Spam, le grand retour ?

par Sébastien Delahaye

tags : e-mail , spam , sécurité

Trafic réseau des ordinateurs infectés par le botnet Srizbi. Image FireEye.

Il y a deux semaines, le spam mondial se cassait la gueule avec la mise hors ligne de McColo Corp, un hébergeur américain pas très regardant, qui servait de base d’opérations à de nombreux spammeurs. McColo hébergeait notamment les serveurs dirigeant plusieurs botnets (des réseaux de PC « zombies », infectés par un virus et qui redistribuent ensuite, à l’insu de leur propriétaire, des torrents de spam). Une fois les serveurs hors ligne, les machines « zombies » étaient privées d’instructions, et devenaient de fait inoffensives. Les serveurs des principaux botnets ont hélas fini par retrouver le chemin du net, et à réactiver leurs campagnes de spamming.

Rustock et Srizbi, les deux principaux réseaux de botnets hébergés par McColo, ont cependant eu bien du mal à revenir en ligne. Rustock, qui dirige environ 150 000 machines « zombies » dans le monde, a bénéficié d’un coup de chance : la reconnexion, pour quelques heures, de McColo Corp chez un fournisseur d’accès suédois. Cette brève remise en ligne a été suffisante pour que les spammeurs déplacent le cœur de leur réseau et remettent en branle leur machine de pollution des boîtes mail.

Pour Srizbi, le retour en ligne est le résultat d’une bataille avec une entreprise de sécurité informatique, FireEye. Selon FireEye, Srizbi a infecté plus de 450 000 machines dans le monde. Et, surtout, dispose d’un mécanisme qui permet au botnet de continuer à fonctionner même si le serveur dirigeant l’ensemble devenait inaccessible. En clair, chaque machine infectée est programmée pour prendre ses instruction sur un autre site au cas où le serveur hébergé chez McColo est hors ligne. Les auteurs de Srizbi ont même poussé le vice jusqu’à imaginer des centaines de possibilités de sites où se connecter, chacun avec un nom de domaine exotique (dppdrpqd.com, par exemple).

Ce mécanisme aurait dû permettre à Srizbi de rester opérationnel en permanence malgré la coupure de l’hébergement chez McColo... Mais c’était sans compter FireEye, qui a décrypté le fonctionnement du botnet et découvert tous les sites que le Srizbi comptait utiliser en cas de problème. L’entreprise a alors acheté 192 des noms de domaines correspondant à ces sites et constaté, dans les jours suivants, que des centaines de milliers de machines tentaient effectivement d’y accéder. Le coût de l’opération (plus de 1 500 dollars pour ces premiers domaines) et la perspective de devoir en enregistrer quatre à cinq fois plus ont cependant fait lâcher prise à FireEye. Ce qui a permis aux spammeurs ayant lancé Srizbi à l’origine d’en reprendre finalement le contrôle.

Malgré les premières estimations des spécialistes du spam il y a deux semaines, le volume de spam quotidien dans le monde n’a pas encore retrouvé son niveau d’avant la déconnexion de McColo. Le retour de Srizbi est cependant de mauvais augure. Et FireEye risque de se mordre les doigts : dans son blog, l’entreprise de sécurité expliquait avoir découvert quelle commande envoyer aux machines « zombies » pour en supprimer le virus, mais avait refusé de prendre la responsabilité de modifier à distance des machines privées. Pas sûr que l’occasion se représente de sitôt.

A lire aussi :
- Le spam mondial décapité par un journaliste

Il y a 8 réactions à cet article.

Lire les réactions.
Réagir à cet article.

Partager cet article

Partager Tweet