Les ordinateurs chinois sont livrés avec des « logiciels malveillants » préinstallés

Microsoft vient de découvrir que de nouveaux ordinateurs vendus en Chine sont dotés de logiciels malveillants préinstallés, cachés et attendant des ordres pour infiltrer les ordinateurs des utilisateurs, voler des comptes bancaires et des données sensibles et contrôler à distance les ordinateurs pour attaquer des sites Web.

L'utilisation de logiciels piratés peut facilement conduire à une infection par un logiciel malveillant de type « porte dérobée » - Photo : Duc Thien

L'incident a été révélé dans des documents judiciaires scellés le 13 septembre devant un tribunal fédéral de Virginie (États-Unis). Les informations contenues dans ce document décrivent une campagne menée par Microsoft contre les cybercriminels ciblant le système d'exploitation Windows, principale cible des virus. Microsoft y a découvert un code hautement malveillant appelé Nitol.

La « porte dérobée » de la Chine

En Chine, les enquêteurs de Microsoft ont acheté 20 nouveaux ordinateurs auprès de détaillants et les ont connectés à Internet. Des versions piratées de Windows étaient préinstallées sur tous les ordinateurs, et quatre d'entre eux étaient infectés par des logiciels malveillants. L'un des ordinateurs infectés par Nitol était particulièrement remarquable : le logiciel malveillant s'est immédiatement activé et s'est exécuté dès la première mise sous tension, sans aucune intervention de l'utilisateur. Nitol installe des portes dérobées qui permettent aux cybercriminels de contrôler l'ordinateur à distance pour envoyer du spam, espionner les utilisateurs, voler des données personnelles ou attaquer des sites web. L'ordinateur portable infecté par Nitol a été fabriqué par la société Hedy Computer à Guangzhou, en Chine.

Des documents Microsoft décrivent le fonctionnement du malware Nitol : « Dès que nous allumons la machine, elle commence à scanner Internet à la recherche d'un autre ordinateur avec lequel communiquer. » Le taux d'infection est stupéfiant : il suffit de brancher une clé USB contenant Nitol sur une machine infectée pour que le malware s'y réplique. Ensuite, brancher la clé USB sur un autre ordinateur permet à Nitol d'infecter rapidement de nouvelles cibles. Dans des documents judiciaires, Microsoft a fourni plusieurs milliers d'échantillons du malware Nitol, dont de nombreuses variantes.

Selon Microsoft, malgré la distance géographique, Nitol s'est rapidement propagé sur de nombreux ordinateurs en Chine, aux États-Unis, en Russie, en Australie et en Allemagne. À mesure que le nombre d'ordinateurs infectés augmente, ils contribuent à la création du botnet Nitol (un réseau d'ordinateurs « fantômes » contrôlés à distance par leurs propriétaires) – un outil lucratif pour les cybercriminels – qui peut menacer n'importe quel système informatique dans le monde lorsqu'il atteint des centaines de milliers, des millions, voire plus d'« ordinateurs fantômes » (ordinateurs infectés).

Au cours de l'enquête, Microsoft a également découvert que toutes les variantes de Nitol présentes sur les ordinateurs infectés étaient toujours connectées à des serveurs C&C (commande et contrôle) liés au nom de domaine 3322.org d'une entreprise chinoise. Microsoft a accusé ce site web d'être le principal centre d'activités illégales. Ce nom de domaine est la « maison mère » du malware Nitol et de plus de 560 autres types de malwares, créant ainsi le plus grand dépôt de logiciels « infectés » jamais découvert par Microsoft. Des sociétés de sécurité américaines avaient précédemment averti que le nom de domaine 3322.org représentait plus de 17 % des transactions web malveillantes mondiales en 2009. En 2008, Kaspersky Lab (Russie) a également publié un rapport de sécurité indiquant que 40 % des programmes malveillants étaient simultanément connectés à 3322.org.

David Anselmi, directeur principal du département d'enquête sur la criminalité informatique de Microsoft, montre le diagramme de distribution du malware Nitol - Photo : THOMPSON/AP

Les ordinateurs vietnamiens pourraient être infectés

Selon les données de l'Office général des statistiques du Vietnam, au cours des huit premiers mois de cette année, le chiffre d'affaires des importations de biens électroniques, d'ordinateurs et de composants a atteint 8 milliards USD, soit une forte hausse de 88,7 % par rapport à la même période de l'année dernière. D'autre part, la Chine est le plus grand marché du Vietnam avec un chiffre d'affaires d'importation de 18,2 milliards USD, soit une augmentation de 17,9 % par rapport à la même période en 2011. Cela se reflète facilement dans l'apparition massive d'ordinateurs originaires de Chine dans les magasins de détail au Vietnam.

Une série de journaux de nombreux pays ont publié l'affaire du « malware » Nitol.

Le danger de la « porte dérobée »

Selon M. Vo Do Thang, lorsqu'un ordinateur est doté d'une « porte dérobée », il peut être entièrement contrôlé de l'extérieur. Les pirates peuvent accéder illégalement à l'ordinateur de l'utilisateur, surveiller son utilisation, notamment son historique d'accès aux sites web, voler le nom d'utilisateur et le mot de passe de ses transactions en ligne, ou transformer l'ordinateur en un outil permettant de propager un botnet à d'autres ordinateurs.

Ces dangers, s'ils se produisent, peuvent avoir de graves conséquences, car toutes les activités des utilisateurs sont contrôlées et les informations sont volées. Plus précisément, lorsque des utilisateurs vietnamiens effectuent des achats en ligne sur leur ordinateur, des informations telles que les cartes de crédit et les mots de passe d'accès à leurs comptes bancaires, etc., peuvent être détournées par des pirates informatiques pour voler de l'argent.

Un représentant d'un revendeur informatique a déclaré : la plupart des marques d'ordinateurs commandent des produits fabriqués en Chine, et les distributeurs vietnamiens importent également principalement des marchandises de Chine. Les produits informatiques peuvent être préinstallés avec des logiciels ou non. Les ordinateurs équipés de logiciels protégés par des droits d'auteur sont plus chers, mais les revendeurs ne peuvent pas vérifier les droits d'auteur des logiciels installés sur l'ordinateur (!?).

Parallèlement, selon les documents d'enquête de Microsoft, de nombreux fabricants d'ordinateurs sans marque et revendeurs peu scrupuleux n'hésitent pas à utiliser des logiciels piratés préinstallés sur leurs ordinateurs pour réduire leurs coûts. Les consommateurs n'auront aucun moyen de savoir que le produit qu'ils viennent d'acheter contient un logiciel malveillant préinstallé doté de portes dérobées extrêmement dangereuses. Ils deviennent ainsi, sans le savoir, des cibles de choix pour les cybercriminels.

Lors d'une interview, M. Vo Do Thang, directeur du Centre de formation et de cybersécurité Athena, a déclaré : « La particularité d'un botnet est sa capacité à se propager très rapidement sur Internet. Par conséquent, suite à la découverte du botnet et aux investigations des experts Microsoft, je pense que Nitol pourrait être présent au Vietnam. » Selon M. Thang, Nitol peut attaquer les utilisateurs vietnamiens en ouvrant discrètement des « portes dérobées » permettant à des cybercriminels distants d'accéder illégalement à leurs ordinateurs. Ce processus se déroule très discrètement, ce qui le rend très difficile à détecter pour les utilisateurs finaux sans connaissances spécialisées.

Kaspersky Lab Security Company a déjà réalisé des découvertes détaillées sur les logiciels espions les plus dangereux du moment, tels que Flame et Madi, des logiciels malveillants spécialisés dans le vol d'informations confidentielles sur des systèmes sensibles, notamment des centrales nucléaires et des systèmes informatiques gouvernementaux. M. Jimmy Low, expert en sécurité pour l'Asie du Sud-Est chez Kaspersky Lab Security Company, a un jour lancé cet avertissement : « Les centres de contrôle de Flame (serveurs de commande et de contrôle) ayant été découverts en Chine et en Inde, les deux plus grands pays d'Asie, je pense que les cybercriminels peuvent parfaitement utiliser des serveurs de commande et de contrôle similaires pour attaquer des cibles au Vietnam ou en Asie du Sud-Est s'ils le souhaitent. »

Comment éviter les « portes dérobées »

M. Vo Do Thang a déclaré que pour éviter d'être piraté par des « portes dérobées », les utilisateurs ne doivent pas accéder à des sites web ni télécharger ni installer de logiciels provenant de sources inconnues. Parallèlement, ils doivent régulièrement mettre à jour leurs antivirus, leurs pare-feu et leurs logiciels de détection des sites web contenant des logiciels malveillants ou des logiciels espions, comme McAfee SiteAdvisor. Ce programme avertit les utilisateurs lorsqu'ils accèdent à des sites web contenant des logiciels malveillants, des logiciels espions ou des « portes dérobées », tout en empêchant tout accès ultérieur afin d'éviter toute infection informatique.

Selon Tuoitre-M