Les ordinateurs chinois sont livrés avec des « logiciels malveillants » préinstallés

Microsoft vient de découvrir que de nouveaux ordinateurs vendus en Chine sont dotés de logiciels malveillants préinstallés qui attendent des ordres pour infiltrer les ordinateurs des utilisateurs, voler des comptes bancaires et des données sensibles et contrôler à distance les ordinateurs pour attaquer des sites Web.

L'utilisation de logiciels piratés peut facilement conduire à une infection par un logiciel malveillant de type « porte dérobée » - Photo : Duc Thien

L'incident a été révélé dans des documents judiciaires scellés le 13 septembre devant un tribunal fédéral de Virginie (États-Unis). Les informations contenues dans ce document décrivent une campagne menée par Microsoft contre les cybercriminels ciblant le système d'exploitation Windows, principale cible des virus. Microsoft y a découvert un code hautement malveillant appelé Nitol.

La « porte dérobée » de la Chine

En Chine, les enquêteurs de Microsoft ont acheté 20 ordinateurs neufs auprès de détaillants et les ont connectés à Internet. Des versions piratées de Windows étaient préinstallées sur tous les ordinateurs, et quatre d'entre eux étaient infectés par des logiciels malveillants. L'un des ordinateurs infectés par Nitol était particulièrement remarquable : le logiciel malveillant s'est immédiatement activé et s'est exécuté dès la première mise sous tension, sans aucune intervention de l'utilisateur. Nitol installe des portes dérobées permettant aux cybercriminels de contrôler l'ordinateur à distance pour envoyer du spam, suivre les utilisateurs, voler des données personnelles ou attaquer des sites web. L'ordinateur portable infecté par Nitol était fabriqué par Hedy Computer Company à Guangzhou, en Chine.

Le document de Microsoft décrivait le fonctionnement du malware Nitol : « Dès que nous avons allumé la machine, elle a commencé à scanner Internet à la recherche d'un contact avec un autre ordinateur. » Le taux d'infection était stupéfiant : il suffisait de brancher une clé USB contenant Nitol sur la machine infectée pour qu'elle s'y réplique. Ensuite, la clé USB étant branchée sur un autre ordinateur, Nitol continuait d'infecter rapidement la nouvelle cible. Dans les documents judiciaires, Microsoft a fourni plusieurs milliers d'échantillons du malware Nitol, comprenant de nombreuses variantes.

Selon Microsoft, malgré la distance géographique, Nitol s'est rapidement propagé sur de nombreux ordinateurs en Chine, aux États-Unis, en Russie, en Australie et en Allemagne. À mesure que le nombre d'ordinateurs infectés augmente, ils contribuent à la création de botnets Nitol (réseaux d'ordinateurs « fantômes » contrôlés à distance par leurs propriétaires) – un outil lucratif pour les cybercriminels – qui peuvent menacer n'importe quel système informatique dans le monde lorsqu'ils atteignent plusieurs centaines de milliers, plusieurs millions, voire plus d'« ordinateurs fantômes » (ordinateurs infectés).

Au cours de l'enquête, Microsoft a également découvert que toutes les variantes de Nitol présentes sur les ordinateurs infectés étaient toujours connectées à des serveurs de commande et de contrôle (C&C) liés au domaine 3322.org d'une entreprise chinoise. Microsoft a accusé ce site web d'être le principal centre d'activités illégales. Ce domaine abrite le malware Nitol et plus de 560 autres types de malwares, créant ainsi le plus grand dépôt de logiciels infectés jamais découvert par Microsoft. Des sociétés de sécurité américaines avaient déjà signalé que le domaine 3322.org représentait plus de 17 % des transactions web malveillantes mondiales en 2009. En 2008, Kaspersky Lab (Russie) a également publié un rapport de sécurité indiquant que 40 % des programmes malveillants étaient simultanément connectés à 3322.org.

M. David Anselmi, directeur principal du département d'enquête sur la cybercriminalité de Microsoft, montre le diagramme de distribution du malware Nitol - Photo : THOMPSON/AP

Les ordinateurs vietnamiens pourraient être infectés

Selon les données du Bureau général des statistiques du Vietnam, au cours des huit premiers mois de cette année, le chiffre d'affaires des importations de biens électroniques, d'ordinateurs et de composants a atteint 8 milliards de dollars, soit une forte hausse de 88,7 % par rapport à la même période de l'année précédente. La Chine, quant à elle, est le premier marché du Vietnam avec un chiffre d'affaires à l'importation de 18,2 milliards de dollars, en hausse de 17,9 % par rapport à la même période en 2011. L'arrivée massive d'ordinateurs chinois dans les magasins de détail vietnamiens en témoigne.

Une série de journaux dans de nombreux pays ont publié l'affaire du « malware » Nitol.

Le danger de la « porte dérobée »

Selon M. Vo Do Thang, lorsqu'un ordinateur est doté d'une « porte dérobée », il peut être entièrement contrôlé de l'extérieur. Les pirates peuvent accéder illégalement à l'ordinateur de l'utilisateur, surveiller son utilisation, comme son historique d'accès aux sites web, voler le nom d'utilisateur et le mot de passe des transactions en ligne, ou transformer l'ordinateur en un outil pour propager un botnet à d'autres ordinateurs.

Ces dangers, s'ils se produisent, peuvent avoir de graves conséquences, car toutes les activités des utilisateurs sont contrôlées et les informations sont volées. Plus précisément, lorsque des utilisateurs vietnamiens effectuent des achats en ligne sur leur ordinateur, des informations telles que les cartes de crédit et les mots de passe d'accès à leurs comptes bancaires, etc., peuvent être récupérées par des pirates informatiques pour voler de l'argent.

Un représentant d'un revendeur informatique a déclaré : la plupart des marques d'ordinateurs commandent des produits fabriqués en Chine, et les distributeurs vietnamiens importent également principalement des marchandises de Chine. Les produits informatiques peuvent être préinstallés ou non avec des logiciels. Les ordinateurs équipés de logiciels protégés par des droits d'auteur sont plus chers, mais les revendeurs ne peuvent pas vérifier les droits d'auteur des logiciels installés sur l'ordinateur (!?).

Entre-temps, selon les documents d'enquête de Microsoft, de nombreux fabricants d'ordinateurs sans marque et revendeurs peu scrupuleux n'hésitent pas à utiliser des logiciels piratés préinstallés sur leurs ordinateurs pour réduire leurs coûts. Les consommateurs n'auront aucun moyen de savoir que le produit qu'ils viennent d'acheter contient un logiciel malveillant préinstallé doté de portes dérobées extrêmement dangereuses. Ils deviennent ainsi des cibles de choix pour les cybercriminels.

Lors d'une interview, M. Vo Do Thang, directeur du Centre de formation et de cybersécurité Athena, a déclaré : « La particularité d'un botnet réside dans sa capacité à se propager très rapidement sur Internet. Par conséquent, suite à la découverte de ce botnet et aux investigations menées par les experts de Microsoft, je pense que Nitol pourrait être présent au Vietnam. » Selon M. Thang, Nitol peut attaquer les utilisateurs vietnamiens en ouvrant discrètement des portes dérobées permettant à des cybercriminels d'accéder illégalement à leurs ordinateurs. Ce processus se déroule très discrètement, ce qui le rend très difficile à détecter pour les utilisateurs finaux sans connaissances spécialisées.

Kaspersky Lab Security Company a déjà réalisé des découvertes détaillées sur les logiciels espions les plus dangereux du moment, tels que Flame et Madi, des logiciels malveillants spécialisés dans le vol d'informations confidentielles sur des systèmes sensibles, notamment des centrales nucléaires et des systèmes informatiques gouvernementaux. M. Jimmy Low, expert en sécurité pour l'Asie du Sud-Est chez Kaspersky Lab Security Company, a un jour émis l'avertissement suivant : « Les centres de contrôle de Flame (serveurs de commande et de contrôle) ayant été découverts en Chine et en Inde, les deux plus grands pays d'Asie, je pense que les cybercriminels peuvent parfaitement utiliser des serveurs de commande et de contrôle similaires pour attaquer des cibles au Vietnam ou en Asie du Sud-Est s'ils le souhaitent. »

Comment éviter les « portes dérobées »

M. Vo Do Thang a déclaré que pour se protéger des attaques par « porte dérobée », les utilisateurs ne doivent pas accéder à des sites web ni télécharger ni installer de logiciels provenant de sources inconnues. Parallèlement, il est recommandé de mettre à jour régulièrement ses antivirus, ses pare-feu et ses logiciels de détection de sites web contenant des logiciels malveillants ou des logiciels espions, comme McAfee SiteAdvisor. Ce programme avertit les utilisateurs lorsqu'ils accèdent à des sites web contenant des logiciels malveillants, des logiciels espions ou des « portes dérobées », tout en empêchant tout accès ultérieur afin d'éviter toute infection informatique.

Selon Tuoitre-M