DNS Changer : anatomie d’une bombe à retardement

Pendant des années, des malfrats estoniens ont détourné la connexion Internet de millions d’internautes. Malgré leur arrestation, les machines infectées pourraient perdre sous peu leur accès au Web. Explications.

Faux entrepreneurs du Web mais vrais escrocs, l’Estonien Vladimir Tsastsin et ses complices avaient trouvé une combine pour s’enrichir rapidement : puisque la publicité en ligne est rémunérée en fonction du nombre de clics ou de vues, obligeons un maximum d’internautes à cliquer sur nos annonces ou à les voir. Comment ? En injectant dans leur ordinateur un petit logiciel malveillant : DNS Changer.

En cinq ans, selon les autorités américaines, les pirates seraient ainsi parvenus à amasser au moins 14 millions de dollars en infectant plus de 4 millions de machines dans 100 pays, dont la Belgique. Vladimir Tsastsin, 31 ans, et cinq autres Estoniens âgés de 26 à 33 ans ont été arrêtés en novembre dernier dans leur pays natal. S’ils sont extradés vers les Etats-Unis, des dizaines d’années de prison leur pendent au nez. Mais une menace plane toujours sur les millions d’internautes contaminés s’ils ne nettoient pas leur machine avant le 8 mars.

Contrairement aux virus, souvent tapageurs, le « cheval de Troie » DNS Changer agit en toute discrétion. A l’insu des internautes infectés, il redirige leur navigateur Internet vers des serveurs informatiques aux mains des pirates. Ceux-ci peuvent alors décider quelles pages Web s’afficheront sur leur PC ou leur Mac (lire l’encadré). Toute l’astuce consiste à proposer des pages suffisamment proches de l’originale pour désamorcer les soupçons. Les possibilités d’arnaques sont alors innombrables. Par exemple, des pirates pourraient mener l’internaute vers une copie du site de sa banque, où il encodera en toute confiance ses données personnelles…

La bande estonienne avait opté pour un type de fraude plus durable. Principe de base : une entreprise qui souhaite publier ses annonces sur le Net ne saurait s’adresser individuellement à la myriade de sites Web susceptibles de les accueillir. Elle passe par des intermédiaires qui se chargent de négocier avec les diffuseurs potentiels. Ces derniers seront ensuite rémunérés en fonction du nombre de clics récoltés ou du temps pendant lequel ils affichent les publicités. Au travers de sociétés-écrans, Tsastsin et sa bande ont noué une multitude de contrats destinés à diffuser ces annonces, vers lesquelles ils redirigeaient en douce les internautes. Sur les ordinateurs infectés, une recherche sur le mot « iTunes », logiciel phare d’Apple, affichait ainsi une fausse page de résultats renvoyant vers un site proche de la société éditrice, mais sans rapport avec elle. Une requête sur « amazon.com » conduisait à la page d’accueil du géant de la vente en ligne, mais dont les fenêtres publicitaires étaient remplacées par celles de « clients » des pirates. A chaque vue, à chaque clic, leur escarcelle se remplissait. Cling, cling, cling… Simple, efficace, difficile à détecter. Et très lucratif.

Gare aux sites pornographiques

Mais comment une poignée de pirates est-elle parvenue à corrompre des millions d’ordinateurs dans le monde ? Dans son acte d’accusation, un procureur fédéral new-yorkais évoque « la consultation de certains sites » et « le téléchargement sur certains sites de logiciels permettant aux victimes, entre autres, de visionner une vidéo ». Bref, la technique bien connue du faux codec : un utilisateur se rend sur un site, souvent pornographique, et voit s’afficher une fenêtre l’invitant à télécharger un petit fichier sans lequel son ordinateur sera incapable de lire les vidéos en ligne. Ce fichier, c’est bien sûr le logiciel malveillant. Sitôt installé, DNS Changer modifie les paramètres de l’ordinateur, mais cherche aussi à changer ceux du routeur d’où provient la connexion Internet. Le troyen connaît tous les mots de passe par défaut des principaux fabricants. S’il parvient à trouver la bonne combinaison, il infecte d’un coup tous les ordinateurs du réseau.

Les éditeurs d’antivirus connaissent depuis des années cette menace, ainsi que sa technique de propagation favorite. Mais une fois installé, le cheval de Troie bloque les mises à jour des antivirus et de Windows, ce qui le rend ensuite indétectable et expose son hôte à d’autres attaques virales. Pour preuve de sa redoutable efficacité, DNS Changer a frappé non seulement des légions d’internautes insouciants, mais aussi la moitié des entreprises du top 500 américain et plusieurs institutions gouvernementales. Dont la Nasa, l’agence spatiale des Etats-Unis ! Il ne fait jamais bon s’attaquer à de si gros poissons…

Le FBI a mis deux ans pour remonter la piste des escrocs. Au cours de cette opération baptisée « Ghost Click » (clic fantôme), le bureau fédéral d’investigation américain a pu compter sur l’aide d’une série de partenaires internationaux. Le 8 novembre, la police et les gardes-côtes estoniens ont coffré le gros de la bande dans la ville de Tartu, où était installé le siège de leur société mère, Rove digital. Pendant ce temps, aux Etats-Unis, le FBI s’emparait des centaines de serveurs que les pirates louaient à New York et à Chicago. C’est par ces ordinateurs que transitent toujours les requêtes Web des victimes de DNS Changer. Si on les débranchait, ces internautes perdraient aussitôt leur connexion. Aussi, un juge fédéral a autorisé le maintien des serveurs pendant cent vingt jours, le temps de prévenir les personnes et institutions concernées. Le délai arrive à échéance le 8 mars. Avec le décalage horaire, la déconnexion des serveurs pourrait se faire sentir en Europe dès la veille.

Pourquoi imposer un délai si court ? La justice américaine estime que ce n’est pas le rôle des autorités de gérer ces serveurs informatiques. Par ailleurs, on l’a dit, les ordinateurs infectés sont exposés à toutes les menaces. Beaucoup de risques qu’ils fassent partie d’autres botnets, ces réseaux d’ordinateurs « zombies » contrôlables à distance. « De plus, le fait que des connexions européennes passent par des ordinateurs américains pose des questions de confidentialité », précise Jan Torreele, directeur technique de la Computer Emergency Response Team belge (Cert.be).

Afin d’alerter les victimes belges, le Cert a mis en place un site Web permettant de vérifier si l’on est infecté. Il suffit de se connecter sur www.dns-ok.be. Si un « v » vert apparaît, tout va bien. Si c’est une croix rouge… Le plus simple est alors de contacter son fournisseur d’accès à Internet, qui indiquera la marche à suivre pour nettoyer l’ordinateur et restaurer ses paramètres de connexion. Combien de Belges ont-ils déjà vu apparaître la croix rouge ? Le Cert ne souhaite pas divulguer de statistiques avant la fin de l’opération, même si un bilan intermédiaire sera diffusé sous peu. Mais on sait déjà que la date butoir du 8 mars pourrait être repoussée. Aux Etats-Unis, les trois quarts des 500 000 ordinateurs touchés renferment toujours le cheval de Troie. Le gouvernement fédéral a donc demandé un nouveau délai de cent vingt jours, jusqu’au 9 juillet. Un juge doit encore se prononcer sur cette requête.

ETTORE RIZZA