Bien qu'il semblait mort et enterré depuis fin 2011, une nouvelle version du malware Sefnit a fait parler d'elle l'été dernier pour de la fraude au clic et le minage de Bitcoins orchestré par deux " hackers ".
Sur des ordinateurs Windows infectés et constituant un botnet, des instructions ont été passées en s'appuyant pour cela sur le réseau d'anonymisation Tor. Une première à une aussi grande échelle avec plusieurs millions d'ordinateurs affectés.
Alors que la soudaine hausse du nombre d'utilisateurs du réseau Tor a attiré l'attention, Microsoft s'est attaqué au problème pour porter un coup au botnet. La contre-attaque a d'abord consisté à ajouter des signatures dans ses solutions de sécurité afin de détecter et supprimer les versions de Sefnit.
Mais Microsoft s'est ultérieurement également attaqué au cas du composant Tor insidieusement installé sur des ordinateurs. Il y a ainsi eu une suppression de ce client Tor sur autant d'ordinateurs que possible.
Chercheur antivirus chez Microsoft, Geoff McDonald explique que le client Tor laissé par Sefnit présentait des risques. Il s'agissait d'une ancienne version sans mise à jour automatique et potentiellement sujette à des vulnérabilités de sécurité. Il ajoute : " Tor est une bonne application utilisée pour anonymiser le trafic et ne pose habituellement pas de menace ".
Le client Tor installé par Sefnit ne l'était pas dans des dossiers usuels. Microsoft a modifié les signatures de son antimalware Microsoft Security Essentials ou encore de Windows Defender afin d'éradiquer le composant Tor jugé malveillant. Malicious Software Removal Tool - diffusé auprès de tous les utilisateurs Windows via Windows Update - a également été mis à jour en fonction.
Quelques voix se font attendre pour pointer du doigt le fait que Microsoft peut décider d'éliminer à distance des programmes. En ces temps post-Snowden, les inquiétudes sont attisées par le fait que cela a touché un composant comme Tor. Mais il y avait en l'occurrence une réelle légitimité à agir et l'action a ciblé un client bien particulier.
Qui plus est, la suppression est passée par des outils de sécurité. Il n'est pas nouveau que par ce biais des suppressions peuvent être opérées. Des utilisateurs s'en rendent parfois malheureusement compte lors de problèmes de faux positifs avec une solution antivirus.