Le 9 juillet prochain, le FBI désactivera un réseau de serveurs DNS qui avait été établi temporairement pour stopper la progression du logiciel malveillant DNSChanger. Des dizaines de milliers d’ordinateurs encore infectés pourraient ne plus avoir accès à Internet.
Le Federal Bureau of Investigation, une agence d’enquête du gouvernement des États-Unis, procédera à la désactivation d’un réseau de serveurs « sain » qui avait été établi de façon temporaire dans le cadre de l’opération Ghost Click afin d’éradiquer la propagation d’un logiciel malveillant nommé DNSChanger.
La mise hors service de ce réseau de serveurs temporaire pourrait empêcher des milliers d’utilisateurs d’ordinateurs qui sont encore infectés par DNSChanger d’avoir accès aux services courants dans Internet. Le FBI, selon l’agence de presse Associated Press, estime que plus de 277 000 ordinateurs et routeurs contiendraient encore le logiciel malveillant.
Le logiciel malveillant DNSChanger, qui a été propagé par un réseau criminel de la République d’Estonie, en Europe, aurait infecté environ quatre millions d’ordinateurs et de routeurs liés à Internet dans plus de cent pays entre 2007 et 2011. Des systèmes informatisés appartenant à des individus, à des entreprises et à des entités gouvernementales ont été infectés par le logiciel malveillant.
Le FBI avait annoncé en novembre 2011 le démantèlement du réseau criminel responsable de la propagation de DNSChanger, qui opérait sous le couvert d’une entreprise nommée Rove Digital. Six Estoniens avaient été arrêtés. Un ordre de la cour avait permis à l’organisme Internet Systems Consortium, qui édite des logiciels essentiels d’infrastructure Internet, de déployer jusqu’au 8 mars 2012 un réseau de serveurs DNS « sain » afin de permettre aux utilisateurs d’ordinateurs infectés de procéder au nettoyage et au rétablissement des paramètres liés aux serveurs DNS. Or, peu après la date d’échéance initiale, la désactivation du réseau de serveurs DNS temporaire avait été reportée au 9 juillet prochain.
Infections au Canada
Selon une mise à jour effectuée le 11 juin dernier par le groupe de travail international DNS Changer Working Group, qui surveille le réseau de serveurs DNS temporaire, encore 8 924 adresses IP uniques au Canada seraient associées à des ordinateurs et des routeurs qui seraient encore infestés par le logiciel malveillant.
L’Autorité canadienne pour les enregistrements Internet et le Centre canadien de réponse aux incidents cybernétiques du ministère de la Sécurité publique du gouvernement du Canada ont établi un site Web qui permet de vérifier, par l’analyse d’une requête DNS, si un ordinateur ou un routeur est infecté par DNSChanger. Si c’est le cas, le site fournit une procédure d’élimination du logiciel malveillant et de rétablissement des paramètres d’accès aux serveurs DNS. L’internaute devra confirmer l’adresse IP d’un serveur DNS approprié auprès de son fournisseur de service d’accès Internet.
La portée de DNSChanger
Selon le FBI, DNSChanger modifiait les paramètres de serveur DNS sur des ordinateurs et des routeurs afin de diriger les requêtes destinées à des serveurs de noms de domaine – pour la conversion d’adresses URL en adresses numériques – vers des serveurs DNS escrocs. Ces serveurs dirigeaient les internautes vers des sites Web malveillants dont les exploitants, lors de transactions bidon, obtenaient de l’argent lorsque des internautes croyaient réaliser l’achat légitime d’un produit ou d’un service.
Également, le stratagème criminel aurait servi à détourner au moins 14 millions de dollars en paiements liés à l’affichage publicitaire légitime dans Internet. Ces paiements sont versés par des annonceurs à des exploitants de site Web lorsque leurs publicités y sont affichées ou lorsque les internautes cliquent sur leurs publicités.
D’autre part, le logiciel malveillant DNSChanger désactivait les mécanismes de mise à jour des logiciels antivirus et des systèmes d’exploitation sur les ordinateurs infectés.
