Conficker

À partir de novembre 2008, un ver exploitant une vulnérabilité réseau de Windows — et, dans les variantes ultérieures, l’autorun USB et les mots de passe faibles — se répand sur les PC du monde entier à une échelle extraordinaire. À son pic, on estime que Conficker contrôlait entre plusieurs millions et plus de dix millions de machines, y compris des réseaux militaires, hospitaliers et gouvernementaux.

Un algorithme pour rester en vie

La caractéristique distinctive de Conficker était sa résilience. Chaque jour, il générait une liste de noms de domaine pseudo-aléatoires où il allait chercher des instructions. Les variantes ultérieures généraient cinquante mille domaines candidats par jour et utilisaient une signature cryptographique afin que seuls ses véritables auteurs puissent émettre des commandes. Pour décapiter le botnet, les défenseurs devaient enregistrer ou bloquer ces domaines plus vite que les auteurs du ver ne pouvaient le faire.

La Cabale

La réponse fut elle-même historique. Une coalition informelle de chercheurs en sécurité, de registrars, de Microsoft et d’universitaires — appelée officieusement le Conficker Working Group, ou « la Cabale » — s’est coordonnée pour préenregistrer et sinkholer la production de génération de domaines, jour après jour, pendant des années. Ce fut l’un des premiers efforts de coordination défensive inter-industries soutenu et à grande échelle.

Et puis rien ne s’est passé. Le botnet, malgré sa taille et sa sophistication, n’a jamais été significativement monétisé ni armé par ses opérateurs. Son but reste, à ce jour, non confirmé.

Ce que la chronique retient

Conficker reste dans les mémoires pour deux raisons opposées : la plus grande coalition défensive assemblée jusqu’alors, et l’anticlimax d’une arme de fin du monde qui n’a jamais été tirée. Il a démontré à la fois qu’une coordination inter-industries à l’échelle d’internet était possible, et que l’attribution et l’intention — pas seulement la capacité — sont centrales pour comprendre tout incident.