 août), des États-unis (FT.com, 3 septembre), et de la Grande-Bretagne (Guardian, 5 septembre). Samedi dernier (8 septembre), le journal Le Monde a ajouté la France à cette liste. Ses journalistes ont interrogé  Francis Delon, Secrétaire Général de la Défense Nationale (SGDN) qui a affirmé que des attaques similaires avaient commencées après l'élection présidentielle de Nicolas Sarkozy et qu’elles pouvaient avoir les mêmes origines.

L'implication de l'armée populaire chinoise, avancée dans les exemples américain ou britannique, n’est pour Francis Delon qu’une "hypothèse". Dans cet interview, il ne désigne pas clairement les responsables et reste très prudent. Il confirme simplement qu’un site chinois est impliqué : "Je ne suis pas en mesure de dire que ces attaques viennent du gouvernement chinois », « la particularité de ce type d'attaques, c'est qu'elles se font par rebonds". Mais, ajoute t’il, "on sait qu'il y avait un site chinois dans la boucle".

De son côté, la Chine organise des exercices axés sur les technologies de l’information. Le quotidien du peuple en ligne explique que certains de ces exercices actuels permettent "à nos soldats de découvrir et d'améliorer nos faiblesses en cette époque dominée par les technologies de l'information". Dans un même temps, elle dément toutes les rumeurs : son armée n’a jamais menée d’attaques contre des systèmes informatiques sensibles de pays étrangers (aujourdhuilachine, 7 septembre).

I’m DEranged, not suicidal!

Lundi dernier, VNUnet annonçait que Dan Egerstad, consultant en sécurité et animateur du site DEranged Security avait mis la main sur des données permettant de se connecter à des boites mails de personnels d'ambassades et d'agences gouvernementales (ambassade du Kazakhstan aux États-unis et en Russie, ambassade d'Inde aux États-unis, ambassade de Russie en Suède, etc.).

Dans son post, le chercheur précisait :

I’m not going to call the president of Iran and tell him that I got access to all their embassies. I’m DEranged, not suicidal! He has bombs and stuff…

Alors que ces données sont toujours disponibles sur le net, j'espère que les services de sécurité des pays concernés ont fait le nécessaire afin de protéger leur confidentialité.
Je ne suis pas plus suicidaire que Dan, mais la curiosité m'a poussé à aller regarder si la France était citée dans cette liste. J'ai pu constater qu'il était fait référence à l'ambassade et au consulat d'Uzbekistan à Paris.

Attaque de la Bank of India (suite)

Vendredi, je vous faisais part de l'attaque que subissait la Banque of India.

Pour les curieux, voici ici, le lien vers le blog de Dancho Danchev ; il contient de nombreuses informations intéressantes. Voici d'autre part une vidéo présentant le déroulement de l'attaque lors de la visite du site de la Bank Of India par un ordinateur non protégé. Elle est diffusée sur Youtube par Link Scanner Pro.