Des groupes de cyberattaquants ne créent et n'exploitent même plus de virus. Ils utilisent désormais les logiciels légitimes des usagers pour piéger leurs victimes. Une technique indétectable, qui inquiète grandement les experts.
Le piratage informatique est en train de vivre sa plus grande mutation depuis dix ans. Rencontré aux Assises de la cybersécurité, Mathieu Tartare, expert d'ESET, a levé le voile sur une mutation inquiétante des cyberattaques. Les virus complexes et les backdoors sophistiquées ne sont plus les seules menaces. Les hackers, qu'ils soient Russes, Chinois ou Nord-coréens, ont trouvé mieux, ou pire, devrait-on dire. Les voilà capables de détourner les outils déjà présents sur nos machines, comme les VPN, les fonctionnalités Windows ou les logiciels de contrôle à distance. Ils sont plus sournois, plus redoutables, et surtout invisibles aux yeux des antivirus traditionnels.
Les logiciels légitimes deviennent les nouvelles armes des hackers et se retournent contre les utilisateurs
Le constat établi par ESET est assez brutal. Les campagnes d'espionnage modernes, pour certaines, ne déploient plus de fichiers malveillants. « On voit de plus en plus de groupes qui cherchent à ne pas déployer de malware », nous explique Mathieu Tartare sans détour. Qu'il s'agisse du FSB, le service de renseignement russe, aux unités de cyberespionnage chinoises, tous s'y mettent. La raison est simple, ils savent que chaque malware développé représente à un moment ou un autre un risque de détection.
Les exemples de ce type relativement nouveau de piratage pullulent. Des groupes russes installent par exemple des logiciels de contrôle à distance comme AnyDesk dans les réseaux compromis. Softether VPN, un programme open source parfaitement légitime, est discrètement déployé sur les machines d'une organisation. Le résultat, c'est que l'attaquant se connecte au réseau de sa victime comme un banal employé en télétravail. Et distinguer cette connexion d'une activité normale relève de l'impossible ou presque.
« Pourquoi déployer du malware, quand on peut déployer du logiciel légitime ? », nous demande Mathieu Tartare, comme pour résumer l'implacable logique des hackers. Il faut dire que le temps où il fallait coder pendant des semaines un cheval de Troie indétectable semble révolu. Aujourd'hui, il suffit d'utiliser ce qui existe déjà. Et ce qui existe déjà, ce sont les outils de gestion à distance, les VPN, les invites de commande Windows : tout devient une arme potentielle, entre de mauvaises mains.
Comment un simple clic sur la loupe Windows peut compromettre tout votre système
Le groupe Digital Recyclers, affilié à la Chine, a poussé le concept dans ses retranchements, avec un hack aussi simple que diabolique. Pour schématiser, ils modifient les fonctionnalités d'accessibilité de Windows en remplaçant la fameuse loupe du système d'exploitation par une invite de commande. En gros, ils altèrent les clés de registre qui pointent normalement vers magnify.exe (la loupe) pour les rediriger vers CMD.exe.
L'attaquant se connecte ensuite en RDP (qui permet l'accès à distance) ou via une console de machine virtuelle, clique sur le petit bouton accessibilité en bas à droite de l'écran de connexion, et active la loupe. En gros, il clique sur l'icône de loupe avant même d'entrer un mot de passe, et hop, un terminal s'affiche avec tous les privilèges système. « Pour le cybercriminel, là, c'est le jackpot », lâche l'expert.
PerplexedGoblin, un groupe chinois très sophistiqué, pratique le « Bring Your Own Vulnerable Software », que l'on pourrait traduire par apporte ton propre logiciel vulnérable. La technique consiste à déployer un logiciel légitime contenant une faille de sécurité connue, dans le réseau de la victime, puis à l'exploiter sans jamais créer de fichier suspect. « Il n'y a pas d'exécutable ou de DLL malveillant sur la machine de la victime », précise Mathieu Tartare. Pour quelqu'un qui ne surveille que les fichiers, cela revient à chercher un fantôme.
Les Nord-Coréens s'y sont mis aussi avec leur technique ClickFix, dont vous avez déjà peut-être entendu parler. Imaginez recevoir une fausse offre d'emploi alléchante dans la crypto. Le recruteur vous fait passer un test technique sur une plateforme de visioconférence bidon. « Il vous dit que le micro ne marche pas, que sa webcam ne fonctionne pas et vous invite à copier-coller une commande dans votre terminal », décrit Mathieu. Vous exécutez, voilà votre machine infectée, et vous téléchargez sans vous en rendre compte un malware du groupe DeceptiveDevelopment, justement liée à la Corée du Nord.
La cybersécurité doit se réinventer d'urgence
Cette vraie révolution du cybercrime peut être amenée à chambouler le métier même de chercheur en sécurité. « Avant, notre travail, c'était de procéder à l'analyse d'un malware, de dire s'il est malveillant ou pas, de l'envoyer aux ingénieurs de détection, et de le bloquer », raconte Mathieu Tartare. Aujourd'hui, sans malware à traquer, l'essentiel du travail consiste à surveiller les infrastructures réseau des attaquants : leurs serveurs de commande, leurs connexions suspectes, leurs empreintes digitales cachées dans le trafic. « On passe beaucoup plus de temps maintenant à partager les caractéristiques des infrastructures réseau que des IOC (des indicateurs de compromission) de malwares. »
L'illusion de la vigilance individuelle peut s'effondrer, face à de telles techniques. « On entend souvent des gens dire : "oh bein moi, j'allume le cerveau, je fais attention, je n'ai pas besoin d'antivirus". Ce n'est pas toujours vrai », prévient Mathieu Tartare. Même l'utilisateur le plus paranoïaque ne peut rien contre un logiciel légitime qui exploite une vulnérabilité invisible. « C'est facile d'être un peu fatigué, de pas faire attention », rappelle-t-il, à la fois lucide et pragmatique.
Qu'on se le dise, les solutions d'hier ne suffisent plus. Benoît Grunemwald, collègue de Mathieu chez ESET que vous connaissez bien chez Clubic, enfonce le clou à notre micro. « Toute entreprise doit installer des solutions de sécurité, et avant ça, choisir lesquelles. Ensuite, il faut les monitorer. Et si vous ne le faites pas, à la limite, autant rien installer. » L'EDR, la surveillance réseau en temps réel, et l'analyse comportementale deviennent des outils deviennent indispensables. Mais surtout, l'humain doit rester aux commandes. Parce que dans cette guerre invisible, le chainon faible n'est plus le malware détectable. C'est nous.
