Dans le cadre d'une initiative menée de concert avec le FBI, Europol ainsi que A10 Networks (fournisseur de contrôleurs de réseaux applicatifs), Microsoft annonce non pas le démantèlement mais une action qui devrait largement perturber le botnet ZeroAccess. Un botnet est pour rappel un réseau d'ordinateurs infectés.

ZeroAccess Autrement connu sous le nom de Sirefef, ZeroAccess est tenu pour responsable de l'infection de près de 2 millions d'ordinateurs dans le monde. Plusieurs cordes à son arc dont le détournement de résultats de recherche (Google, Bing, Yahoo!) via de faux liens redirigeant vers des sites potentiellement malveillants, la fraude au clic.

La fraude au clic consiste à faire payer des annonceurs pour des clics qui ne sont pas légitimes. De quoi réduire à néant des budgets publicitaires. Selon Microsoft, ZeroAccess aurait coûté 2,7 millions de dollars par mois à des annonceurs.

Au premier trimestre 2013, la société de sécurité réseau Fortinet écrivait que ZeroAccess n'avait de cesse d'augmenter son nombre de bots - ordinateurs infectés - sous son contrôle et soulignait par ailleurs que le botnet générait des bitcoins.

Après le dépôt d'une plainte aux USA, Microsoft a obtenu l'autorisation de bloquer les communications entre les ordinateurs situés aux États-Unis et 18 adresses IP utilisées par ZeroAccess. Aidée par A10 Networks, la firme de Redmond a également pris le contrôle de 49 noms de domaine associés au botnet.

Europol a coordonné l'action visant les 18 adresses IP localisées en Europe. Des saisies de serveurs ont eu lieu en Lettonie, Luxembourg, Suisse, Pays-Bas et Allemagne. Cela montre les difficultés de telles actions qui nécessitent une frappe à l'échelle internationale.


Une élimination difficile
Mais le botnet ZeroAccess est une menace particulièrement complexe qui ne sera pas complètement éliminée. Krebs on Security explique que si les premières versions de ZeroAccess s'appuyaient sur des serveurs de contrôle pour recevoir des mises à jour, les versions plus récentes s'appuient sur une architecture décentralisée en P2P. Les nouvelles commandes et charges utiles sont distribuées d'un ordinateur infecté à un autre. Le botnet P2P ne semble pour le moment pas déstabilisé.

L'action menée par Microsoft n'en demeure pas moins à saluer et ce n'est pas une première dans le genre. Récemment, Microsoft a ouvert un centre d'excellence pour lutter contre le cybercrime.