En fin d'année dernière, Microsoft a ajouté la signature d'un client Tor à la liste des logiciels malveillants à supprimer automatiquement par son outil "Malicious Software Removal Tool". Il avait été installé par un malware.
L'été dernier, le réseau d'anonymisation des communications Tor avait connu une croissance aussi spectaculaire qu'artificielle du nombre de ses utilisateurs, qui fut attribuée au réveil d'un réseau de botnetscréé grâce au cheval de Troie Sefnit. Quatre millions d'ordinateurs infectés se sont ainsi joints soudainement au réseau zombie, en attente d'instructions relayées via le réseau Tor. L'objectif était de mettre toute la puissance de ces ordinateurs à contribution pour miner des Bitcoins, et ainsi enrichir deux hackers ukrainien et israélien, Scorpion et Dekadent.
En étudiant les caractéristiques des clients Tor apparus soudainement, les développeurs ont rapidement vu qu'il s'agissait exclusivement des versions v0.2.3.25, et que le malware était destiné à Windows. Ce qui a poussé Microsoft à s'attaquer au problème.
Or, Microsoft a réussi à combattre le botnet en employant une méthode musclée, qui met en évidence les moyens d'action dont dispose la firme de Redmond. Le site Daily Dot rapporte en effet que Microsoft a pu désinstaller à distance le malware et son client Tor.
Ce sont les développeurs et activistes Roger Dingledine et Jacob Appelbaum qui ont révélé l'opération fin décembre lors du dernier Chaos Computer Congress (CCC). "Il s'agissait d'un malware destiné à Windows, et Microsoft a la possibilité de supprimer les choses qu'il identifie comme étant malveillantes", a expliqué Appelbaum. Donc, "ils ont supprimé les clients Tor des utilisateurs de Windows qui faisaient partie de ce botnet".
"Quand nous leur avons parlé, ce que j'ai compris c'est qu'ils ne le supprimaient que quand ils étaient certains qu'il s'agissait d'un client Tor faisant partie de ce botnet", a-t-il raconté. Par chance, le client Tor malicieux était installé dans un dossier particulier, où aucun utilisateur n'irait l'installer naturellement.
Mais "c'est beaucoup de pouvoir dont dispose Microsoft ici", a insisté Appelbaum. "Si vous utilisez Windows et essayez d'être anonymes, soyez prévenu : mauvaise idée".
En effet, si Microsoft peut désactiver à distance un client Tor jugé malicieux, il pourrait théoriquement le faire dans des circonstances exceptionnelles (ou sur instruction judiciaire) pour désinstaller Tor sur des ordinateurs spécifiquement identifiés, ou sur tous les ordinateurs d'une région géographique donnée.
Sur un blog Technet, le chercheur en anti-virus de Microsoft Geoff McDonald a confirmé le 9 janvier que la firme avait agi le 27 octobre 2013 pour intégrer la signature du client Tor installé par Sefnit à la liste des malwares reconnus par les différents outils de sécurité de Windows (Microsoft Security Essentials, Windows Defender pour Windows 8, Microsoft Safety Scanner, Microsoft System Center Endpoint Protection, et Windows Defender Offline).
Le 12 novembre 2013, la signature du client Tor de Sefnit a été ajoutée à l'outil de suppression de logiciels malveillants de Microsoft (Malicious Software Removal Tool), lequel est mis à jour automatiquement par Windows Update. C'est alors que l'outil a fait son travail, en supprimant le client Tor identifié comme un malware.
Selon ses estimations, il reste environ 2 millions de machines infectées, dont les propriétaires n'utilisent pas les logiciels de sécurité de Microsoft, ou n'autorisent pas la mise à jour automatique. Ce qui montre, tout de même, que l'utilisateur garde le contrôle sur son ordinateur s'il le souhaite.
Comment Microsoft a supprimé des clients Tor installés sous Windows
45 Commentaires
Inline Feedbacks
View all comments
muchi
17 janvier 2014 11 h 02 min
En quoi c’est surprenant ou un problème?
Quand on utilise un antivirus, ben on utilise un antivirus.
Sinon, il faut pas utiliser un antivirus.
Ce n’est pas un porte de derrière, c’est le but même de l’antivirus.
Dans le pire des cas, il se passerait quoi? Tor serait désinstallé et alors? Il suffirait de
Indeed.
Or, précisément, muchi a écrit un post argumenté au début, auquel tomy13 a répondu par des attaques personnelles sans démontrer de capacités d’argumentations.
Au bout d’un moment, face à un post comme celui de tomy13, je vois pas ce que muchi pouvait répondre d’autre que ça.
Pareil je vois pas le problème surtout que si on lit l’article technet c’est bien écrit que c’est seulement la version 0.2.3.25 (qui est une passoire (4 CVE dont 3 Heap Overflow…) )
Donc pour ce coup ci, Microsoft oblige ses clients à mettre à jour Tor et tant mieux !
Antivirus : programme que t’installe sur ton ordi et conçu pour te protéger des virus et désinfecter ton ordi
Microsoft : entreprise qui conçoit windows, et qui apparemment se permet de décider qu’est-ce que tu fait avec ton ordi et de modifier tes fichiers sans t’avertir
L’antivirus est un programme, il ne fait que ce qu’on lui a programmé de faire, Microsoft est une boite avec des gens qui ont leur propre conscience et dont tu n’a aucune idée de leurs intentions
En quoi ce serait différent avec un AV produit par n’importe qui d’autre?
En quoi ce serait différent avec n’importe quel programme “closed-source” produit par n’importe qui d’autre?
En quoi ce serait différent avec n’importe quel programme “open source” avec MàJ auto produit par n’importe qui d’autre?
Microsoft, une société qui en l’occurence, édite un paquet de solutions de sécurité/antivirus (dont le Malware Removal Tool, qui a son pendant chez, au hasard, Norton et Kaspersky, mais aussi MS Security Essentials qui EST un antivirus/antispyware) et qui a intégré les signatures d’un MALWARE à celui-ci de manière totalement normale, et qui l’a retiré (ainsi que tous ses composants, dont un client Tor).
Quel que soit l’OS de MS que tu utilises, si tu n’installes pas le Malware Removal Tool/Security Essentials, il ne se passe rien, tu gardes ton Sefnit si tu l’as.
Faut arrêter les procès d’intention (de une), et apprendre à comprendre ce qu’on lit (de deux) au lieu de comprendre ce que l’on veut et qui est du délire conspirationniste imbécile.
On peut reprocher beaucoup de choses à MS, mais sur ce coup là, ils ont JUSTE fait leur taff d’EDITEUR DE SOLUTIONS ANTIVIRUS/MALWARES !!!
L’article n’en démontre pas moins que à condition que windows update soit activé , MSRT fait ce qu’il veux. C’est pareil sous linux d’ailleurs sur les distributions…
A la base il faut faire confiance à l’éditeur, que celui-ci soit une méchante entreprise capitaliste sans morale ou la plus pure et altruiste des communautés derrière les distributions telle que debian, bien sur
Mais “c’est beaucoup de pouvoir dont dispose Microsoft ici”, a insisté Appelbaum. “Si vous utilisez Windows et essayez d’être anonymes, soyez prévenu : mauvaise idée”.
Il a oublié : »Si vous utilisez Windows et avez activé Windows Update »
Prends nous pour des cons. Il y a ce que le journaleux dit, et ce que les gens comprennent.
Par exemple : dans la centrale de Fukushima Daichi, 300 T/jour d’eau contaminée s’écoulent jusqu’à l’océan.Ce que les gens comprennent : les radionucléides contenues dans les bâtiments réacteurs vont dans l’océanLa réalité : les radionucléides déposées sur le sol autour des bâtiments vont dans l’océanLe premier pourrait être grave (enfin, tout dépend des radionucléides en cause), le second n’a AUCUNE espèce d’importance et rajoute une contamination négligeable à l’océan.Dire qu’un AV fait son boulot n’a aucun intérêt, tu ne peux pas faire une bonne « news » avec ça.Depuis le début ces histoires de succès très fulgurant de Tor n’ont aucun intérêt. Il était évident qu’il s’agissait d’un artefact.
C’est amusant, mais c’est l’arrière goût laissé par l’article qui sous entend que ce qui est fait par un client tor malveillant pour l’être pour tous les clients tor.
La plupart des AV mettent automatiquement en « quarantaine » le logiciel, et à partir de là, les utilisateurs ne savent pas forcément le faire sortir de quarantaine.
Donc il pourrait aussi bien être supprimé, ça ferait le même effet… sauf que supprimer récupère l’espace disque.
« Ici, c’est microsoft qui décide. Il pourrait donc effacer tout ce qui pourrait lui déplaire. »
Exact, sur un OS Microsoft, c’est exclusivement Microsoft (ou la NSA ?) qui décide et qui en a le contrôle (ou les créateurs de malwares qui exploitent de nombreuses failles). C’est un logiciel privateur et donc c’est tout le contraire des systèmes d’exploitation libres où c’est l’utilisateur qui peut en prendre le contrôle.
C’est même expliqué dans leur “EULA” Microsoft…
Ce n’est pas nouveau. http://fr.windows7sins.org/
Comment l’utilisateur typique peut-il savoir si le composant logiciel liburkklh est un malware ou pas?
Comment l’utilisateur typique peut-il savoir s’il veut désinstaller shtyiuo.exe ou libmachin.so?
bailey2
17 janvier 2014 14 h 24 min
Or, Microsoft a réussi à combattre le botnet en employant une méthode musclée, qui met en évidence les moyens d’action dont dispose la firme de Redmond.
C’est fou : Microsoft arrive à désinstaller des logiciels sous Windows. Cela « met en évidence les moyens d’action » de Microsoft.Non, mais quel scoop ! Il a fallu cette histoire pour que la désinstallation de logiciels soient mises en évidence.Jusque là, personne ne soupçonnait ça.Non, mais c’est encore pire que le scandale de la NSA ! Alertons le monde entier « Microsoft peut désinstaller des malwares sur votre machine » !
Ca commence avec les malwares, mais où cela finira t’il ?Parce que c’est comme ça sur Numerama : on sait bien que lorsqu’on commence à s’attaquer aux libertés pour soi disant la bonne cause, c’est en fait un motif sournois pour aller s’attaquer à toutes les libertés.Bientôt Microsoft pourra désinstaller les logiciels qui ne lui plaisent pas : Firefox, OpenOffice, …Tremblons !!!
Des fois on se demande « Numerama réfléchir le numérique »…
PeeWee1
17 janvier 2014 14 h 46 min
Bonjour,Est-il possible de savoir quel(s) numéro(s) de package de mise à jour permet(tent) à Microsoft de retirer le « malware » ? Cela pourrait nous aider à contrer ces suppressions abusives…Merci !
Non dans l’absolu, parce que :- tu décides ou non de l’installer- tu décides ou non de l’utiliser
Si tu ne fais pas confiance à l’éditeur (ici MS, mais ça pourrait être Kasperky, Norton, whatever), tu n’utilises pas.
C’est aussi simple que ça.
C’est un truc tellement spécifique et tellement complexe qu’il y a probablement moins de 1% de la population capable ne serait-ce que de comprendre et vérifier ce que sont les définitions de virus et si elles sont « cohérentes », ce qui implique de faire confiance aux professionnels et editeurs dont c’est le taff, parce que de toute façon tu ne peux pas vérifier ce qu’ils font TOI.
Le Malware Removal Tool fait son taff, point, faut pas voir plus loin (accessoirement, de mémoire y a une page sur le site de MS listant les programmes visés par le dit soft, si tu veux vraiment savoir).
Ah bon ? Un Malware (Sefnit) embarquant d’autres logiciels n’est pas un malware ?
Encore une fois, il ne retire pas Tor (une quelconque version), il retire un Malware (Sefnit) ET toutes ses composantes et programmes embarqués DONT une version spécifique de Tor installée dans un chemin spécifique…
exactement de la même manière que tous les autres antivirus viraient les clients/servers irc/dns/http installés avec les malwares/virus, et le font toujours.
Encore une fois, c’est un procès d’intention débile et une méconnaissance crasse du fonctionnement de tous ces programmes… c’est triste.
Faut arrêter avec la parano imbécile, la haine aveugle, on peut reprocher beaucoup de choses à beaucoup de boîtes, mais là il s’agit tout bonnement du fonctionnement NORMAL de tout antivirus/antimalware, spécialement du fait que MS n’a rien caché, a avertit AVANT de l’intégrer qu’ils intégraient ces signatures dans leurs outils, et communiquent ouvertement dessus.
Aucun, ce n’est pas des maj systèmes, c’est une(des) signature(s) ajoutées au Maware Removal Tool/Security Essentials et le reste des suites de sécurité/antivirus/antimalware de MS.
IE : si tu ne les utilises pas, il n’arrive rien à ta machine, autrement, ils font leur TAFF, cad retirer les virus/malwares de ton ordi.
Faut vraiment être barré ou idiot pour trouver que c’est un problème. De mémoire, d’ailleurs, ce n’est pas le seul éditeur à identifier et supprimer le dit Malware, la seule chose c’est que c’est peut être le seul à virer le client Tor spécifique installé avec (et encore, même pas sûr), ce qui n’est pas non plus un problème parce qu’il ne vire QUE celui installé par le malware dans un dossier spécifique, sauf si tu t’amuses à faire exprès d’installer cette version de Tor dans le chemin spécifique du Malware…..
» il pourrait théoriquement le faire dans des circonstances exceptionnelles (ou sur instruction judiciaire) pour désinstaller Tor sur des ordinateurs spécifiquement identifiés, ou sur tous les ordinateurs d’une région géographique donnée. »
Hypothèse complètement délirante.
Quel serait l’intérêt de faire cela?
C’est vrai que c’est délirant … c’est comme si on pensait que la NSA pouvait espionner toutes les communications de tous les êtres humains. Je ne peux même pas l’imaginer.
Parce que s’ils passent la ligne et utilisent leur solutions de sécurité pour en faire plus que ce qui est strictement demandé (ce qui n’est pas le cas), c’est des milliers de responsables d’infrastructures professionnels qui vont perdre confiance en eux, et il en résulterait des pertes désastreuses.Si Microsoft est en position dominante, ce n’est pas pour rien non plus. Sur ce genre de sujets ils ont toujours travaillé de manière irréprochable. Et l’exemple de cet article n’en est qu’une preuve supplémentaire. De plus la concurrence existe, et attend précisément ce genre de faux pas pour se jeter sur Microsoft et se partager ses marchés.
Ils lutteront au contraire contre ce genre d’injonctions et ils obtiendront raison auprès des tribunaux, car on ne peut forcer une entreprise à commettre des actes délictueux même pour supprimer un logiciel qu’on considèrerait comme délictueux.
neurojetencule
20 janvier 2014 1 h 27 min
Et voilà, les méthodes de l’extrême gauche sont employées : on éradique tout vecteur de liberté d’expression.
En cours (4 min) : Comment Microsoft a supprimé des clients Tor installés sous Windows