Ar3s,
le maître présumé d'Andromeda, l'un des plus puissants et des plus
anciens botnets de la Toile, a été arrêté fin novembre au Belarus. Il a
fallu, pour l'identifier et l'arrêter, la collaboration pendant de longs
mois des plus puissantes agences anti-crimes de la planète.
En 6 ans, Andromeda a contaminé plus de 2 millions de machines, et a permis de bâtir plus de 400 botnets.
Trahi par ICQ
Il aura fait courir le FBI, Europol, et toutes les sociétés de
cybersécurité de la planète pendant plusieurs années. Les autorités du
Bélarus viennent d'annoncer lundi 4 décembre l'arrestation du maître
présumé d'Andromeda, le kit logiciel à l'origine d'un gigantesque réseau
de botnets qui avaient réduit à l'état d'esclave plus de 2 millions de
machines dans 223 pays.
Le maître en question est un certain Sergey Jarets, 33 ans, directeur
technique d'une chaîne de télé régionale bélarusse. Mais derrière cette
activité légale, Sergey était aussi Ar3s, une figure respectée de
l'underground criminel du Net. C'est sa présence sur de nombreux forums
whitehat, notamment son identifiant ICQ, qui a permis aux enquêteurs de
remonter sa piste.
Un champion de la dissimulation
Andromeda, connu aussi sous le nom de Gamarue, restera comme son
chef-d'oeuvre : il s'agit en fait d'un kit couteau-suisse permettant de
bâtir des malwares sur mesure. Ses plug-ins permettaient pour 150
dollars de transformer Andromeda en keylogger (collecteur de frappes de
clavier), de prendre le contrôle de la machine infectée et de la
transformer en serveur de diffusion de malwares. C'est cette
fonctionnalité qui a fait le succès d'Andromeda, devenu l'agent de
contamination de 464 botnets autour de nombreuses attaques en déni de
service. On retrouve Andromeda à la racine de plus de 80 familles de
virus en tous genre : rançongiciels (Petya ou Cerber), des diffuseurs de
spams, trojans (chevaux de Troie), etc.
Andromeda avait aussi la particularité d'être sélectif : il épargnait
volontairement les machines localisées en Russie, Ukraine, Kazakhstan
et... Belarus. Sournois, il s'effaçait de lui-même s'il repérait un
antivirus, et contournait aisément les firewalls et les mises à jour
Windows. Andromeda porte aussi bien son nom, car c'est véritablement une
constellation de 1.200 domaines et adresses IP que les autorités ont
identifiés comme postes de contrôle des machines infectées. Rien que sur
les 6 derniers mois, Microsoft en a identifié plus d'un million.
Depuis le mois de décembre, les experts en cybersécurité
regardent avec inquiétude grossir à toute vitesse un botnet baptisé
Satori. Ce dernier s'ajuste en permanence aux contre-mesures, et a la
particularité de se loger dans tout objet mal protégé et connecté à
Internet.
Parmi les cibles favorites de Satori, les thermostats, les TV
connectées, les systèmes d'infotainment dans les voitures, mais surtout
les routeurs. Une fois massif, le botnet pourrait servir à des attaques
en déni de service (DDoS).
Déjà 40.000 zombies
En japonais, son nom signifie illumination, compréhension, éveil. Une
notion d'une haute valeur philosophique, bien loin des objectifs et des
méthodes du malware baptisé Satori. Repéré en décembre dernier, ce code
malicieux se loge dans toutes sortes d'objets connectés au Net et les
asservit, tels des zombies, pour constituer un puissant botnet, une
armée de machines à la main de son ou ses maîtres.
Satori n'est pas encore très gros : il aurait sous sa coupe environ
40.000 appareils, mais il grandit vite. Les experts observent avec
inquiétude la discipline de son ou ses auteurs, qui modifient
régulièrement leur tactique d'infection. Le moment venu, Satori pourrait
servir à expédier des millions de spams, ou noyer sous des requêtes
simultanées venant de chaque objet infecté les serveurs d'une compagnie,
d'un hébergeur ou d'une institution.
Le digne héritier de Mirai
Des pans entiers du code source de Satori sont identiques à celui de
Mirai, un botnet qui paralysa en 2016 plusieurs structures critiques du
web en Amérique du Nord. L'attaque de Mirai fit tomber notamment
Twitter, les sites d'Airbnb et du New York Times. Au faîte de sa
gloire, Mirai enrôlait des centaines de milliers de routeurs, de webcam,
et de toutes sortes d'objets connectés corrompus.
Les trois auteurs de Mirai ont été arrêtés mi-décembre par le FBI, mais
leur créature a ouvert la voie à d'autres. Pour se protéger de Satori,
plusieurs mesures s'imposent : changer tout d'abord les mots de passe
par défaut de vos objets connectés, et les mettre à jour si l'éditeur
vous le propose. Si votre bande passante baisse, vous pouvez demander
une vérification à votre FAI. Satori a la particularité de se propager
rapidement à tous les objets d'un même réseau, notamment domestique.
Née avec l'informatique, ayant grandi avec internet, on croyait la
génération Y la plus à même d'éviter tous les pièges numériques. Selon
le rapport annuel du spécialiste de la cybersécurité Norton by Symantec
auquel LCI a pu avoir accès, 2017 a une fois de plus montré que les
cyberattaques touchaient plus facilement les ultra-connectés en trop
grande confiance.
Melinda DAVAN-SOULAS
Depuis
plusieurs années, Norton by Symantec livre son rapport annuel sur les
cyber-risques. Et 2017 montre une fois de plus que ce sont les
générations qui se pensent les plus à l'abri des cyberattaques qui en
pâtissent le plus par excès de confiance, en France comme ailleurs.
"On a besoin d'une prise de conscience des cyber-dangers qui
arrivent." Laurent Heslault, directeur des stratégies de sécurité chez
Symantec, sait combien il est difficile de faire entendre raison aux
internautes et autres utilisateurs de produits informatiques. "C'est
toujours stupéfiant de voir des comportements en ligne étranges que
personne n'aurait dans la réalité", nous explique-t-il au moment de
prendre connaissance du nouveau rapport Norton by Symantec sur les
cyber-risques. 2017 n'échappe pas à la règle.
Une fois encore, comme les années précédentes, les cyberattaques ont
été de plus en plus nombreuses. On estime à 978 millions le nombre de
personnes qui en ont été victimes pour un préjudice estimé à 146,3
milliards d'euros, selon une enquête menée dans 20 pays dont la France
où plus de 19 millions de personnes (6,1 milliards d'euros de pertes
financières) auraient été la cible d'acte de cybercriminalité l'an
dernier. C'est tout simplement près de 42% de la population adulte
française sur internet qui a été touchée. Et l'on compte en moyenne 16
heures passées par chacun pour tenter de réparer les dommages causés par
des ransomwares, des vols d'identités, des délits bancaires, des
arnaques en ligne… autant d'actes considérés comme de la
cybercriminalité.
Les victimes : les jeunes ultra-connectés en confiance
On
croit toujours à tort que les populations les plus exposées et à même
de se faire avoir sont les personnes âgées ou celles peu à l'aise avec
les technologies. La dernière étude Norton by Symantec révèle qu'il
s'agit en fait des ultra-connectés, possédant de multiples appareils
chez eux ou en déplacement. Ces personnes sont connectées en permanence
et ont donc perdu toute notion de méfiance vis-à-vis des produits
qu'elles utilisent à outrance. On estime ainsi à 25% le nombre de
victimes françaises de cybercriminalité qui possèdent un appareil
intelligent capable de traiter, diffuser ou recevoir du contenu. Alors
que, parmi les non-victimes, seulement 13% possèdent ce type d'appareil
connecté. De même, trop en confiance, les victimes ultra-connectées ont
tendance à multiplier les achats sur mobile.
"On pense toujours que les générations ultra-connectées sont plus
matures face à la cybercriminalité alors qu'elles sont en fait les plus
vulnérables en matière de sécurité informatique la plus basique", fait
remarquer Laurent Heslault. La génération Y qu'on considère comme la
plus nombreuse ou la plus connectée "n'a pas de méfiance dans la vie
réelle ni en ligne. C'est celle du 'naturisme numérique' et de
l'ultra-présence sur les réseaux sociaux. La jeune génération actuelle
est mieux préparée car elle a été préservée et préparée par les grands
frères et sœurs. Elle fait jouer la discrétion sur les réseaux, prend
des pseudos et partage moins."
C'est finalement une question de surconfiance envers ses capacités
face à la technologie qui piège les utilisateurs. Ainsi, en France, les
victimes ont tendance à utiliser le même mot de passe en ligne sur tous
les comptes (23% contre 12% des non-victimes) ou à confier le mot de
passe d'au moins un compte à un tiers (41% contre 21%). Même celles qui
utilisent différents mots de passe ont tendance à les stocker dans un
fichier sur l'appareil.
Plus inquiétant, les victimes de cyberattaques se pensent à même de
protéger leurs données contre une attaque (43%) ou pensent leurs risques
faibles (25%). "On a l'impression que ça n'arrive qu'aux autres",
ajoute-t-il, reprochant que, malgré la multiplication des affaires de
piratage, trop nombreux sont les internautes qui se croient à l'abri et
négligent toute protection la plus élémentaire. "Cette déconnexion
souligne la nécessité de revenir à des fondamentaux pour assurer
pleinement son rôle dans la prévention de la cybercriminalité et
rééduquer", déclare-t-il. Il faut dire que, pour 45% des Français,
installer un logiciel espion sur l'appareil d'un tiers, lui dérober des
informations personnelles ou accéder à son compte bancaire sans son
autorisation peuvent parfois être des comportements acceptables. "Pour
certains, ce n'est pas aussi grave que de voler dans la vie réelle. Ca
en dit long sur le décalage existant encore entre ce qu'on tolère en
ligne et dans la vraie vie. Quand les internautes auront fait le
parallèle, ils auront grandement progressé dans leur rapport à la
cybersécurité", conclut-il.
Le ransomware, la nouvelle plaie informatique
En
2017, les fichiers numériques de près d'un Français sur 10 ont été pris
en otage contre une rançon. Plus d'un piraté sur cinq (22%) a accepté
de payer pour récupérer ses fichiers (contre 64% aux Etats-Unis). Et ce
chiffre pourrait encore croître d'après l'étude. Selon Norton by
Symantec, 50% des Français reconnaissent ne jamais faire de sauvegarde
de leurs appareils ou bien installer les mises à jour. Une façon de
s'exposer dangereusement aux risques d'attaque et de perdre
potentiellement toutes ses données en un clic. Pourtant, selon Laurent
Heslault, il ne sert à rien de payer. "Un tiers des ransomwares ne se
déchiffrent pas et donc payer ne sert à rien", prévient-il. "Ne pas
accepter de payer casse le business model de ces hackers. D'où
l'importance d'avoir toujours une sauvegarde de secours pour ne pas
s'exposer au piratage."
Parmi les faits étonnants pour lesquels les Français ne semblent pas
s'inquiéter, il y a la protection des appareils mobiles. Quelque 15% des
sondés ne mesurent pas les risques encourus à ne pas avoir de
protection. Ils sont aussi près de 89% à ne pas envisager de risque en
utilisant un wifi public. "Il ne faut surtout pas profiter d'une
connexion wifi pour aller sur le site de votre banque ou tout autre site
sensible. Ce serait comme laisser quelqu'un regarder par votre épaule",
avance Laurent Heslault. Mais il sait aussi rassurer et rappeler qu'en
France, "nous ne sommes pas si mauvais face à la cyber criminalité. Nous
faisons partie du Top 10 des pays visés car nous avons une grosse
infrastructure internet et beaucoup d'utilisateurs. Donc ça tente les
pirates."
En vidéo
Cybercriminalité : la demande de rançon numérique fait des dégâts
Les conseils de Norton by Symantec pour se préserver au maximum
1. Toujours être à jour de son logiciel :
vérifier les mises à jour de sécurité et les installer sur votre PC
comme vos appareils mobiles. Ne pas opter pour un simple antivirus qui
ne sert plus aujourd'hui qu'à protéger moins d'un pourcent des cas. Il
faut choisir une suite de cyber sécurité capable de prévoir de multiples
types d'attaque.
2.Faire des copies de sauvegarde de vos données à
l'aide de disques durs externes ou d'un service cloud : les disques
durs présentent l'avantage d'être généralement déconnectés de
l'ordinateur et d'éviter ainsi qu'un ransomware s'attaque à toutes vos
données. Si vous choisissez l'option cloud, vérifiez les conditions
générales de vente et assurez-vous que vous serez bien protégés, ce qui
n'est pas souvent le cas avec des formats gratuits.
3. Apprendre les pièges des réseaux wifi publics :
sachez que tout ce que vous consultez, votre navigation sur le web ou
votre usage d'application lorsque vous êtes connectés à un wifi gratuit
peuvent être consultés et divulgués. Evitez au maximum la navigation sur
des sites utilisant vos données personnels (mails, banque, services
divers, etc.). Si vous ne pouvez vous en empêcher, installer un réseau
privé virtuel (VPN) sur votre appareil pour sécuriser la connexion et
garantir votre confidentialité.
4. Faire attention à ses objets connectés : la
nouvelle faiblesse des utilisateurs est désormais dans ces millions
d'appareils connectés qui ont envahi les intérieurs des logements et qui
sont connectés au wifi ou en 4G. Rare sont les acheteurs qui pensent à
changer le mot de passe par défaut. Si vous n'entendez pas le connecter à
internet, désactiver l'accès à distance ou protégez-le au maximum.
5. Multiplier les mots de passe : n'utilisez jamais
le même mot de passe pour tous vos services. Oubliez d'y mettre votre
prénom, nom, date de naissance, ville, nom de votre chien ou de votre
enfant. Laissez tomber les AZERTY et autres 123456 tellement faciles à
deviner pour les pirates que ça en devient lassant. Plus le mot de passe
est long, parsemé de majuscules et de symboles, mieux c'est ! Et
n'hésitez pas à le changer régulièrement, notamment si vous avez
consulté des sites qui ont été piratés (LinkedIn, Yahoo, Facebook,
Orange, etc.).
OSArmor est un programme gratuit et en anglais de NoVirusThanks qui
permet de bloquer des connexions et processus potentiellement
malveillants.
Le programme est extrêmement simple à utiliser puisqu’aucune configuration avancée n’est disponible.
En clair, vous installez et il commence le travail pour bloquer des connexions ou processus dangereux.
OSArmor est donc un complément idéal de notre article qui explique comment bien configurer le pare-feu de Windows : Firewall Windows : les bon réglages
Bloquer l’exécution processus et connexions malveillantes avec OSArmor
OSArmor n’est pas un pare-feu, il s’agit simplement de bloquer certains comportements connus pour être utilisés par des logiciels malveillants.
OSArmor est très facile à installer, vous pouvez télécharger ce dernier depuis ce lien : Télécharger OSArmor.
Rien de particulier à signaler en ce qui concerne son installation.
Une fois terminé, OSArmor ajoute une icône sous la forme d’un bouclier jaune dans la zone de notification de Windows.
Un clic droit ouvre un menu avec :
Show/Hide Windows qui ouvre l’interface d’OSAmor
Open Logs Folder qui ouvre le dossier contenant les journaux d’OSARmor
Open Configurator donne accès à l’interface de configuration
La page principale d’OSArmor qui comme vous pouvez le constater est très épuré.
On y retrouve le nombre de processus bloqué et le dernier processus bloqué avec la date et heure.
En bas deux boutons sont disponibles Open Configurator et Open Logs Folder.
Configuration d’OSArmor
Voici la partie configuration d’OSArmor qui se présente sous la forme
de case à cocher pour activer ou désactiver des protections.
Parmi les configurations les plus significatives activées par défaut, on trouve :
Block execution of pif, com and double file extensions : bloquer les processus .pif ou.com et double extension, idéal pour les pièces jointes malveillantes par mail.
Prevent regsrv32 from executing remote scripts and /i: parameter : bloque certaines exécution de regsrv32 qui peuvent être utilisés par des logiciels malveillants.
Block processes executed from wscript.exe, cscript.exe, mshta.exe and wmic.exe : bloque l’exécution de processus liés à Windows Script Hosting, utilisé par des scripts malveillants ou des malwares FileLess.
Block executionpolicy bypass and windowstyle hidden in PowerShell : pour protége contre les utilisations malveillantes de PowerShell. Plus d’informations, lire notre dossier : les virus PowerShell
Block remote URL downloads from the command line : bloque l’exécution d’adresse distante avec des paramètres depuis des lignes de commandes.
Block direct execution of JavaScript and VBscript code : bloque des codes JavaScript ou VBSCript.
Limit Windows Screensaver files to Windows folder : limite l’utilisation de fichier d’économiseur d’écran au dossier Windows.
Voici quelques éléments de configurations qui peuvent être activées
comme par exemple le blocage de processus provenant d’AppData.
En théorie, aucun processus n’est censé démarrer depuis ces emplacements qui sont très prisés des malwares.
Toutefois, cela peut poser des problèmes pour des applications mal pensées.
Options de blocage supplémentaires
Il est aussi possible de bloquer java.exe et javaw.exe liés à Java.
Des malwares en Java peuvent être créés, là aussi, si vous avec des
applications en Java comme Minecraft, n’activez pas cette option.
Enfin, il est aussi possible de bloquer des processus provenant de Teamviewer afin de sécuriser ce dernier.
Les rapports d’OSArmor
Enfin à partir du bouton Open Logs Folder, vous pouvez accéder aux journaux d’OSArmor.
Les journaux se présentent sous la forme de fichier par date.
Ce dernier contient les bocages effectuées par OSArmor.
Par le passé, les hackers ont utilisé maints procédés pour se
servir de la puissance calculatrice de votre ordinateur, dans leur
intérêt et à votre insu bien sûr. Le dernier en date : le minage caché
de cryptomonnaie, directement depuis votre navigateur.
Une fenêtre très bien cachée, voici comment l'identifier
Jérôme Segura, analyste chez Malwarebytes, société américaine spécialiste de la cybersécurité, vient de détailler sur le blog
de son entreprise le fonctionnement de cette arnaque. Tout d'abord, les
hackers ont repéré un site peu protégé et qu'ils ont réussi à infecter
avec un JavaScript. En l'occurrence, il s'agit d'un site pornographique
ayant déjà la réputation de propager des malwares sur les ordinateurs de
ses visiteurs. Une fois lancé, le site force l'ouverture d'une nouvelle
fenêtre (le célèbre « tab-under
»), mais cette fois-ci, elle est toute petite et s'ouvre en bas à
droite de l'écran, derrière l'horloge. Sur les ordinateurs où la barre
du bas de l'écran n'est pas configurée pour être semi-transparente
(comme c'est le cas dans le thème par défaut dans Windows 7), de prime
abord, on ne l'aperçoit même pas.
Mais trois moyens existent tout de même pour la détecter. On peut par
exemple agrandir la barre d'en bas, dans ce cas-là la fenêtre devient
visible. Deuxième moyen : si l'on regarde l'icône du navigateur sur la
même barre, on remarquera qu'elle est sur un fond plus clair, ce qui
veut dire que le logiciel est actuellement lancé. Dernier moyen : faire «
Ctrl + Alt + Suppr » sur votre clavier pour ouvrir le gestionnaire des
tâches. Vous y apercevrez alors chrome.exe en tant que « processus actif
».
Un code ingénieux qui s'exécute sur tous les navigateurs et tous les systèmes d'exploitation
Que se passe-t-il donc dans cette fenêtre cachée ? Un code s'y lance qui
mine de la cryptomonnaie Monero. Afin de ne pas créer de soupçons, il
est paramétré pour ne pas consommer trop de ressources de l'ordinateur.
On peut le voir en lançant le gestionnaire des tâches et en basculant
sur l'onglet « Performance ». La puce de l'ordinateur est chargée à 50 %
environ. Ce n'est pas énorme dans l'absolu, mais en comparaison avec
les ressources que nécessite un site « normal », ça l'est. Sans
surprise, il suffit de fermer la fenêtre malveillante pour voir le
pourcentage chuter brutalement.
Afin de lancer leur code, les hackers se servent du réseau publicitaire
Ad Maven, qui s'avère facile à pirater. Une suite de codes, domicilés
sur des domaines différents, est alors lancée. Le code malveillant (le
dernier maillon de la chaîne), domicilé sur hatevery[.]info, fait appel à
l'API de Monero, appelé « cryptonight ».
Afin de ne pas tomber victime de cette arnaque, deux conseils : suivre
scrupuleusement les demandes de blocage des réseaux publicitaires
qu'émet votre antivirus, et ne pas aller sur des sites réputés pas
fiables.
Saviez-vous que vous faisiez peut-être partie d'un réseau de
minage de cryptomonnaies ? Non ? C'est normal : les hackers préfèrent
que vous ne le sachiez pas, puisqu'ils n'ont aucune intention de vous
reverser une partie des bénéfices. Ils utilisent donc des scripts
permettant de miner des cryptomonnaies sans vous le dire et consomment
votre électricité pour arriver à leurs fins.
La technique semble se généraliser, notamment grâce à une petite
extension qui permet de miner des cryptomonnaies avec la puissance de
calcul du processeur et non de la carte graphique : CoinHive. CoinHive
ne permet que de miner la monnaie Monero (donc pas des Bitcoins).
Les sites pirates friands du minage caché de cryptomonnaies
Après un micro-scandale sur le site TorrentFreak, qui avait installé ce
code javascript avant de le désinstaller devant le tollé provoqué,
d'autres sites s'y sont essayés. Les sites de streaming vidéo illégal,
notamment, semblent friands de cette technique puisque leurs
utilisateurs passent des dizaines de minutes voire des heures sur les
pages pour regarder films et séries. Autant de temps qui peut être dédié
au minage de cryptomonnaies à l'insu des utilisateurs.
Selon les chercheurs d'AdGuard,
qui ont publié les résultats de leur étude mercredi 13 décembre 2017,
des scripts permettant de miner des cryptomonnaies à l'insu des
utilisateurs ont été repérés sur de nombreux sites. Ils estiment que
près d'un milliard de visites de ces sites de streaming (donc pas un
milliard d'utilisateurs) pourraient avoir permis le minage secret de
cryptomonnaies, qui a désormais son propre terme : le cryptojacking.
Le Wifi de Starbucks hacké pour miner ?
Les chercheurs d'AdGuard estiment que certains administrateurs des sites
pourraient eux-mêmes avoir été utilisés : certains ne seraient pas au
courant de la présence du script. Les hackers, eux, auraient miné
l'équivalent de 320.000 dollars de cryptomonnaies chaque mois grâce à
cette technique de cryptojacking.
La tendance est telle que certains hackers commencent même à s'en
prendre aux réseaux Wifi publics. A Buenos Aires, en Argentine, le Wifi
d'un Starbucks local a été épinglé par le PDG de l'entreprise Stensul :
le Wifi proposé par le café utilisait l'ordinateur des utilisateurs
pour miner des cryptomonnaies pendant 10 secondes avant d'autoriser la
connexion. Après avoir signalé les faits à Starbucks le 2 décembre 2017,
le géant a déclaré avoir résolu le problème.
Depuis la mise à jour Fall Creators Update,Windows 10 offre une protection Anti-Ransomware.
Ce nouveau module protège vos données contre la modification non
voulues de vos documents et ainsi contre les logiciels malveillants de
type ransomware.
Voici comment activer la protection Anti-ransomware de Windows 10.
Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.
Activer la protection Anti-Ransomware de Windows 10
Avant de commencer, sachez que cette protection est dépendant de Windows Defender.
Si Windows Defender est désactivé, car vous avez installé un antivirus tiers, vous ne pourrez pas bénéficier de cette protection.
Cette protection Anti-Ransomware de Windows 10 ne remplace pas la sauvegarde de documents.
Pour sauvegarder vos documents, rendez-vous sur la page : Windows 10 : sauvegarder ses données personnelles
Ouvrez l’icône Windows Defender qui se trouve en bas à droite dans la zone de notification de Windows.
Vous arrivez alors sur le centre de sécurité de Windows Defender.
Cliquez sur le bouton Protection contre les menaces.
Dans la partie Dispositif d’accès contrôle aux dossiers, positionnez sur Activer.
Deux options sont alors disponibles :
Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.
Dossiers protégés : vous réglez les dossiers protégés par ce module anti-ransomware
Autoriser une application via un dispositif d’accès contrôlé aux dossiers : vous autorisez une application à modifier les documents protégés par ce module.
Gérer les dossiers protégés
En cliquant sur le bouton Dossiers protégés, vous pouvez gérer les dossiers qui sont protégés par l’anti-ransomware de Windows 10. Par défaut, ce dernier active tous les dossiers Documents, Images et Vidéos.
Si vous avez des dossiers sur d’autres disques dur, cliquez sur le bouton + pour en ajouter d’autres.
Autoriser une application
Enfin depuis le bouton Autoriser une application via un dispositif d’accès contrôlé aux dossiers, vous pouvez autoriser une application à modifier ou contrôlé des documents dans les dossiers protégés.
Cela est très utile, si une application se bloque sur l’enregistrement depuis un dossier protégé.
Cliquez sur Ajouter une application sécurisée puis naviguez dans les dossiers pour sélectionner l’exécutable.
Quelques commentaires sur ces anti-ransomwares.
La plupart font le boulot et permettent effectivement de protéger l’ordinateur contre les crypto-ransomwares et ainsi protéger vos documents.
Maintenant, il faut aussi comprendre que ces programmes peuvent être
complètement inutiles…. pour être protégé, il suffit de ne pas être
infecté par un ransomware.
Contrairement à ce que vous pensez, ce n’est pas si difficile que cela.
En protégeant l’ordinateur en amont, vous pouvez être immunisé de
manière efficace contre la diffusion de ces programmes malveillants.
Ce qu’il faut aussi comprendre, du moins pour les programmes payants, c’est un commerce.
Virus, malware, trojan, ver… plein de noms pour plein de saloperies différentes.
Les différences entre tous ces trucs peuvent paraître un peu subtiles, mais si vous vous intéressez au hacking, vous devez les connaître. Pour faire simple :
Un virus vient généralement se greffer à un logiciel ou un fichier qui semble légitime
(du genre la suite Office que vous venez de pirater en torrent parce
que vous n’avez pas envie de la payer). Dans une bonne majorité de cas,
le virus va détruire ou ralentir votre système. Pour l’anecdote, les virus type “ransomwares” ont la cote
depuis quelques années. Ce sont des saloperies qui vous obligent
à payer une belle somme pour récupérer l’accès à toutes vos données !
Un des plus célèbres ransomware : “Gendarmerie”. Il a fait des ravages.
Un ver, lui, n’infecte pas votre ordinateur
en utilisant un fichier, comme le virus. Il squatte votre ordinateur en
toute furtivité après avoir trouvé une faille pour s’infiltrer, et cherche à se diffuser à tous vos contacts (en envoyant des e-mails, des messages Skype ou des messages Facebook frauduleux à votre place par exemple).
Un message sur Skype, écrit par un ver, qui incite votre contact à cliquer sur des liens pourris pour l’infecter
Et le cheval de Troie, qu’on appelle trojan
en anglais. En soi, un trojan ne fait rien de mal. C’est un logiciel
qui ne sert qu’à faire rentrer le vrai danger sur votre ordi. Vous
ouvrez souvent la porte à des trojans quand vous piratez des logiciels
(par exemple Photoshop, Office, …). Une fois le trojan bien au chaud sur
votre ordi, il va pouvoir télécharger ce qu’on appelle “la charge utile”. C’est la partie du malware qui va réellement espionner et pourrir votre machine.
“Comment ça un trojan sur mon ordi ? Mais non, moi je suis juste entrain de pirater Photoshop, c’est safe.”
Dans cet article, nous allons analyser le plus célèbre des trojans de ces dernières années : Zeus. Ses maîtres ont infecté plus de 3 millions d’ordinateurs entre 2011 et 2014. Soit environ 3000 nouveaux ordinateurs par jour, chaque jour, pendant 3 ans. C’est juste monstrueux.
Nous allons découvrir ensemble :
À quoi sert Zeus, et comment il a pu rapporter plus de 100 millions de dollars à sa mafia ?
Comment Zeus se propageait d’un ordi à l’autre, en utilisant des méthodes révolutionnaires ?
Comment la mafia derrière Zeus blanchissait l’argent volé par le malware en Russie ?
Comment le FBI a fait tomber cet immense réseau, et quelques potins suite à toute cette affaire ?
Let’s go.
À quoi sert Zeus en pratique ?
Il ne sert en théorie qu’à une seule chose : piquer vos numéros de cartes bancaires ou retirer directement de l’argent depuis votre compte.
Mais en pratique, il était truffé de fonctionnalités additionnelles assez cool pour les pirates. Une fois infecté, votre ordinateur faisait partie ce qu’on appelle un botnet, c’est-à-dire une flotte d’ordinateurs infectés et complètement sous l’emprise d’un pirate.
Un pirate pouvait donc :
Recevoir tout ce qui était tapé au clavier de l’ordinateur de la victime ;
Prendre des captures d’écran à intervalle de temps régulier ;
Récupérer toutes les données présentes sur l’ordinateur ;
Utiliser l’ordinateur vérolé pour lancer des attaques ou envoyer du spam (on y reviendra), et propager un peu plus le virus.
Tout ça a été découvert après coup, mais ce sont surtout les numéros de cartes bancaires qui intéressaient les maîtres de Zeus. Le reste, c’est soit du gadget, soit un moyen détourné pour obtenir plus de cash.
Qui est derrière Zeus ?
On a le nom du gars : Evgueni Bogatchev. Et même des photos, diffusées par le FBI :
Evgueni est Russe. Il a aujourd’hui 34
ans, et il a commencé à développer Zeus alors qu’il avait 25 ans. Les
chercheurs en sécurité sont d’accord sur un point : ce type était très en avance sur les principaux antivirus. C’est ce qui a rendu Zeus si fou. Grâce à Zeus, Evgueni a généré 100 millions de fraude en 3 ans.
Le FBI a fait tomber tout le réseau mafieux qui opérait derrière Zeus en 2014.
C’est ce qui nous permet, aujourd’hui, d’avoir beaucoup d’infos sur
l’envers du décor ! Malheureusement, Evgueni lui, est toujours en
cavale. Si vous avez des infos, le FBI peut vous offrir 3 millions de
dollars… on ne sait jamais.
On part de zéro : comment se fabrique un virus comme Zeus ?
Juste avec 2 choses simples : un
ordinateur et un gars malin. Le reste, c’est du développement. On
développe un virus comme on développe n’importe quel logiciel honnête : il faut écrire du code informatique.
Si ça vous intéresse, le code de Zeus a fuité et il est disponible intégralement ici. Ça a permis aux chercheurs de mieux comprendre son fonctionnement. Et ça a aussi permis à d’autres pirates de prendre la relève malheureusement.
Un exemple d’un des fichiers de code de Zeus (écrit principalement en C++).
Le truc, c’est que les développeurs,
c’est comme les chasseurs : il y a le bon codeur, et le mauvais codeur.
Et le créateur de Zeus, bah c’était un très bon codeur. Il a su développer des ruses suffisamment révolutionnaires pour permettre à son virus de passer incognito devant tous les antivirus du marché.
Une fois que le virus est créé, comment il est diffusé ?
Là, ça devient marrant ! Les développeurs d’un malware comme Zeus vont le commercialiser et le vendre à d’autres criminels. Zeus coûtait entre 3000$ et 4000$ à l’achat sur le marché noir.
Pour acheter un malware au black, il n’est pas nécessaire d’aller dans un coin glauque de votre ville, et d’attendre qu’un gars vous vende un CD… tout se passe sur Internet, plus précisément sur un darknet (nous y reviendrons dans un autre article).
Une fois qu’un criminel ou qu’un groupe de criminel a acheté le code du malware et tout le bazar qui va avec, ils ont besoin d’installer un serveur de commande. C’est à dire un serveur qui permettra de contrôler leur futur flotte d’ordinateurs infectés.
Comment on fait pour louer un serveur ?!
Aujourd’hui, tout le monde peut louer un petit serveur pour à peine 3$ par mois. D’ailleurs, la page que vous lisez est hébergée sur un serveur que l’on paie et qui est situé au Pays-Bas. Nous payons chaque mois l’entreprise “Digital Ocean” pour prendre soin de notre serveur et nous permettre d’y héberger notre site.
Mais si je commence à utiliser mon serveur pour des activités criminelles, Digital Ocean va vite s’en rendre compte
et va au mieux me dégager, au pire me dénoncer à la police. Du
coup, comment trouver un serveur bien caché pour commettre un crime ?!
Toujours pareil : on va trouver ça sur le marché noir. Des mecs proposent de vous louer un serveur loin de toute juridiction, très souvent en Russie ou en Chine. Ces serveurs s’appellent des “bulletproof”
(“à l’épreuve des balles”).
Une petite annonce d’une location de serveur bulleproof sur un darknet (source : Malwarebytes). On y lit que tout est autorisé, sauf la pédophilie.
Une fois que vous avez loué votre serveur bulletproof, vous y installez le centre de commande. Voilà à quoi ressemble l’interface de commande de Citadel, un célèbre spyware (logiciel espion) :
Rien de dingue, c’est une interface comme une autre. On peut y lister tous les ordinateurs que l’on a infectés, faire de la fouille de données, et lancer des opérations pour ceci ou cela.
Une fois le centre de commande installé, il ne reste plus qu’à infecter un max de victimes.
Next ! Comment infecter les millions de victimes ?
Un peu comme d’habitude : soit vous
faites le sale travail vous même, soit vous le confiez à d’autres.
Beaucoup de cyber-mafias mettent au point des systèmes d’affiliation
pour diffuser leurs saloperies. En gros : vous piratez des gens pour eux, et ils vous paient en retour.
Je n’ai pas réussi à savoir si les groupes criminels qui utilisaient Zeus fonctionnaient de cette manière. Mais peu importe ! Ils utilisaient le même vecteur de propagation : l’e-mail.
Dans l’immense majorité des cas, les victimes recevaient un e-mail frauduleux de leur banque,
de leur opérateur téléphonique ou d’un réseau social qui leur signalait
un avis de paiement, une facture impayée ou un problème quelconque.
Chacun de ces emails était orné d’une pièce jointe intitulée par exemple : “Avis_de_paiement.zip”.
Une fois le fichier téléchargé et exécuté, le trojan s’installait en
douce sans éveiller les soupçons des antivirus, et téléchargeait la
charge utile.
Un exemple de faux mail contenant le trojan de Zeus
Mais comment envoyer des millions d’e-mail frauduleux sans être inquiété par la police ?!
Bonne question, Watson. Là encore, les pirates sont malins. Un groupe de hackers russes a créé en 2007 un botnet appelé “Cutwail”. Vous pouvez louer ce botnet par exemple pendant une journée, et vous en servir pour envoyer des spams.
Autrement dit : ces gars ont piraté environ 2 millions d’ordinateurs dans le monde, et ils vous proposent d’utiliser ces 2 millions d’ordinateurs pour expédier jusqu’à 70 milliards d’e-mails par jour. 70. Milliards.
Autant vous dire que si vous comptiez utiliser votre adresse gmail “ptitpoussin69@gmail.com” pour organiser le crime du siècle, c’est raté. Gmail limite d’ailleurs à 2000 le nombre d’envois quotidiens, et vous vire rapidos s’il détecte que vous envoyez des trucs illégaux.
Bref, les victimes recevaient un email, l’ouvraient, téléchargeaient la pièce-jointe et boum, hacked.
Mais pourquoi les antivirus ne détectaient pas Zeus ?!
Pour plusieurs raisons. D’abord, Zeus exploitait des failles de Windows pour s’installer en silence.
En développant Windows, les ingénieurs de Microsoft ont fait des
erreurs que les criminels exploitent. Microsoft a beau sortir des
correctifs presque chaque jour, et les éditeurs de logiciels ont beau
travailler dur, il y a toujours des trous dans leurs défenses.
Ensuite, la pièce jointe contenue dans l’email frauduleux n’était pas la charge active elle-même. Comme je le disais au début, un trojan fonctionne en deux temps :
Vous téléchargez le trojan, le cheval de Troie, qui se fait passer pour un fichier ou un logiciel sympa (ici un fichier “avis_de_paiement.zip” par exemple).
Une fois bien au chaud, le trojan va se connecter au serveur de contrôle des criminels et télécharger la charge active, c’est à dire le cœur du malware, celui qui fait les bêtises.
Votre ordinateur récupérait Zeus sur un serveur, dans votre dos, grâce à Internet.
Pourquoi fonctionner comme ça, alors que le plus simple serait d’installer directement la charge active ?
Première raison : en téléchargeant Zeus de cette manière, les victimes étaient toujours infectées avec la dernière version du virus. Son créateur l’améliorait presque chaque jour pour le rendre plus efficace, alors c’était important.
La deuxième raison, c’est pour que chaque victime reçoive une version différente du malware. Tous
les fichiers présents sur votre ordinateur ont leur
propre signature. Une signature de fichier, c’est un peu l’empreinte
digitale d’un fichier. Les logiciels malveillants sont des fichiers
comme les autres, ils ont aussi une signature ! Le job des antivirus, c’est de connaître un maximum “d’empreintes digitales”de malwares pour mieux les détecter sur votre ordinateur.
Un antivirus contient une “base de données” de virus. Leur but : connaître un maximum de virus pour mieux les bloquer.
En se téléchargeant comme le faisait Zeus, sa signature pouvait être différente à chaque fois. Résultat : les antivirus avaient beaucoup de mal à l’identifier sur l’ordinateur des victimes.
Chaque victime recevait une version presque unique de Zeus, que les antivirus avaient du mal à détecter.
Une fois que la charge active est installée sur votre ordinateur, vous êtes un peu cuit-e.
Que se passe-t-il dans l’ordinateur des victimes ?
Une fois installé sur
un ordinateur, Zeus scanne le disque dur à la recherche d’infos
bancaires stockées quelque part. S’il ne trouve rien,
il attend patiemment que vous manipuliez des informations bancaires.
Paiement par carte, connexion à votre banque : il prend tout ce qu’il trouve.
Zeus attend une transaction bancaire.
Une fois les infos récupérées, Zeus se connecte à un serveur “maître” contrôlé par l’un des criminels du réseau, et lui transfère vos codes.
Parallèlement, Zeus va être capable
d’ouvrir une session bancaire depuis votre ordinateur sur le site de
votre banque – sans que vous ne vous en rendiez compte – et émettre des virements sur des comptes à l’étranger.
C’est à dire des comptes bancaires situés dans des pays comme
l’Ukraine, la Chine ou la Russie. L’argent pourra suivre différents
parcours, mais terminera toujours son voyage en Chine dans le cas précis
de Zeus.
Mais qui récupère l’argent volé ?!
Après son petit périple à travers différents comptes en banque pour brouiller les pistes, l’argent volé est récupéré par une mule bancaire. Les comptes bancaires étaient principalement situés en Chine, à la frontière Russe, dans la province de Heilongjiang.
Chaque groupe de criminels utilisant Zeus devait donc aussi mettre en place sa propre infrastructure de fraude. Pas une mince affaire.
Les mules allaient ensuite retirer l’argent en cash à la banque, puis retournaient en Russie
(souvent à Vladivostok) pour l’utiliser ou le blanchir dans l’économie
locale. Elles étaient souvent payées à la commission sur les sommes
qu’elles détournaient.
Mais si la police fait tomber le centre de commande, tout est réglé non ?
Théoriquement, oui. Si vous faites tomber le centre de commande des criminels, alors vous coupez la tête au monstre. Mais comme dans la légende de l’Hydre de Lerne, les meilleurs botnets ont des dizaines de centres de commande. Vous en détruisez un, les autres prennent le relais.
Et justement, c’est là que Zeus brillait. Sa structure réseau a révolutionné le genre.
Un malware lambda fonctionne comme sur l’image de gauche ci-dessous. Autrement dit, chaque ordinateur infecté est en relation avec un serveur de contrôle. Si
la police fait fermer ce serveur, beaucoup d’ordinateurs infectés sont
libérés instantanément. Bien sûr, ces serveurs de commande sont bien
cachés.
À gauche, un logiciel malveillant “normal”. À droite, Zeus.
Zeus fonctionne différemment : chaque ordinateur infecté (donc le votre par exemple) devient un mini serveur de contrôle.
Ce n’est plus un serveur “maître” qui donne les ordres à chaque
victime, mais chaque victime qui distribue des ordres à d’autres
victimes.
Résultat : les ordres sont dispersés, il est plus difficile d’en connaître la provenance et de les freiner.
Comment l’histoire de Zeus s’est-elle terminée ?
En 2014, le FBI aidé exceptionnellement
par des policiers Russes (ainsi qu’une ribambelle d’autres pays et des
dizaines d’entreprises de sécurité informatique) a réussi à mettre la
main sur tout le réseau Zeus via l’opération Tovar.
Le botnet est aujourd’hui inactif,mais son créateur est toujours en cavale. Il est d’ailleurs considéré comme le hacker le plus recherché par les USA (la page Most Wanted du FBI est marrante).
L’immeuble où habitait la tête du réseau, en Russie
Malheureusement, des versions modifiées
de Zeus sont toujours en circulation dans la nature. Autre souci : le
gouvernement russe refuse que d’autres états extradent des criminels russes aux USA. De là à imaginer un lien entre les cyber-criminels et le gouvernement… en tout cas pour le FBI, c’est évident.
Bref, l’opération Tovar était probablement un coup de pied nécessaire dans la fourmilière, mais ça ne suffira pas à rendre Internet tranquille bien longtemps. Voici quelques règles de bonne hygiène à suivre pour être tranquille :
Votre anti-virus doit toujours être à jour. Même si les logiciels malveillants passent parfois à travers, une bonne partie des menaces peuvent être évitées.
Ne téléchargez aucune pièce-jointe, surtout lorsque
vous n’attendiez pas expressément un e-mail du destinataire dont il est
question. Votre banque ne vous enverra jamais d’e-mails contenant des
pièces jointes.
Lorsque vous téléchargez un logiciel gratuit comme VLC par exemple,
faites l’effort de toujours chercher le site officiel du créateur.
Beaucoup de virus sont transmis via des faux sites de téléchargement.
Quant aux logiciels que vous piratez, ben c’est bien fait pour vous si
vous vous faites avoir
PS : j'ai écrit un livre sur l'art d'espionner et de pister les gens sur Internet. Il y a tout ce dont vous avez besoin dedans. Cliquez ici pour le voir et le télécharger.
Les Web Miner : Minage de crypto-monnaie à partir des pages internet (JavaScript)
On connait tous les malwares de type Trojan Miner qui vise à utiliser l’ordinateur pour miner de la monnaie virtuelle. En utilisant la CPU de l’ordinateur, ce dernier va miner de la monnaie virtuelle. L’ordinateur sert donc de ressources pour gagner de l’argent, à l’insu de l’utilisateur. La dernière trouvaille des JavaScript sur des pages internet qui utilisent le navigateur internet pour miner. Il s’agit donc de web miner, là aussi souvent sans le consentement des visiteurs.
Quelques explications autour de ces méthodes qui vont surement se répandre.
Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.
Le principe est simple, un code JavaScript inclut dans la page permet d’utiliser le navigateur internet pour miner. Une connexion vers un site de minage est alors effectué par le navigateur WEB.
Lorsque le web miner est chargé, les effets sont immédiats sur
l’ordinateur puisque firefox.exe ou chrome.exe vont alors monter en CPU,
ce qui est visible sur le gestionnaire de tâches. Cela peut ralentir les navigateurs internet et l’ordinateur tant que la page internet est ouverte.
Cela
risque d’être assez difficile pour les internautes de comprendre ce qui
se passe et vont très probablement en déduire qu’un virus est présent sur leur ordinateur.
Bloquer ces JavaScript n’est pas forcément difficile mais cela peut
demander un minimum de connaissances, à moins que des programmes comme Adblock prennent aux sérieux ces menaces.
Dernièrement, deux événements autour de ces web miner ont eu lieu.
L’idée
est de permettre aux propriétaires des sites internet de gagner de
l’argent en utilisant les navigateurs internet des visiteurs, souvent à
leurs insu. Il est fort probable que de futurs sites utilisent ces
méthodes pour gagner de l’argent, notamment les sites de streaming
illégaux et autres. En effet, c’est une nouvelle manière de monétiser son site internet en remplacement des publicités. On peut aussi imaginer, à l’avenir, des piratages massifs de sites WordPress ou Joomla pour pousser ces web miner. Bref, cela ouvre pas mal de portes.
Trojan Miner sur Piratebay
Le site Piratebay a dernièrement ajouté un de ces JavaScript Miner. Il semblerait plutôt que cela soit en test. Il s’agit d’un simple JavaScript utilisant le crypto miner CoinHive.
CoinHive
est un service de crypto-miner pour les sites internet « web-miner »,
les propriétaires de Piratebay utilisent ce dernier pour gagner de
l’argent.
Extension Chrome qui mine
Le 19 Septembre 2017, BleepingComputer annonçait dans ses actualités, qu’une extension pour Chrome assez populaire (140 000 utilisateurs) ajoutait un module de minage. Le même principe que pour Piratebay est utilisé, simplement inclut dans l’extension en s’appuyant encore sur CoinHive.
Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.
Les utilisateurs de l’extension se sont très vites aperçus d’une utilisation anormale de la CPU par Google Chrome. Ces derniers semblent avoir pu faire retirer l’extension.
Il
est difficile de dire s’il s’agit d’un acte volontaire de l’auteur ou
si c’est un piratage de l’extension, d’autant qu’il semblerait que
l’extension soit un peu abandonnée.
Bloquer les web-miner
Bloquer ces Web-miner n’est pas difficile mais demande certaines compétences. Deux méthodes peuvent être utilisées :
Bloquer l’exécution du JavaScript
Bloquer la connexion vers l’URL de minage
Le blocage du JavaScript peut se faire depuis un utilitaire comme NoScript pour Firefox et uMatrix pour Google Chrome. Le soucis étant que ces outils sont assez difficiles à utiliser pour un utilisateur débutant. Sachez aussi qu’il existe aussi des extensions dédiées au blocage du web miner pour Chrome : cryptocurrency mining, No Coin,minerBlock
Le blocage de la connexion de l’URL de minage peut se faire de différentes manière. On peut ajouter une entrée dans le fichier HOSTS de Windows.
Par exemple pour bloquer l’adresse de minage de coin-hive, vous pouvez
ajouter ceci dans le fichier HOSTS de Windows, voir aussi : Bloquer des sites/adresses IP sur Windows
# Coin Hive Miner
0.0.0.0 coin-hive.com
Vous pouvez aussi bloquer l’adresse depuis Adblock ou uBlock, vous devez créer une règle personnalisée en ajoutant ceci :
||coin-hive.com^
Pour se faire, vous pouvez vous reporter aux tutoriels suivants :
Une version améliorée d'un cheval de Troie bancaire vieux d'un an a été repérée par des chercheurs en sécurité en Russie.
Pour la firme de sécurité Kaspersky
les malwares bancaires sont l’une des plus grandes menaces qui pèsent
sur les smartphones Android. L’un d’eux, Faketoken, connu depuis un an
environ, est de retour sous une nouvelle forme plus dangereuse,
prévient-elle.
Au départ, ce cheval de Troie
interceptait des SMS pour y récupérer des données bancaires que des
utilisateurs imprudents auraient pu y indiquer. Désormais, il se greffe
directement sur des applis bancaires ou sur des applis de réservations
de taxis, de VTC ou d’hôtels afin de faire la même opération et écoute
vos appels.
Comment parvient-il à infecter un smartphone ? Grâce à l’envoi en
masse de SMS proposant de télécharger des photos. Dès lors qu’un
utilisateur clique sur le lien, le malware s’installe discrètement sur
l’appareil.
L’un de ses objectifs est d’enregistrer les appels et de les envoyer
sur un serveur où les criminels pourront les utiliser. Ensuite, il
détecte les applis dont se sert le propriétaire du smartphone et dès que
ce dernier en lance une dont le malware est capable de dupliquer
l’interface il prend sa place. L’utilisateur entrera alors de bonne foi
ses données bancaires pour réserver un taxi par exemple sans savoir
qu’il vient de les fournir à des criminels. Parmi les applis « copiées
», celles de banques russes, de Booking ou encore d'Uber comme le montre
cet extrait du code présenté par les chercheurs.
Kaspersky
-
Le malware peut aussi intercepter des SMS arrivant
sur le smartphone pour récupérer des mots de passe ponctuels envoyés par
des banques pour confirmer des paiements.
Pour le moment, les attaques concernent surtout la Russie et les
anciens pays de l’URSS. Les chercheurs de Kaspersky ont d’ailleurs
remarqué que le code de cette mouture de Faketoken était rédigé en
russe. D’après eux, il pourrait s’agir d’une version de test qui sera
certainement améliorée pour une diffusion plus large.
Aussi donnent-ils quelques conseils pour éviter l’infection : bloquer
l’installation de contenus de sources inconnues depuis les paramètres
du smartphone, toujours contrôler les autorisations que réclament les
applis que l’on téléchargent et enfin installer un antivirus.
Des chercheurs
ont repéré un nouveau maliciel (malware) exploitant pas moins de sept
failles de la NSA. Chaque brèche avait été décelée par la NSA, puis
dévoilée par le groupe de hackers The Shadow Brokers. WannaCry
n'exploitait pour sa part que deux de ces bugs.
Le nouveau ver a été
découvert en premier lieu par Miroslav Stampar, un membre du CERT
(computer emergency response team) croate. Les plus anciennes traces du
virus remontent au 3 mai déjà, selon l'expert en cyber-sécurité sur Github.
Stampar a découvert Eternalrocks (comme il s'appelle) au moyen d'un
'honeypot' (pot de miel ou piège à pirates) Windows 7. Un honeypot est
un système informatique rendu sciemment vulnérable et surveillé, afin
d'intercepter et d'analyser de nouvelles menaces.
EternalRocks
utilise ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE et ETERNALSYNERGY
pour infecter de nouveaux ordinateurs. SMBTOUCH et ARCHITOUCH sont,
elles, exploitées pour rechercher de nouvelles victimes, et DOUBLEPULSAR
pour se propager vers d'autres machines. Ces sept failles avaient été
décelées par la NSA américaine. WannaCry, le rançongiciel qui a fait dernièrement plus de 240.000 victimes, n'exploitait pour sa part qu'ETERNALBLUE et DOUBLEPULSAR.
Contrairement
à WannaCry, ce maliciel passe provisoirement inaperçu aux yeux des
utilisateurs. Dans un premier temps, EternalRocks télécharge le
navigateur Tor pour établir une connexion privée avec les serveurs
cachés du ver. Ce n'est que le lendemain que l'infection commence à se
propager. Cela a probablement pour but de mettre les experts en
cyber-sécurité sur une mauvaise piste, étant donné que rares sont ceux
qui attendent un jour complet une réponse du serveur caché. Dans une
autre tentative de mystifier les experts, le maliciel s'appelle lui-même
aussi WannaCry.
Provisoirement, le ver se propage en grand
secret, sans entreprendre d'action. On ne sait de la sorte pas combien
d'ordinateurs sont déjà infectés. Stampar met toutefois en garde contre
le fait qu'EternalRocks peut être activé à tout moment, afin d'acheminer
des maliciels sur tout système contaminé. Plus vite l'utilisateur met à
jour son ordinateur au moyen des plus récents correctifs, mieux c'est
donc.
Stéphane Paton
