C'est la société de sécurité danoise CSIS qui, il y a une semaine, a repéré sur Internet des copies du code source de Zeus, à peu près en même temps que la diffusion, sur le web, du mode d'emploi décrivant les fonctionnalités du kit d'attaque. Certes, l'accès au code source est peut-être une aubaine pour les chercheurs, mais les professionnels de la sécurité craignent que l'accès au code puisse stimuler l'innovation chez les cybercriminels.
« Nous pourrions voir apparaître différentes adaptations de Zeus dans les prochains jours, les prochaines semaines ou les prochains mois, » explique Paul Wood, analyste senior chez Symantec cloud, qui propose des services de gestion et de sécurité pour le cloud. « Bien sûr, c'est l'opportunité pour les autres pirates de profiter de certaines technologies auxquelles ils n'avaient pas accès et de les introduire dans leur trousse à outils. Car il y a assurément un tas de fonctionnalités intéressantes à prendre dans la boîte à outils Zeus. »
Une bonne base pour les pirates
En 2004, le créateur du bot Agobot avait rendu son code source public. Peu de temps après, les variantes d'Agobot ont proliféré, faisant grimper ce code logiciel au statut de plus grande famille de logiciels malveillants détectés sur Internet. Déjà populaire, Zeus est souvent utilisé pour voler de l'argent sur les comptes bancaires des victimes. « Mais le code source pourrait permettre aux criminels de créer davantage de variantes, » estime l'analyste. D'autant que la diffusion du code a eu lieu à peu près en même temps que celle de son mode d'emploi. Mikko Hyponnen, directeur de la recherche en sécurité chez F-Secure, fait remarquer dans un tweet que cela « donne une bonne idée de la façon dont sont organisés ces gars-là. »
Selon l'analyste de Symantec « la sortie publique du code source et du manuel peut aussi permettre aux contre attaquants de trouver de meilleures méthodes pour détecter les variantes du code Zeus. » Reste que « le revers de la médaille, c'est vraiment de comprendre comment les composants générés à partir du code source fonctionnent, ce qui nous permettra de mettre en place de meilleurs modèles pour identifier ce type d'activité malveillante, » a ajouté Paul Wood. « Si nous pouvons mieux comprendre comment ils travaillent, cela nous permettra de bâtir de meilleures règles pour les détecter. »
Des auteurs toujours incognito
Malheureusement, le code n'a pas encore révélé grand-chose sur son ou ses auteurs. Dans une analyse publiée mercredi, Derek M. Jones, professeur invité à l'Université de Kingston et spécialisé en investigation et en expertise informatique, a déclaré que selon lui, l'auteur était seul, doté d'une certaine expérience professionnelle du développement logiciel, et avec de très bonnes aptitudes en anglais. « Il est difficile de tirer des conclusions à partir de ces seuls éléments, » a-t-il ajouté. « Certains chercheurs ont essayé de trouver des signatures qui permettraient de savoir qui sont les auteurs, » a-t-il expliqué. « Mais le problème c'est que les gens recherchent des motifs, et que dans un code, il n'y a pas beaucoup de motifs. » Pince-sans-rire, Mikko Hypponen de F-Secure a affirmé de son côté : « Ils sont russes. Cela devrait beaucoup nous aider à les trouver ! »