Le géant Microsoft vient de porter un coup sévère à Fox Tempest, un service cybercriminel spécialisé dans la signature frauduleuse de malwares. La France est le deuxième pays au monde le plus ciblé par ce réseau de ransomware.

© El editorial / Shutterstock
© El editorial / Shutterstock

Microsoft a annoncé ce mardi 19 mai avoir démantelé Fox Tempest, un service cybercriminel qui permettait à n'importe quel attaquant de faire passer ses logiciels malveillants pour des logiciels officiels, en les signant avec de vrais certificats de sécurité, volés à l'aide de faux comptes. Fox Tempest abusait du certificat de code, qui indique à votre ordinateur qu'un programme est fiable et qu'il peut s'installer sans danger, pour tromper les défenses. Avec une action en justice, la saisie d'infrastructures et la révocation des certificats frauduleux, Microsoft a mis fin à un business criminel qui générait de gros revenus pour les hackers.

Fox Tempest, le blanchisseur de malwares qui a fait des millions sur le dos de Microsoft

Mais comment fonctionnait Fox Tempest ? En quelques clics, un cybercriminel uploadait son fichier malveillant sur un portail en ligne. Fox Tempest se chargeait ensuite de le signer numériquement avec un certificat de code authentique, le même type de signature électronique que celle qu'utilisent Microsoft ou Google pour garantir leurs propres logiciels. On avait donc ici un malware que Windows et les antivirus reconnaissaient comme fiable, et qu'ils laissaient donc s'installer sans broncher.

Pour obtenir ces précieux certificats en volume, les opérateurs ont créé des centaines de faux comptes Microsoft, en usurpant des identités et en se faisant passer pour des entreprises légitimes. Cette mécanique d'imposteurs était très bien organisée, d'autant plus qu'elle a permis d'accumuler les accréditations à la chaîne, avec des millions de dollars de revenus, selon Microsoft. D'ailleurs, on évoque ici un modèle économique du cybercrime qui se professionnalise à grande vitesse.

Les logiciels malveillants signés par code apparaissent dans les résultats de recherche. © Microsoft
Les logiciels malveillants signés par code apparaissent dans les résultats de recherche. © Microsoft

Les malwares ainsi « blanchis » étaient diffusés par des moyens que beaucoup d'internautes connaissent sans toujours s'en méfier. Dans le lot, Microsoft a signalé de faux téléchargements de logiciels, des publicités malveillantes ainsi que des résultats de recherche manipulés. Les victimes croyaient installer un programme ordinaire, mais en réalité elles ouvraient grand la porte à des outils d'espionnage ou à des ransomwares. Une arnaque diffusée à une échelle industrielle.

Une fausse page de téléchargement et mécanisme de distribution de Microsoft Teams pour un logiciel malveillant dissimulé et signé. © Microsoft

La France très exposée à ce cybercrime à la carte

Dans sa plainte de Microsoft a aussi ciblé Vanilla Tempest, nommé co-conspirateur. Ce groupe spécialisé dans les ransomwares a utilisé Fox Tempest pour distribuer plusieurs logiciels malveillants, comme Oyster, Lumma Stealer et Vidar, des outils conçus pour voler des données et des mots de passe. La firme de Redmond cite aussi Rhysida, un rançongiciel qui chiffre les fichiers de ses victimes en les dérobant, pour les faire chanter. C'est notamment Rhysida qui a paralysé une partie des opérations de l'aéroport international de Seattle-Tacoma et volé des documents internes à la British Library. Parmi ses cibles, on retrouve des écoles, des hôpitaux et des infrastructures critiques.

Le formulaire de tarification de Fox Tempest et sa chaîne Telegram permettent d'acheter le service. Plus vous payez, plus l'accès au service est rapide. © Microsoft

La France a largement été ciblé ces derniers mois par les activités de Fox. L'Hexagone est en effet le deuxième pays le plus ciblé au monde, explique Microsoft. Et au-delà de Vanilla Tempest, le service était partagé entre plusieurs groupes criminels indépendants, dont Qilin, INC et Akira. Chacun achetait la capacité de signer ses malwares comme on achète un outil en ligne, sans avoir à le développer soi-même. Ce cybercrime à la carte, dopé à l'intelligence artificielle, rend ces attaques plus nombreuses, plus rapides et plus difficiles à mettre à mal.

Pour neutraliser Fox Tempest, Microsoft a dû agir sur plusieurs fronts, avec la saisie du site signspace[.]cloud (la vitrine du service), la mise hors ligne des centaines de serveurs qui faisaient tourner l'opération, et le blocage de l'accès au code source, pour empêcher toute remise en route rapide. L'opération a été coordonnée avec la société de cybersécurité Resecurity, Europol et le FBI. Signe que l'action porte ses fruits, des cybercriminels se plaignent déjà publiquement, souvent en russe, de ne plus pouvoir accéder au service. Une victoire pour le bien.