Attaques informatiques par porte dérobée

Qu'est-ce qu'une porte dérobée ?

Imaginez que vous êtes un cambrioleur en train d'inspecter une maison en vue d'un vol potentiel. Vous voyez un panneau de sécurité "Protégé par..." planté dans la pelouse avant et une caméra de sonnette Ring. En cambrioleur rusé que vous êtes, vous sautez la clôture qui mène à l'arrière de la maison. Vous voyez qu'il y a une porte de derrière, vous croisez les doigts et essayez la poignée - elle n'est pas verrouillée. Pour l'observateur occasionnel, il n'y a aucun signe extérieur de cambriolage. En fait, il n'y a aucune raison pour que vous ne puissiez pas cambrioler cette maison par la même porte arrière, en supposant que vous ne la saccagiez pas.

Les portes dérobées fonctionnent de la même manière.

Dans le monde de la cybersécurité, une porte dérobée désigne toute méthode par laquelle des utilisateurs autorisés et non autorisés peuvent contourner les mesures de sécurité normales et obtenir un accès utilisateur de haut niveau (ou accès racine) à un système informatique, à un réseau ou à une application logicielle. Une fois qu'ils sont entrés, les cybercriminels peuvent utiliser une porte dérobée pour voler des données personnelles et financières, installer d'autres malwares et détourner des appareils.

Mais les portes dérobées ne sont pas réservées aux méchants. Les portes dérobées peuvent également être installées par des fabricants de logiciels ou de matériel informatique afin d'accéder à leur technologie après coup. Les portes dérobées non criminelles sont utiles pour aider les clients qui sont désespérément bloqués hors de leurs appareils ou pour dépanner et résoudre des problèmes logiciels.

Contrairement à d'autres cybermenaces qui se font connaître de l'utilisateur (je vous regarde, les ransomwares), les portes dérobées sont réputées pour leur discrétion. Les portes dérobées permettent à un groupe restreint de personnes bien informées d'accéder facilement à un système ou à une application.

En tant que menace, les portes dérobées ne sont pas près de disparaître. Selon lerapport Malwarebytes Labs State of Malware, les portes dérobées étaient la quatrième détection de menace la plus courante en 2018, tant pour les consommateurs que pour les entreprises - soit des augmentations respectives de 34 et 173 % par rapport à l'année précédente.

Si vous êtes préoccupé par les portes dérobées, si vous en avez entendu parler dans les médias et que vous voulez savoir ce qu'il en est, ou si vous avez une porte dérobée sur votre ordinateur et que vous devez vous en débarrasser immédiatement, vous êtes au bon endroit. Poursuivez votre lecture et préparez-vous à apprendre tout ce que vous avez toujours voulu savoir sur les portes dérobées.

"Une porte dérobée désigne toute méthode par laquelle des utilisateurs autorisés et non autorisés sont en mesure de contourner les mesures de sécurité normales et d'obtenir un accès utilisateur de haut niveau (également appelé accès racine) sur un système informatique, un réseau ou une application logicielle".

Actualités sur les portes dérobées

• Votre site WordPress a-t-il été piraté par un skimmer ?
• Kimsuky APT continue de cibler le gouvernement sud-coréen en utilisant la porte dérobée AppleSeed
• Les attaques contre Microsoft Exchange sèment la panique et les criminels se lancent dans la collecte de coquillages
• Des portes dérobées dans des serveurs élastiques exposent des données privées
• Les portes dérobées constituent une faille de sécurité
• Mac Le logiciel malveillant combine la porte dérobée EmPyre et le mineur XMRig
• Mac Une application de téléscripteur de crypto-monnaies installe des portes dérobées
• Un autre dropper OSX.Dok installé avec une nouvelle porte dérobée

Comment fonctionnent les portes dérobées ?

Commençons par comprendre comment les portes dérobées se retrouvent sur votre ordinateur. Cela peut se produire de deux manières différentes. Soit la porte dérobée est le résultat d'un logiciel malveillant, soit d'une décision intentionnelle de la part du fabricant (matériel ou logiciel).

Les malwares à porte dérobée sont généralement classés dans la catégorie des chevaux de Troie. Un cheval de Troie est un programme informatique malveillant qui se fait passer pour ce qu'il n'est pas dans le but de diffuser des malwares, de voler des données ou d'ouvrir une porte dérobée sur votre système. Tout comme le cheval de Tro ie de la littérature grecque ancienne, les chevaux de Troie informatiques contiennent toujours une mauvaise surprise.

Les chevaux de Troie sont un instrument incroyablement polyvalent dans la boîte à outils des cybercriminels. Ils se présentent sous de nombreuses formes, comme une pièce jointe à un courrier électronique ou le téléchargement d'un fichier, et transmettent un grand nombre de menaces de malwares.

Pour aggraver le problème, les chevaux de Troie ont parfois la capacité de se répliquer et de se propager à d'autres systèmes sans aucune commande supplémentaire de la part des cybercriminels qui les ont créés. Prenons l'exemple du cheval de Troie bancaire Emotet. Emotet a débuté en 2014 en tant que voleur d'informations, se propageant à travers les appareils et dérobant des données financières sensibles. Depuis, Emotet s'est transformé en vecteur d'autres formes de malwares. Emotet a contribué à faire du cheval de Troie la principale détection de menace pour 2018, selon le rapport State of Malware.

Dans un exemple de malware à porte dérobée, les cybercriminels ont caché un malware dans un convertisseur de fichiers gratuit. Sans surprise, il ne convertissait rien du tout. En fait, le téléchargement a été conçu uniquement pour ouvrir une porte dérobée sur le système cible. Dans un autre exemple, des cybercriminels ont dissimulé un logiciel malveillant à l'intérieur d'un outil utilisé pour pirater des applications logicielles Adobe (que cela serve de leçon sur le piratage de logiciels). Enfin, dans un dernier exemple, une application apparemment légitime de téléscripteur de crypto-monnaies appelée CoinTicker fonctionnait comme annoncé, affichant des informations sur diverses formes de crypto-monnaies et de marchés, mais elle ouvrait également une porte dérobée.

Une fois que les cybercriminels ont mis le pied dans la porte, ils peuvent employer ce que l'on appelle un rootkit. Un rootkit est un ensemble de malwares conçus pour éviter la détection et dissimuler l'activité Internet (de vous et de votre système d'exploitation). Les rootkits permettent aux attaquants d'accéder en permanence aux systèmes infectés. Essentiellement, le rootkit est l'obstacle qui empêche l'ouverture de la porte dérobée.

"Les portes dérobées étaient la quatrième détection de menace la plus courante en 2018, tant pour les consommateurs que pour les entreprises - des augmentations respectives de 34 et 173 % par rapport à l'année précédente."

Les portes dérobées intégrées ou propriétaires sont mises en place par les fabricants de matériel et de logiciels eux-mêmes. Contrairement aux malwares à porte dérobée, les portes dérobées intégrées ne sont pas nécessairement conçues dans un but criminel. Le plus souvent, les portes dérobées intégrées existent en tant qu'artefacts du processus de création des logiciels.

Les développeurs de logiciels créent ces comptes de porte dérobée afin de pouvoir entrer et sortir rapidement des applications en cours de codage, de tester leurs applications et de corriger les bogues (c'est-à-dire les erreurs) sans avoir à créer un "vrai" compte. Ces portes dérobées ne sont pas censées être livrées avec le logiciel final mis à la disposition du public, mais il arrive qu'elles le soient. Ce n'est pas la fin du monde, mais il y a toujours un risque qu'une porte dérobée propriétaire tombe entre les mains de cybercriminels.

Si la majorité des portes dérobées intégrées dont nous avons connaissance appartiennent à la première catégorie (c'est-à-dire la catégorie "oups, nous ne voulions pas mettre ça là"), les membres du pacte de partage de renseignements Five Eyes (États-Unis, Royaume-Uni, Canada, Australie et Nouvelle-Zélande) ont demandé à Apple, Facebook et Google d'installer des portes dérobées dans leur technologie pour faciliter la collecte de preuves dans le cadre d'enquêtes criminelles. Bien que les trois entreprises aient refusé, elles fournissent toutes trois des données en aval dans la mesure où la loi l'exige.

Les pays du groupe des Cinq Yeux ont souligné que ces portes dérobées étaient dans l'intérêt de la sécurité mondiale, mais les possibilités d'abus sont nombreuses. CBS News a découvert que des dizaines d'officiers de police dans tout le pays ont utilisé les bases de données criminelles actuellement disponibles pour s'aider eux-mêmes et leurs amis à harceler leurs ex, à draguer des femmes et à harceler les journalistes qui s'offusquaient de leur harcèlement et de leur drague.

Ceci étant dit, que se passerait-il si les agences gouvernementales décidaient de ne pas accepter de réponse négative ?

Cela nous amène à la porte dérobée de la chaîne d'approvisionnement. Comme son nom l'indique, une porte dérobée de la chaîne d'approvisionnement est insérée subrepticement dans le logiciel ou le matériel à un moment donné de la chaîne d'approvisionnement. Cela peut se produire lorsque les matières premières sont expédiées du fournisseur au fabricant ou lorsque le produit fini est acheminé du fabricant au consommateur.

Par exemple, une agence gouvernementale pourrait intercepter des routeurs, des serveurs et divers équipements de réseau en cours d'acheminement vers un client, puis installer une porte dérobée dans le micrologiciel. C'est d'ailleurs ce qu'a fait l'agence nationale américaine Security (NSA), comme l'a révélé Edward Snowden en 2013 dans ses révélations sur la surveillance mondiale.

Les infiltrations dans la chaîne d'approvisionnement pourraient également se produire dans le domaine des logiciels. Prenons l'exemple du code source ouvert. Les bibliothèques de code source ouvert sont des dépôts gratuits de code, d'applications et d'outils de développement dans lesquels toute organisation peut puiser au lieu de tout coder à partir de zéro. Ça a l'air génial, non ? Tout le monde travaille ensemble pour le bien de tous, en partageant les fruits de son travail. Dans l'ensemble, c'est très bien. Toute contribution au code source peut être examinée, mais il est arrivé qu'un code malveillant parvienne jusqu'à l'utilisateur final.

En juillet 2018, un logiciel malveillant de cryptomining a été découvert à l'intérieur d'une application (ou "snap", comme on l'appelle dans le monde de Linux) pour Ubuntu et d'autres systèmes d'exploitation basés sur Linux. Canonical, les développeurs d'Ubuntu, ont admis qu'"il est impossible pour un dépôt à grande échelle d'accepter des logiciels uniquement après que chaque fichier individuel a été examiné en détail."

Les portes dérobées et les exploits sont-ils identiques ?

Malwarebytes Labs définit les exploits comme "des vulnérabilités connues dans les logiciels qui peuvent être exploitées pour obtenir un certain niveau de contrôle sur les systèmes utilisant le logiciel affecté". Et nous savons qu'une porte dérobée fonctionne comme une entrée secrète dans votre ordinateur. Les portes dérobées et les exploits sont-ils donc une seule et même chose ?

Bien que les portes dérobées et les exploits semblent terriblement similaires à première vue, il ne s'agit pas de la même chose.

Les exploits sont des vulnérabilités logicielles accidentelles utilisées pour accéder à votre ordinateur et, éventuellement, déployer une sorte de logiciel malveillant. En d'autres termes, les exploits sont des bogues logiciels dont les chercheurs ou les cybercriminels ont trouvé le moyen de tirer parti. Les portes dérobées, en revanche, sont délibérément mises en place par les fabricants ou les cybercriminels pour entrer et sortir d'un système à volonté.

"Les exploits sont des vulnérabilités logicielles accidentelles utilisées pour accéder à votre ordinateur et, éventuellement, déployer une sorte de logiciel malveillant.... Les portes dérobées, en revanche, sont délibérément mises en place par les fabricants ou les cybercriminels pour entrer et sortir d'un système à volonté."

Que peuvent faire les pirates avec une porte dérobée ?

Les pirates peuvent utiliser une porte dérobée pour installer toutes sortes de malwares sur votre ordinateur.

• Les logiciels espions sont des malwares qui, une fois déployés sur votre système, collectent des informations sur vous, les sites que vous visitez sur Internet, les éléments que vous téléchargez, les fichiers que vous ouvrez, les noms d'utilisateur, les mots de passe et tout ce qui a de la valeur. Une forme moins répandue de logiciels espions, les enregistreurs de frappe (keyloggers), traquent spécifiquement chaque frappe et chaque clic que vous effectuez. Les entreprises peuvent utiliser des logiciels espions et des enregistreurs de frappe comme moyen légitime et légal de surveiller leurs employés au travail.
• Les ransomwares sont des malwares conçus pour crypter vos fichiers et verrouiller votre ordinateur. Pour récupérer ces précieuses photos, documents, etc. (ou tout autre type de fichier que les attaquants choisissent de cibler), vous devez payer les attaquants au moyen d'une forme de crypto-monnaie, généralement le bitcoin.
• Utiliser votre ordinateur dans le cadre d'une attaque DDoS. En utilisant la porte dérobée pour obtenir un accès de super-utilisateur à votre système, les cybercriminels peuvent prendre le contrôle de votre ordinateur à distance et l'intégrer dans un réseau d'ordinateurs piratés, appelé " botnet". Avec ce réseau d'ordinateurs zombies, les criminels peuvent ensuite submerger un site web ou un réseau avec le trafic du réseau d'ordinateurs zombies dans ce que l'on appelle une attaque par déni de service distribué (DDoS). L'afflux de trafic empêche le site web ou le réseau de répondre aux demandes légitimes, mettant ainsi le site hors service.
• Les malwares de cryptojacking sont conçus pour utiliser les ressources de votre système afin de miner de la crypto-monnaie. En bref, chaque fois qu'une personne échange de la crypto-monnaie, la transaction est enregistrée dans un registre virtuel crypté appelé "blockchain". Le cryptomining est le processus de validation de ces transactions en ligne en échange d'une plus grande quantité de crypto-monnaie et il nécessite une énorme puissance de calcul. Au lieu d'acheter le matériel coûteux nécessaire au cryptomining, les criminels ont découvert qu'ils pouvaient simplement enrôler des ordinateurs piratés dans un botnet qui fonctionne de la même manière que les fermes de cryptomining coûteuses.

Quelle est l'histoire des portes dérobées ?

Voici un aperçu des portes dérobées les plus (in)célèbres, qu'elles soient réelles ou fictives, depuis l'aube de l'informatique.

On pourrait dire que les portes dérobées sont entrées dans la conscience du public avec le film de science-fiction de 1983 WarGamesavec Matthew Broderick (dans ce qui ressemble à un essai pour Ferris Bueller). Broderick, dans le rôle d'un adolescent malicieux, David Lightman, utilise une porte dérobée intégrée pour accéder à un superordinateur militaire conçu pour effectuer des simulations de guerre nucléaire. À l'insu de Lightman, l'ordinateur schizophrène ne peut distinguer la réalité de la simulation. De plus, un génie a décidé de lui donner accès à l'ensemble de l'arsenal nucléaire des États-Unis. L'hilarité s'ensuit lorsque l'ordinateur menace de faire exploser le monde entier.

En 1993, la NSA a mis au point une puce chiffrement dotée d'une porte dérobée intégrée et destinée à être utilisée dans les ordinateurs et les téléphones. Cette puce était censée garantir la sécurité des communications sensibles tout en permettant aux forces de l'ordre et aux agences gouvernementales de décrypter et d'écouter les transmissions vocales et de données lorsque cela s'avérait nécessaire. Les portes dérobées matérielles présentent de gros avantages par rapport aux portes dérobées logicielles. Elles sont notamment plus difficiles à supprimer : il faut arracher le matériel ou re-flasher le micrologiciel pour y parvenir. La puce a toutefois été abandonnée pour des raisons de protection de la vie privée avant même d'être adoptée.

En 2005, Sony BMG s'est lancé dans le commerce des portes dérobées en expédiant des millions de CD de musique avec une protection contre la copie nuisible rootkit. Vous étiez loin de vous douter qu'en écoutant la dernière édition de Now That's What I Call Music !, votre CD contenait un rootkit, qui s'installait automatiquement une fois inséré dans votre ordinateur.

Conçu pour surveiller vos habitudes d'écoute, le Sony BMG rootkit vous empêchait également de graver des CD et laissait une faille béante dans votre ordinateur dont les cybercriminels pouvaient tirer parti. Sony BMG a déboursé des millions pour régler les litiges liés à rootkit et a rappelé des millions de CD.

En 2014, plusieurs routeurs Netgear et Linksys ont été découverts avec des portes dérobées intégrées. SerComm, le fabricant tiers qui a assemblé les routeurs, a nié avoir délibérément intégré les portes dérobées dans son matériel. Mais lorsque le correctif publié par SerComm a dissimulé la porte dérobée au lieu de la réparer, il est devenu évident que l'entreprise n'avait rien de bon à faire. On ne sait toujours pas exactement ce que SerComm essayait d'accomplir avec cette porte dérobée.

La même année, des développeurs de logiciels travaillant sur une version dérivée du système d'exploitation Android de Google (appelé Replicant) ont découvert une porte dérobée sur les appareils mobiles de Samsung, notamment les téléphones de la série Galaxy. Cette porte dérobée aurait permis à Samsung ou à toute autre personne qui en aurait eu connaissance d'accéder à distance à tous les fichiers stockés sur les appareils concernés. En réponse à cette découverte, Samsung a qualifié la porte dérobée de "fonctionnalité" ne présentant "aucun risque pour la sécurité".

L'autre célèbre fabricant de téléphones, Apple, refuse d'inclure des portes dérobées dans ses produits, malgré les demandes répétées du FBI et du ministère américain de la justice. La pression s'est accentuée à la suite des attentats terroristes de San Bernardino en 2015, au cours desquels le FBI a retrouvé un iPhone appartenant à l'un des tireurs. Au lieu de compromettre la sécurité de ses appareils iOS , Apple a doublé la protection de la vie privée et a rendu ses iPhones et iPads encore plus difficiles à pirater. Le FBI a finalement retiré sa demande lorsqu'il a pu pirater l'ancien iPhone, moins sécurisé, avec l'aide d'un mystérieux tiers.

Les plugins contenant du code caché malveillant pour WordPress, Joomla, Drupal et d'autres systèmes de gestion de contenu sont un problème permanent. En 2017, des chercheurs en sécurité ont découvert une escroquerie SEO qui a affecté plus de 300 000 sites web WordPress. L'escroquerie était centrée sur un plugin WordPress CAPTCHA appelé Simply WordPress. Une fois installé, Simply WordPress ouvrait une porte dérobée, permettant un accès administrateur aux sites web concernés. De là, le pirate responsable a intégré des liens cachés vers son site web de prêt sur salaire (les liens vers d'autres sites web sont excellents pour l'optimisation des moteurs de recherche).

L'année 2017 a également été marquée par le ransomware destructeur NotPetya. Le patient zéro apparent dans ce cas était un cheval de Troie à porte dérobée déguisé en mise à jour logicielle pour une application de comptabilité ukrainienne appelée MeDoc. Interrogé, MeDoc a nié être à l'origine de NotPetya. La vraie question est la suivante : pourquoi quelqu'un choisirait-il une application de comptabilité ukrainienne très suspecte appelée MeDoc ?

En 2018, Bloomberg Businessweek a révélé que des espions chinois parrainés par l'État avaient infiltré le fabricant de serveurs Supermicro, dans un reportage qui ressemble à un thriller de série B. Les espions auraient installé des puces espionnes avec des portes dérobées sur des composants de serveurs destinés à des dizaines d'entreprises technologiques et d'organisations gouvernementales américaines, notamment Amazon, Apple et la CIA. Les espions auraient installé des puces espionnes avec des portes dérobées sur des composants de serveurs destinés à des dizaines d'entreprises technologiques et d'organisations gouvernementales américaines, notamment Amazon, Apple et la CIA.

Une fois installées dans un centre de données, les puces espionnes communiqueraient avec les serveurs de commande et de contrôle chinois, donnant aux agents chinois un accès illimité aux données du réseau. Amazon, Apple et divers représentants du gouvernement américain ont tous réfuté les affirmations de l'article de Bloomberg. Supermicro, pour sa défense, a qualifié l'histoire de "virtuellement impossible" et aucun autre organe de presse ne l'a reprise.

Enfin, pour illustrer une situation où une entreprise souhaiterait disposer d'une porte dérobée, l'échange de crypto-monnaies canadien QuadrigaCX a fait parler de lui au début de l'année 2019 lorsque le fondateur de l'entreprise est décédé brutalement alors qu'il était en vacances en Inde, emportant avec lui le mot de passe de tout ce qu'il détenait. QuadrigaCX affirme que les 190 millions de dollars de crypto-monnaies détenues par ses clients sont irrémédiablement enfermés dans une "chambre froide", où ils resteront pendant des décennies et finiront par valoir des zillions de dollars - ou rien du tout, selon l'évolution des crypto-monnaies.

Comment puis-je me protéger contre les portes dérobées ?

Bonne nouvelle, mauvaise nouvelle. La mauvaise nouvelle est qu'il est difficile d'identifier les portes dérobées intégrées et de s'en protéger. Le plus souvent, les fabricants ne savent même pas que la porte dérobée existe. La bonne nouvelle, c'est qu'il existe des moyens de se protéger contre les autres types de portes dérobées.

Modifiez vos mots de passe par défaut. Les membres du service informatique de votre entreprise n'ont jamais voulu que votre mot de passe soit "guest" ou "12345". Si vous laissez ce mot de passe par défaut en place, vous avez involontairement créé une porte dérobée. Modifiez-le dès que possible et activez l'authentification multifactorielle (MFA) pendant que vous y êtes. Oui, conserver un mot de passe unique pour chaque application peut être décourageant. Unrapport de Malwarebytes Labs sur la confidentialité des données a révélé que 29 % des personnes interrogées utilisaient le même mot de passe pour de nombreuses applications et appareils. Ce n'est pas si mal, mais il y a encore de la place pour l'amélioration.

Surveillez l'activité du réseau. Tout pic de données étrange peut signifier que quelqu'un utilise une porte dérobée sur votre système. Pour y remédier, utilisez des pare-feu pour suivre l'activité entrante et sortante des différentes applications installées sur votre ordinateur.

Choisissez soigneusement les applications et les plugins. Comme nous l'avons vu, les cybercriminels aiment dissimuler des portes dérobées à l'intérieur d'applications et de plugins gratuits apparemment inoffensifs. La meilleure défense consiste à s'assurer que les applications et les plugins que vous choisissez proviennent d'une source fiable.

Android et Chromebook doivent s'en tenir aux applications de la boutique Google Play, tandis que les utilisateurs de Mac et iOS doivent s'en tenir à l'App Store d'Apple. Conseil technique bonus : lorsqu'une application nouvellement installée vous demande la permission d'accéder à des données ou à des fonctions de votre appareil, réfléchissez-y à deux fois. Il arrive que des applications suspectes parviennent à franchir le processus de vérification des applications de Google et d'Apple.

Si l'on se réfère à l'étude sur la confidentialité des données, la plupart des personnes interrogées ont bien suivi les autorisations des applications, mais 26 % d'entre elles ont répondu "Je ne sais pas". Prenez le temps, peut-être dès maintenant, de vérifier les autorisations des applications sur vos appareils (Malwarebytes pour Android le fera pour vous). En ce qui concerne les plugins WordPress et autres, vérifiez les évaluations et les commentaires des utilisateurs et évitez d'en installer. Vérifiez les évaluations et les avis des utilisateurs et évitez d'installer tout ce qui n'est pas très bien noté.

Utilisez une bonne solution de cybersécurité. Toute bonne solution anti-malware devrait pouvoir empêcher les cybercriminels de déployer les chevaux de Troie et les rootkits utilisés pour ouvrir ces portes dérobées. Malwarebytes Les solutions de cybersécurité proposées par l'Agence européenne pour la sécurité des réseaux et de l'information (ESA), par exemple, sont destinées à Windows, Mac, et Chromebook. Sans oublier Malwarebytes pour Android et Malwarebytes pour iOS, afin que vous puissiez rester protégé sur tous vos appareils. Les utilisateurs professionnels sont également couverts. Découvrez toutes les solutions professionnelles deMalwarebytes .

Et si votre intérêt pour les portes dérobées va au-delà de ce que vous avez lu ici, n'oubliez pas de lire le blogMalwarebytes Labs et de vous y abonner. Vous y trouverez toutes les dernières nouvelles sur les portes dérobées et tout ce qui compte dans le monde de la cybersécurité.