Stuxnet, pour ceux qui ne s’en souviennent pas, est un mélange de botnet et de ver qui a infecté des centaines d’ordinateurs via des clés USB depuis l’année dernière et a culminé avec l’infection de certains équipements spécifiquement conçus pour contrôler les processus industriels en Iran. Cette semaine, certaines sociétés de sécurité ont réalisé qu’elle avait été remise en service par une porte dérobée appelée DuQu, et qu’elle recueillait des données d’une manière très particulière.
Lorsque vous cesserez enfin de rire du nom donné à cette nouvelle menace pour la sécurité informatique, vous vous rendrez compte qu’il s’agit d’une question relativement sérieuse. DuQu est une nouvelle porte dérobée créée par les mêmes auteurs que Stuxnet, car seuls ceux qui ont accès au code source du ver original peuvent créer le nouveau ver. Mais contrairement à Stuxnet, qui visait les équipements de contrôle des processus industriels, DuQu ne fait que capturer des données et les envoyer à un serveur.
Selon les experts de F-Secure, la façon dont le ver s’y prend est assez curieuse. Comme les créateurs voulaient passer inaperçus, ils ont décidé de dissimuler l’échange d’informations entre les ordinateurs infectés par DuQu et les serveurs. C’est pourquoi DuQu envoie les données collectées cachées à la fin d’une image nommée dsc00001.jpg et par le biais du trafic HTTP, ce qui est assez courant sur le web. L’image utilisée est celle que vous voyez à côté, et c’est une image de la NASA qui montre la collision de deux galaxies.
La personne (ou l’organisation ou le gouvernement, si vous voulez alimenter les théories de conspiration) derrière DuQu pour le moment ne fait que collecter réellement des informations, qui peuvent être utilisées dans une future attaque. Mais en attendant que cette attaque se produise, nous ne pouvons qu’attendre. Et riez un peu plus du nom de ce ver, qui a été surnommé DuQu grâce au préfixe ~DQ dans certains de ses fichiers.
