Virus et chevaux de Troie, ce qu’il faut savoir

Temps de lecture : 8 minute(s)

Les virus et autres maliciels sont presque aussi vieux que l’informatique.  Tout d’abord développés par des geeks qui y voyaient surtout une manière de coder au niveau même du système d’exploitation, et par là, apprenaient à le connaître comme personne; ceux-ci ont connu leur heure de gloire dès la fin des années ’80 avec la prolifération de dizaines de milliers de virus qui étaient capables de se répliquer sur des supports comme les fichiers .com ou .exe, en les laissant intacts ou en les détruisant irrémédiablement au passage.   D’autres infectaient le secteur d’amorce des disquettes ou des disques durs, et puis vinrent les premiers virus sous forme de macros avec le fameux I LOVE YOU qui paralysa bon nombre de serveurs e-mail à l’été 1999.  Et comme c’est dans les plus vieilles casseroles qu’on fait le meilleur bouillon…

La situation aujourd’hui

La bonne nouvelle c’est qu’aujourd’hui la plupart des maliciels ne visent plus à détruire vos données ou votre parc informatique.  La mauvaise c’est que les malfaiteurs (il faut bien les appeler ainsi, ce ne sont pas des hackers, mais des truands) se sont largement professionnalisés et qu’ils usent de ruses toujours plus fines pour parvenir à vous extorquer leur obole. 

Ainsi, ce que nous voyons à l’oeuvre, c’est la mise en place de stratégies permettant au racket (ou au vol) d’aboutir :

• Utilisation de supports supposément anodins pour servir de vecteurs à l’attaque
• Appel à l’ingénierie sociale, fausses factures
• Utilisations de techniques avancées de cryptographie

Supports supposément anodins (.pdf, .rtf, .doc, .xls, …)

Je suppose qu’on vous l’a tous dit au moins une fois, ne jamais, jamais ouvrir un fichier exécutable reçu par e-mail, ou proposé au téléchargement sur des sites douteux.  Bien, et j’imagine qu’on vous aura dit, au moins une fois aussi que « si c’est un pdf, c’est sans danger, tu peux l’ouvrir ».

Au risque de vous paraître quelque peu spartiate, il n’y a que deux familles de fichiers :

• Les fichiers ne contenant que du texte pur
• Les autres

Et seuls les fichiers ne contenant que du texte pur ne sont pas susceptibles de représenter une menace.  Tous les autres sont potentiellement dangereux, soit parce qu’ils permettent directement d’embarquer des macros ou d’autres contenus exécutables, soit parce qu’ils peuvent faire l’objet d’attaques en buffer overflow qui transforme le programme chargé de les décoder en agent exécutable au service du maliciel.  Bien sûr, la plupart de ces failles finissent par être découvertes et corrigées, mais dans l’intervalle, vous êtes vulnérable et il peut parfois s’écouler plusieurs mois, voire des années avant que ces failles soient documentées quand ce ne sont pas carrément les services secrets de l’un ou l’autre État qui les gardent « sous le coude » au cas où elles pourraient leur servir à infiltrer des réseaux ennemis.

Appel à l’ingénierie sociale, fausses factures

De plus en plus souvent, les malfaiteurs complètent leur attaque par l’ingénierie sociale.  Ils vous envoient un PDF infecté, puis quelques heures plus tard, après avoir glané les données de contact sur votre site cherchent à joindre un responsable du service comptable (ou autre) afin de l’inciter à ouvrir le document.  Une telle démarche est de nature à renforcer le contact humain, et donc à rassurer l’interlocuteur qui dès lors, ne pensera plus à une simple attaque informatique.

Utilisations de techniques avancées de cryptographie

Les techniques utilisées par les truands pour encrypter les données, par exemple dans le cas du Trojan WannaCry ou de son successeur (dont on a peu parlé) Jaff, sont à la pointe de la technique.   En deux mots, ils font appel à la cryptographie asymétrique.  Deux jeux de deux clés sont créés lors de la primo-infection.  Un set de clés « démo » et un set de clés «prod».  Le set de clés «démo» ne servira qu’à encrypter un petit nombre de fichiers que le malware vous permettra ensuite de décrypter pour vous « prouver » qu’il est capable de déchiffrer vos données.

Un set de clés contient deux clés, l’une destinée à encrypter les données, l’autre à les décrypter.  Dès que le jeu de clés «prod» est créé, la clé de décryption sera envoyée (via l’anonymiseur TOR) à un serveur secret (les truands), puis détruite irrémédiablement.  Le set «démo» restera lui au complet sur la machine infectée, y compris la clé de déchiffrement, qui permettra ultérieurement à l’utilisateur de décrypter un petit nombre de fichiers, en guise de gage de « bonne foi ».

Ensuite, le maliciel encryptera tous les fichiers passant à sa portée, les rendant définitivement inaccessibles sauf à disposer de la clé de déchiffrement (et donc, de payer la rançon).

La mauvaise nouvelle : sans la clé de déchiffrement, vous devrez vous reposer sur vos seules copies de sécurité OU payer la rançon pour l’obtenir.  Seul un tout petit nombre de clés ont pu être reconstituées dans des environnements très particuliers (Windows XP) en exploitant un bug dans le générateur pseudo-aléatoire du système d’exploitation.  Si votre propre système est plus récent (Windows 7, 8 ou 2012 Server), vous êtes cuit.

Que peut-on faire pour se protéger ?

Les « spécialistes en sécurité » qui viennent généralement pour évoquer la question dans les médias vous diront qu’il faut absolument avoir un antivirus à jour.  Moi je dirais qu’un antivirus est à peu près aussi efficace que de chanter « Plus près de toi mon Dieu » en cas de naufrage du Titanic.  Ça rassure, certes, mais je ne suis pas du tout certain que ce soit une protection efficace ou suffisante.

De mon expérience quotidienne en tant que mailmaster, je retiens que 80% des virus qui arrivent sur mon serveur de courrier sont de type « zero day » c’est-à-dire qu’aucun antivirus ne peut les détecter au moment où je les reçois. Il peut s’écouler plusieurs heures, voire plusieurs jours avant que les antivirus soient mis à niveau et capables de les détecter.

De sorte qu’on comprend qu’un antivirus est spécialement étudié pour détecter les menaces qu’il connaît, et fort peu celles qu’il n’a encore jamais vues (heuristique).  Pourquoi ?  Parce que c’est un business; les fabricants d’antivirus vivent non pas de leur produit (le moteur de l’antivirus) mais bien des abonnements qui vont avec.  Ils vendent un service et n’ont que peu d’intérêt à tuer la poule aux oeufs d’or, si tant est que cela soit possible tant l’imagination des hackers n’a pas de limite.

Scanner systématiquement les attachments reçus avec VirusTotal

Si vous recevez un attachment ou téléchargez un document sur internet, et que vous ne savez pas trop si c’est du lard ou du cochon, ce n’est pas une mauvaise idée de le scanner en ligne avec VirusTotal, qui le soumettra à une cinquantaine d’antivirus différents et vous remettra un rapport vous permettant de vous faire une idée.  Je dis bien une idée, parce que certains que je reçois passent littéralement à travers sans aucun problème.

Limiter les droits de session du navigateur

Ensuite, pour toute sécurité, ce ne serait pas une mauvaise idée, lorsque vous surfez sur internet à partir d’un ordinateur sous Windows, d’installer le petit logiciel DropMyRights (publié par Microsoft).  Celui-ci permet, grâce à une petite manipulation dans les raccourcis, de faire exécuter votre navigateur (Chrome, FireFox ou Internet Explorer) en contexte de droits restreints, en tant qu’utilisateur invité.  Ainsi, au cas où vous tomberiez sur une page exploitant justement une faille zero-day de votre navigateur, le maliciel ne pourrait pas s’installer et causer des dégâts importants au système.

Bloquer les macros dans MsOffice

En principe, depuis la version 2007 de MsOffice, les contenus exécutables (macros) sont bloqués par défaut.  Toutefois vous pourriez être amené à les autoriser : en pareil cas, assurez-vous de n’autoriser que des contenus dûment signés numériquement par vous.

Désactiver le protocole SMBv1 si ce n’est déjà fait

En principe, si vous réalisez régulièrement les mises à jour de Windows, ce protocole (qui comportait une faille critique qui permettait à Wannacry d’infecter les réseaux) devrait être désactivé.  Si cela ne devait pas être le cas, vous pouvez réaliser simplement cette procédure en ligne de commande.

Conclusion

Nous vivons dans un monde où l’évolution technologique se poursuit à un rythme tellement effréné qu’il devient presque impossible, pour le citoyen lambda, de comprendre les tenants et les aboutissants en termes de sécurité des outils qu’il utilise quotidiennement.  Selon moi cette situation est extrêmement dangereuse et elle est certainement anxiogène pour les utilisateurs qui réalisent leur incompétence en la matière.

Autrefois, quand vous vouliez protéger vos biens, vous achetiez un coffre-fort.  Et chacun pouvait comprendre comment fonctionnait un coffre-fort, comment il était construit, dans quels matériaux, et pourquoi il était si difficile à ouvrir si l’on n’avait pas la combinaison et la clé.

Mais qui d’entre vous pourrait m’expliquer précisément pourquoi je ne puis effectuer un virement à partir de votre compte sans votre permission ? Qui comprend la sécurité amenée par une clé asymétrique à 2048 bits ?  Pour le même prix on pourrait vous les faire en 40 bits et vous ne vous en trouveriez probablement pas plus mal, ne sachant pas à quel péril vous seriez exposé…  Oh bien sûr, je plaisante, il ne viendrait (plus) à personne de sécuriser des communications sur 40 bits !!  Et pourtant, jusqu’en 2000, les lois américaines interdisaient l’export de moyens cryptographiques (logiciels) dépassant cette limite. 

Ainsi, il y a un danger pire que l’insécurité en informatique, c’est le faux sentiment de sécurité, qu’il soit amené par des charlatans ou par des agences étatiques qui veulent se réserver le droit de mettre le nez dans vos petits secrets.