Un ver informatique USB désormais abandonné qui permet l’accès à distance des appareils connectés a continué à s’auto-répliquer pendant des années depuis que ses créateurs en ont perdu le contrôle et reste actif sur des milliers, voire des millions, de machines, ont déclaré les chercheurs jeudi. Le ver, révélé pour la première fois dans un article de 2023 publié par la société de sécurité Sophos, est devenu actif en 2019 lorsqu’une variante de logiciel malveillant connue sous le nom de PlugX a ajouté une fonctionnalité lui permettant d’infecter automatiquement les clés USB. En retour, ces clés infectaient tout nouvel appareil auquel elles étaient connectées, une capacité qui permettait au malware de se propager sans nécessiter aucune interaction de l’utilisateur final. Les chercheurs qui ont suivi PlugX depuis au moins 2008 ont indiqué que le logiciel malveillant a ses origines en Chine et a été utilisé par divers groupes liés au Ministère de la Sécurité de l’État chinois. Pour des raisons qui ne sont pas claires, le créateur du ver a abandonné la seule adresse IP qui avait été désignée comme son canal de commande et de contrôle. Sans personne pour contrôler les machines infectées, le ver PlugX était effectivement mort, du moins on aurait pu le supposer. Il s’avère cependant que le ver continue de résider dans un nombre indéterminé de machines, pouvant atteindre des millions, ont rapporté les chercheurs de la société de sécurité Sekoia. Les chercheurs ont acheté l’adresse IP et connecté leur propre infrastructure serveur pour intercepter le trafic y accédant, empêchant ainsi son utilisation à des fins malveillantes. Depuis lors, leur serveur continue de recevoir du trafic PlugX provenant de 90 000 à 100 000 adresses IP uniques chaque jour. Sur une période de six mois, les chercheurs ont comptabilisé des demandes provenant de près de 2,5 millions d’adresses IP uniques. Ce type de demandes est courant pour pratiquement tous les types de logiciels malveillants et se produisent généralement à des intervalles réguliers allant de quelques minutes à plusieurs jours. Bien que le nombre d’adresses IP affectées ne reflète pas directement le nombre de machines infectées, le volume suggère tout de même que le ver reste actif sur des milliers, voire des millions, d’appareils. « Nous pensions initialement avoir quelques milliers de victimes connectées à l’adresse IP, comme nous en voyons sur nos sinkholes habituels », ont écrit les chercheurs de Sekoia, Felix Aimé et Charles M. « Cependant, en mettant en place un simple serveur web, nous avons constaté un flux continu de requêtes HTTP variées tout au long de la journée. »
« La Croisade acharnée d’un couple pour arrêter un tueur génétique »
En y repensant, cela aurait pu être un indice. Mais au début de l’année 2010, lorsque Kamni Vallabh a commencé
