Discussion :

[Francis Walter]

Microsoft supprime à distance le malware Sefnit
et le client Tor des utilisateurs

Sefnit est un malware (Cheval de Troie) qui effectue des fraudes sur bitcoin au clic. Il utilise le réseau Tor pour dissimuler son trafic. Ce malware était supposé disparaître depuis 2011, mais a refait surface en juin dernier dans un mode plus silencieux, mais fielleux.

Le mystère autour de Sefnit planant encore, les spécialistes de la sécurité informatique ne sont pas restés muets à ce sujet. Il y a quelques mois, le Centre de Protection contre les Malwares (Malware Protection Center) de Microsoft a effectué une étude sur quelques procédures d’attaques du malware.

Selon les résultats de l’étude, en août dernier, environ 600.000 ordinateurs étaient infectés. Il a fallu seulement deux semaines pour que les ordinateurs infectés passent à 4 millions, en septembre. En effet, les programmes d’installation de Sefnit/Win32 s’exécutent sur ces millions d’ordinateurs infectés pour effectuer des instructions en masse et pour télécharger et installer des composants Sefnit à travers le réseau Tor. Ces instructions sont présidées par les hackers ukrainiens et israéliens nommés Scorpion et Dekadent.

Les OS Windows étant les principaux concernés par cette situation, Microsoft a retiré à distance le programme malveillant d’autant d’ordinateurs qu’il pouvait. Malgré ce retrait, les services clients Tor demeurent et fonctionnent en mode silencieux. La meilleure solution pour Microsoft au final, c’était de retirer aussi le client Tor des ordinateurs. Ce fut le cas dans un deuxième temps. Ce second acte qui pouvait être mal interprété par la société Tor, n'est pas resté sans explication de la part de Microsoft. Dans le billet de blog consacré à l’étude, la firme américaine faisait comprendre que la version du client Tor utilisé était vieille et vulnérable. Les clients Tor v0.2.2.35 et antérieurs étaient ceux installés alors que la version qu’exploite Sefnit pour ses fraudes est v0.2.3.25. La version actuelle du client Tor est la v0.2.4.20.

La réplique de Microsoft a fait perdre, en octobre dernier, 2 millions de clients à Tor. Ceci vient confirmer que la démarche de la firme contre le malware a vraiment eu de l’effet.


Source : blog Technet

Et vous ?

Que pensez-vous de l'action de Microsoft ?

[Neckara]

Bonjour,

Si Microsoft peut agir de la sorte sur des ordinateurs sans le consentement de ses utilisateurs, c'est que Windows a une backdoor (je vois difficilement comment ils auraient pu faire autrement). Donc déjà niveau sécurité, il faudrait se dépêcher de virer Windows de nos machines car rien ne nous garanti qu'ils n'essayeront pas de récupérer certains fichier pour les "analyser" (comprenez espionnage industriel).

Ensuite, retirer un logiciel sans l'avis du client (surtout que si j'ai bien compris, une upgrade aurait pu résoudre le problème) me semble être très limite du point de vu de la légalité.
Un virus ? Et bien on va lui retirer tous ces logiciels bizarre, là les "libres" qui ne sont pas sûr et qui comportent des failles potentielles. Et puis on va virer les fichiers infectés les *.odt, etc...


Enfin bref, sous couvert de faire quelque chose de "juste" (lutter contre les malware), on est en train de mettre en place et de tester un système assez horrible.

[Lutarez]

c'est que Windows a une backdoor

C'est aussi le cas sur absolument tout les systèmes mobiles actuels, donc n'oublie pas d'inclure Apple, Google, BlackBerry dans ton discours (et sûrement Mozilla, Samsung, etc). Bref, rien de nouveau...

c'est que Windows a une backdoor

Rien n'est dit à ce propos. Un patch correctif classique suffit amplement pour forcer la désinstallation d'un logiciel. Et vu que les MAJ demandent des droits administrateurs, c'est totalement invisible pour l'utilisateur.

Un virus ? Et bien on va lui retirer tous ces logiciels bizarre, là les "libres" qui ne sont pas sûr et qui comportent des failles potentielles. Et puis on va virer les fichiers infectés les *.odt, etc...

Des lois existent et mêmes les ricains sont obligés de s'y plier. Je pense qu'il est inutile de rappeler les décisions de l'UE concernant IE. Et cela risque de se reproduire avec Google.

Mais soyons sérieux : mieux vaut avoir plusieurs millions d'ordinateurs piratés à travers le monde servant des réseaux criminels plutôt que voir un éditeur de logiciel supprimer à distance un logiciel malveillant.

[Pat_AfterMoon]

Si Microsoft peut agir de la sorte sur des ordinateurs sans le consentement de ses utilisateurs, c'est que Windows a une backdoor

A priori il ne s'agit pas du tout de backdoor, il n'y en a pas besoin. Il s'agit de Windows Update et de Microsoft Security Essentials.

Il y a aussi un utilitaire standalone qui permet de le faire : Microsoft Safety Scanner

October 27, 2013: We modified our signatures to remove the Sefnit-added Tor client service. Signature and remediation are included in all Microsoft security software, including Microsoft Security Essentials, Windows Defender on Windows 8, Microsoft Safety Scanner, Microsoft System Center Endpoint Protection, and Windows Defender Offline.
November 12, 2013: Signature and remediation is included in Malicious Software Removal Tool and delivered through Windows Update/Microsoft Update.

Donc c'est plutôt de la bigdoor

Quand à la version de ToR supprimée, c'est une version spécifique installée de manière particulière par le malware, et Micrososft a même pris soin de contacter l'équipe de TOR afin d'éviter les désinstallation intenpestives.

Sources :
http://www.dailydot.com/technology/t...alware-remove/
http://blogs.technet.com/b/mmpc/arch...or-hazard.aspx

[HelpmeMM]

lire les sources et pas un résumé permet d'éviter ce genre de dérive qui tend à croire que Microsoft ce permet tout et n'importe quoi en matière de vie privé ...

Cleanup efforts

Since the Sefnit-caused Tor eruption in August, we have worked to curb this risk. In this process, we consulted with Tor project developers to help plan the cleanup. We retroactively remediated machines that had previously been cleaned of Sefnit but still had a Sefnit-added Tor service:

October 27, 2013: We modified our signatures to remove the Sefnit-added Tor client service. Signature and remediation are included in all Microsoft security software, including Microsoft Security Essentials, Windows Defender on Windows 8, Microsoft Safety Scanner, Microsoft System Center Endpoint Protection, and Windows Defender Offline.

November 12, 2013: Signature and remediation is included in Malicious Software Removal Tool and delivered through Windows Update/Microsoft Update.

edit : il semblerait que je ne soit pas le seul a lire les sources

[redcurve]

Bonjour,

Si Microsoft peut agir de la sorte sur des ordinateurs sans le consentement de ses utilisateurs, c'est que Windows a une backdoor (je vois difficilement comment ils auraient pu faire autrement). Donc déjà niveau sécurité, il faudrait se dépêcher de virer Windows de nos machines car rien ne nous garanti qu'ils n'essayeront pas de récupérer certains fichier pour les "analyser" (comprenez espionnage industriel).

Ensuite, retirer un logiciel sans l'avis du client (surtout que si j'ai bien compris, une upgrade aurait pu résoudre le problème) me semble être très limite du point de vu de la légalité.
Un virus ? Et bien on va lui retirer tous ces logiciels bizarre, là les "libres" qui ne sont pas sûr et qui comportent des failles potentielles. Et puis on va virer les fichiers infectés les *.odt, etc...


Enfin bref, sous couvert de faire quelque chose de "juste" (lutter contre les malware), on est en train de mettre en place et de tester un système assez horrible.

Il faut lire les sources avant de raconter n'importe quoi. Microsoft à simplement ajouter la signature du malware et de cette version vérolé de TOR dans ses outils de sécurité windows defender, Microsoft safery scanner, etc.

Cleanup efforts

Since the Sefnit-caused Tor eruption in August, we have worked to curb this risk. In this process, we consulted with Tor project developers to help plan the cleanup. We retroactively remediated machines that had previously been cleaned of Sefnit but still had a Sefnit-added Tor service:

October 27, 2013: We modified our signatures to remove the Sefnit-added Tor client service. Signature and remediation are included in all Microsoft security software, including Microsoft Security Essentials, Windows Defender on Windows 8, Microsoft Safety Scanner, Microsoft System Center Endpoint Protection, and Windows Defender Offline.

November 12, 2013: Signature and remediation is included in Malicious Software Removal Tool and delivered through Windows Update/Microsoft Update.

[redcurve]

lire les sources et pas un résumé permet d'éviter ce genre de dérive qui tend à croire que Microsoft ce permet tout et n'importe quoi en matière de vie privé ...



edit : il semblerait que je ne soit pas le seul a lire les sources

Le résumé est volontairement bidonner pour donner l'impression que Ms a mis un backdoor dans windows alors que non. Je pense de developpez devrait être plus rigoureux dans ses publications

[tomlev]

Si Microsoft peut agir de la sorte sur des ordinateurs sans le consentement de ses utilisateurs, c'est que Windows a une backdoor

Oui, ça s'appelle Windows Update

Et non, ça ne se fait pas sans ton consentement, puisque c'est toi qui décides si tu installes les mises à jour ou pas. En l'occurrence, ils ont décidé d'enlever cette version spécifique de Tor (ancienne et qui a des vulnérabilités connues), en concertation avec les développeurs de Tor ; donc ça me semble quand même assez légitime comme intervention...

Après, tu vas me dire, ça reste quand même gênant que MS puisse décider de supprimer un logiciel installé ; mais vu le nombre d'utilisateurs, ce serait découvert très rapidement, et ce serait très mauvais pour l'image de MS s'il n'y a pas une solide justification derrière. Donc perso, ça ne m'inquiète pas beaucoup...

[bedane]

Amusant , d'après les développeurs de Tor, ce sont eux-mêmes qui ont contacté Miscrosoft, et leur conclusion est que MS dispose probablement de backdoors pour supprimer des fichiers sur votre système.

Vu la fiabilité respective des 2 camps, j'aurais tendance à faire confiance à l'équipe tor plutôt qu'aux communicants de MS (on sait très bien qui milite pour plus de transparence de la part des "gros", ce n'est certainement pas MS).

[Neckara]

Bonjour,

lire les sources et pas un résumé permet d'éviter ce genre de dérive qui tend à croire que Microsoft ce permet tout et n'importe quoi en matière de vie privé ...

Il faut lire les sources avant de raconter n'importe quoi. Microsoft à simplement ajouter la signature du malware et de cette version vérolé de TOR dans ses outils de sécurité windows defender, Microsoft safery scanner, etc.

Je n'ai pas toujours le temps de lire toutes les sources de tous les articles surtout quand certaines sources peuvent faire 40 pages en anglais.
D'où l'intérêt d'avoir des résumé en français de ces actualités.

Oui, ça s'appelle Windows Update

Et non, ça ne se fait pas sans ton consentement, puisque c'est toi qui décide si tu installes les mises à jour ou pas. En l'occurrence, ils ont décidé d'enlever cette version spécifique de Tor (ancienne et qui a des vulnérabilités connues), en concertation avec les développeurs de Tor ; donc ça me semble quand même assez légitime comme intervention...

Je n'utilise plus beaucoup Windows donc j'ai essayé de rechercher quelques informations sur leur site ( http://www.update.microsoft.com/ )mais il faut obligatoirement avoir internet explorer pour le consulter...

Est-ce que les mises à jour sont bien "transparante" ? Sont-elles "automatiques" ?

Sinon pourquoi supprimer Tor plutôt que de le mettre à jour?

[Pat_AfterMoon]

Sinon pourquoi supprimer Tor plutôt que de le mettre à jour?

Parce que le ToR supprimé est celui qui est intégré au malware, à priori aucun utilisateur "normal" de ToR n'a vu la version qu'il avait installé lui même disparaître.

Évidement, cela n'a été possible que parce que la version de ToR intégrée au malware était bien particulière et qu'elle était installée dans un endroit inhabituel.

[HelpmeMM]

et leur conclusion est que MS dispose probablement de backdoors pour supprimer des fichiers sur votre système.

hum ça c'est de la conclusion choc...

windows update peux potentiellement en faisant des mises a jours supprimer des fichiers et les remplacer par d'autre ? un update est donc une backdoor ?????????

Je n'ai pas toujours le temps de lire toutes les sources de tous les articles surtout quand certaines sources peuvent faire 40 pages en anglais.
D'où l'intérêt d'avoir des résumé en français de ces actualités.

Sinon pourquoi supprimer Tor plutôt que de le mettre à jour?

C'est certainement une excuse , mais ce n'est pas parce qu'on lit quelque part quelque chose que c'est forcément vrai , un bon journaliste commence par lire les sources plutôt que de reprendre une résumé trouvé sur le net.
En l'occurence ce n'est certainement pas contre toi mais plutot contre le rédacteur de la news qu'est dirigé la critique. après tout tu ne fait que réagir à quelque chose que tu as lut et que tu penses juste.(pour ma part en tout cas je ne suis pas garant des dire de redcurve)

Sinon c'est expliquer dans les sources la raison de "pourquoi supprimer tor plutot que de le mettre à jour ?". (ou sinon tu lit le résumé de la personne qui a post avant moi)

[Neckara]

Merci pour vos réponses, j'ai d'ailleurs commencé à lire les sources.

Avant de poster mon premier message, j'avais très rapidement survolé les sources par manque de temps.

windows update peux potentiellement en faisant des mises a jours supprimer des fichiers et les remplacer par d'autre ? un update est donc une backdoor ?????????

Je ne pense pas qu'on puisse dire que windows update puisse être une backdoor vu que son rôle est "connu de l'utilisateur légitime".

En revanche, il est tout à fait possible de se servir des mises à jour pour installer des backdoor ou faire exécuter du code arbitraire sur la machine cible.
C'est d'ailleurs la raison pour laquelle les paquets sous Linux sont signés.

[kain_tn]

Perso, la seule phrase qui me choque c'est celle-ci:

Les OS Windows étant les principaux concernés par cette situation, ...

J'ai beau re-lire les sources, il me semble que Mevade et Sefnit sont conçus pour Windows uniquement... À moins qu'il n'y ait une subtilité qui m'échappe comme le kernel utilisé ou quelque chose du genre?

[Invité]

Ceci figure dans les termes du contrat de licence logiciel de Windows 7. Licence que vous acceptez pleinement en utilisant le système d'exploitation :

(...)

6. LOGICIELS POTENTIELLEMENT INDÉSIRABLES. Si Windows Defender est activé, il recherche sur votre ordinateur la présence de logiciels espions, de logiciels de publicité ainsi que d’autres logiciels potentiellement indésirables. S’il en trouve, il vous demande si vous souhaitez les ignorer, les désactiver (mise en quarantaine) ou les supprimer. Tout logiciel potentiellement indésirable dont le niveau de dangerosité est « élevé » ou « grave » est automatiquement supprimé après détection sauf si vous modifiez le paramétrage par défaut. La suppression ou la désactivation de logiciels potentiellement indésirables peut entraîner :
· l’arrêt du fonctionnement d’autres logiciels sur votre ordinateur, ou
· la violation d’une licence pour utiliser un autre logiciel sur votre ordinateur.
En utilisant ce logiciel, il est possible que vous supprimiez ou désactiviez également des logiciels qui ne sont pas potentiellement indésirables.

(...)

Qui définit les niveaux de dangerosité ? Ce n'est pas l'utilisateur.

Qui définit la suppression par défaut pour ces niveaux de dangerosité ? Ce n'est pas l'utilisateur.

Ce ne sont pas des pratiques assimilables à un logiciel malveillant ? À ma connaissance, les anti-virus classiques ne suppriment pas automatiquement les programmes infectés par défaut !

Par ailleurs, Microsoft stipule clairement que le système d'exploitation peut avoir un comportement assimilable à un malware et s'en protège en renvoyant la responsabilité à l'utilisateur si des logiciels qui ne sont pas potentiellement indésirables sont supprimés ou désactivés.

Je pense que c'est assez parlant...Windows n'intègre peut-être pas (dans ce cas particulier) une porte dérobée au sens simpliste et populaire du terme mais sa licence en prévoit expressément la possibilité.

Passez à GNU/Linux.

[nicofuma]

Qui définit les niveaux de dangerosité ? Ce n'est pas l'utilisateur.

Comme pour n'importe quel antivirus au monde, de même que ce n'est pas l'utilisateur qui décide quelle signature fait aprtie de la base de données.

Qui définit la suppression par défaut pour ces niveaux de dangerosité ? Ce n'est pas l'utilisateur.

Ce ne sont pas des pratiques assimilables à un logiciel malveillant ? À ma connaissance, les anti-virus classiques ne suppriment pas automatiquement les programmes infectés par défaut !

Pour de nombreux antivirus si justement, quand il s'agit (comme ici) non pas d'une heuristique mais simplement d'une comparaison de signatures.

Sinon, la grosse différence avec un logiciel malveillant c'est que lui il ne te donne ni contrat de license ni panneau de configuration très facile d'accès, simplet et intuitif.

Il serait temps d'arréter avec cette paranoïa et ce militantisme anti-microsoft viscéral. On a le droit de ne pas être d'accord avec eux mais il ya clairement des moments où il faut se calmer et regarder les choses en face.

P.S Et aussi, au passage (pour au dessus), ça te parait peut etre suprenant mais la mise à jour des signatures se fait quotidiennement, de manière automatique et transparente pour la totalité des antivirus qui utilisent une telle base de données (ne serait-ce que sinon et ben... l'antivirus il sert à rien).

[Invité]

Comme pour n'importe quel antivirus au monde, de même que ce n'est pas l'utilisateur qui décide quelle signature fait aprtie de la base de données.


Pour de nombreux antivirus si justement, quand il s'agit (comme ici) non pas d'une heuristique mais simplement d'une comparaison de signatures.

Sinon, la grosse différence avec un logiciel malveillant c'est que lui il ne te donne ni contrat de license ni panneau de configuration très facile d'accès, simplet et intuitif.

Il serait temps d'arréter avec cette paranoïa et ce militantisme anti-microsoft viscéral. On a le droit de ne pas être d'accord avec eux mais il ya clairement des moments où il faut se calmer et regarder les choses en face.

P.S Et aussi, au passage (pour au dessus), ça te parait peut etre suprenant mais la mise à jour des signatures se fait quotidiennement, de manière automatique et transparente pour la totalité des antivirus qui utilisent une telle base de données (ne serait-ce que sinon et ben... l'antivirus il sert à rien).

Je ne parle pas de signatures ou d'analyse heuristique mais de la qualification du niveau de dangerosité des menaces « élevé ou grave », laissée à l'absolue libre interprétation de Microsoft.

Il n'y a pas de paranoïa : il y a des faits établis et des prérogatives que s'octroie noir sur blanc Microsoft à travers ses licences.

Ce qui qualifie un logiciel malveillant, c'est avant tout son comportement. L'abus de confiance qu'il entraine sur l'utilisateur. L'interface simple et intuitive, c'est un miroir aux alouettes. Pas un argument.

Et oui vous avez raison il faut regarder les choses en face, encore faut-il avoir les yeux en face des trous.

[GTSLASH]

de la qualification du niveau de dangerosité des menaces « élevées ou graves », laissé à la libre interprétation de Microsoft

C'est vraix que c'est mieux de laisser le choix au utilisateur. Ils savent de quoi il s'agit eux. MDR. Je parie que 95% des utilisateurs ne savent meme pas de quoi on parle alors leur demander ca est tout a fait ridicule.

Il n'y a que les barbus sous linux qui n'ont le temp et l'envie de s'occupe de ca.

Du vraix n'importe quoi.

[Invité]

C'est vraix que c'est mieux de laisser le choix au utilisateur. Ils savent de quoi il s'agit eux. MDR. Je parie que 95% des utilisateurs ne savent meme pas de quoi on parle alors leur demander ca est tout a fait ridicule.

Il n'y a que les barbus sous linux qui n'ont le temp et l'envie de s'occupe de ca.

Du vraix n'importe quoi.

Si les utilisateurs ne sont pas en mesure d'évaluer une menace, ils ne doivent pas se voir infliger une suppression par défaut. Les utilisateurs peuvent être ignorants mais jusqu'à preuve du contraire, ils restent capables de discernement.

Vu les vieux stéréotypes que vous sortez à propos des utilisateurs GNU/Linux, il ne fait aucun doute que vous faites partie des 95% dont vous parlez.

[GTSLASH]

ils restent capables de discernement

Justement non. Et je parle d’expérience.

C'est pour ca qu'il y a des informaticiens et des societés informatique.


Dsl pour le stereotype ca m'a echappé