Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Conficker : plus jamais ça !

février 2010 par Emmanuelle Lamandé

A l’occasion des Microsoft Techdays, Jean Gautier, Security Support Engineer chez Microsoft France, est revenu sur l’infection du ver Conficker, qui a fait grand bruit dans les médias. A travers son retour d’expérience, il fait le point sur les pratiques à éviter en entreprise, mais aussi les mesures qu’il convient de mettre en œuvre.

Pour rappel, Jean Gautier revient sur les principales étapes de l’évolution de Conficker. Le 23 octobre 2008, Microsoft publie, hors cycle, le bulletin Microsoft MS08-067. Un mois plus tard, le 21 novembre, Microsoft identifie Conficker.A. Depuis, plusieurs variantes ont pu être identifiées : Conficker.B (29 décembre 2008), Conficker.C (20 février 2009), Conficker.D (4 mars 2009), ou encore Conficker.E (8 avril 2009). Conficker.B est la variante qui s’est le plus diffusée sur Internet.

Parmi les principaux impacts techniques de Conficker en entreprise, il relève le verrouillage des comptes (progressivement, tous les utilisateurs se verrouillaient dans l’Active Directory), la saturation des DCs et du réseau, la perte d’accès à des ressources critiques (avec toutes les conséquences induites pour l’entreprise), les Dénis de service, la destruction de configuration, … Ce qui est atypique avec Conficker, c’est le nombre de machines infectées en peu de temps.

Le temps d’éradication complète de Conficker est estimée en moyenne à 3 mois

Ces impacts ont eu des conséquences directes sur l’activité des entreprises : certaines filiales se sont retrouvées coupées du site central, les employés au chômage technique, certains hôpitaux ont même été obligés de déplacer leurs patients, … , sans compter le dommage d’image publique pour l’entreprise et la perte de confiance induite, ni la mobilisation des équipes pendant plusieurs semaines. Le temps d’éradication complète de Conficker est estimée en moyenne à 3 mois. Le coût de Conficker est donc énorme et les dommages visibles sur le long terme.

Quels sont les principaux vecteurs de propagation de Conficker ?
- Tous les PC qui n’ont pas reçu la mise à jour MS08-067,
- Conficker infecte le partage réseau. Il se propage à la racine du partage pour s’exécuter,
- Les périphériques amovibles,
- L’utilisation de mots de passe faibles,
- Conficker va utiliser les droits admin pour infecter tout le domaine de l’entreprise en quelques minutes.

Pour Jean Gautier, une machine qui a un pare-feu activé, les mises à jour effectuées et une bonne politique de mots de passe n’est pas vulnérable à Conficker.

Concernant le « grand public », les utilisateurs ont été peu impactés, le pare-feu de XPSP2 étant activé par défaut et les comptes synchronisés peu généralisés. « Windows XPSP2, SP3, Windows Vista, dans leur configuration, ne sont pas », selon lui, « vulnérables à Conficker ».

Il faut appliquer la règle du privilège minimum

En entreprise, les configurations ont principalement été affaiblies par un pare-feu désactivé, des mises à jour non déployées, des mots de passe faibles et une mauvaise gestion des comptes avec pouvoir. La majorité des infections se sont produites après la publication MS08-067. Contrairement aux idées reçues, l’installation d’une mise à jour ne bloque pas tous les vecteurs d’attaques.

Il constate une absence de contrôle opérationnel de l’infrastructure (PCA, gestion des risques,…), mais aussi une absence de gestion de parc. Cette carence rend impossible la gestion centralisée d’alertes. « Votre parc « connu » sera mis à jour, mais quid des machines dont vous n’avez pas connaissance ». Il faut se méfier des configurations obsolètes et des machines hors cycle d’upgrade. « Si vous voulez vous protéger, il faut connaître ce que vous avez » souligne-t-il.

De plus, il faut appliquer la règle du privilège minimum. « Tout n’a pas besoin des privilèges d’administration du domaine ». Il conseille donc de ne pas se logguer admin du domaine et d’utiliser RunAs pour lancer cmd.exe.

Parmi les principales mesures de prévention, il recommande pour conclure :
- d’installer MS08-067 partout,
- d’avoir un anti-virus récent à jour,
- d’implémenter une politique de mots de passe forts,
- de désactiver l’Autorun par GPO,
- de ne pas se logguer avec un compte à pouvoir sur des machines potentiellement infectées, c’est-à-dire toutes.
- enfin, de lutter contre l’idée fausse que MS08-067 protège contre toutes les variantes de Conficker.




Voir les articles précédents

    

Voir les articles suivants