Virus et chevaux de Troie, ce qu’il faut savoir

Nous assistons ces dernières semaines à une vague sans précédents de prolifération de chevaux de Troie et autres ransomwares.  Pas vraiment nouveau, me direz-vous, et pourtant si, à cause de l’ampleur du phénomène et des méthodes de plus en plus sophistiquées utilisées par les malfrats pour mettre la main sur vos précieuses données… ou sur votre argent.

Les virus et autres maliciels sont presque aussi vieux que l’informatique.  Tout d’abord développés par des geeks qui y voyaient surtout une manière de coder au niveau même du système d’exploitation, et par là, apprenaient à le connaître comme personne; ceux-ci ont connu leur heure de gloire dès la fin des années ’80 avec la prolifération de dizaines de milliers de virus qui étaient capables de se répliquer sur des supports comme les fichiers .com ou .exe, en les laissant intacts ou en les détruisant irrémédiablement au passage.   D’autres infectaient le secteur d’amorce des disquettes ou des disques durs, et puis vinrent les premiers virus sous forme de macros avec le fameux I LOVE YOU qui paralysa bon nombre de serveurs e-mail à l’été 1999.  Et comme c’est dans les plus vieilles casseroles qu’on fait le meilleur bouillon…

La situation aujourd’hui

La bonne nouvelle c’est qu’aujourd’hui la plupart des maliciels ne visent plus à détruire vos données ou votre parc informatique.  La mauvaise c’est que les malfaiteurs (il faut bien les appeler ainsi, ce ne sont pas des hackers, mais des truands) se sont largement professionnalisés et qu’ils usent de ruses toujours plus fines pour parvenir à vous extorquer leur obole. 

Ainsi, ce que nous voyons à l’oeuvre, c’est la mise en place de stratégies permettant au racket (ou au vol) d’aboutir :

  • Utilisation de supports supposément anodins pour servir de vecteurs à l’attaque
  • Appel à l’ingénierie sociale, fausses factures
  • Utilisations de techniques avancées de cryptographie

Supports supposément anodins (.pdf, .rtf, .doc, .xls, …)

Je suppose qu’on vous l’a tous dit au moins une fois, ne jamais, jamais ouvrir un fichier exécutable reçu par e-mail, ou proposé au téléchargement sur des sites douteux.  Bien, et j’imagine qu’on vous aura dit, au moins une fois aussi que « si c’est un pdf, c’est sans danger, tu peux l’ouvrir ».

Sauf qu’il n’y a rien de plus faux, et cela a des conséquences d’autant plus dramatiques que la plupart des gens, justement, ont été biberonnés à l’idée que ces fichiers ne peuvent pas représenter une menace.  Dans les faits, les PDF, tout comme les fichiers office (.doc, .xls, …) sont des formats « containers ».  Ils peuvent contenir n’importe quoi, littéralement, y compris des parties exécutables.  Si vous combinez cela avec des failles connues permettant d’exécuter arbitrairement du javascript dans un PDF, par exemple, vous obtenez un PDF qui contient un .DOC qui contient des macros exécutables… qui seront automatiquement lancées lorsque vous ouvrirez le document dans votre navigateur ou votre client e-mail.   Je ne parle pas ici de science-fiction, ces attaques combinées sont déjà une réalité depuis plusieurs mois[1].

Au risque de vous paraître quelque peu spartiate, il n’y a que deux familles de fichiers :

  • Les fichiers ne contenant que du texte pur
  • Les autres

Et seuls les fichiers ne contenant que du texte pur ne sont pas susceptibles de représenter une menace.  Tous les autres sont potentiellement dangereux, soit parce qu’ils permettent directement d’embarquer des macros ou d’autres contenus exécutables, soit parce qu’ils peuvent faire l’objet d’attaques en buffer overflow qui transforme le programme chargé de les décoder en agent exécutable au service du maliciel.  Bien sûr, la plupart de ces failles finissent par être découvertes et corrigées, mais dans l’intervalle, vous êtes vulnérable et il peut parfois s’écouler plusieurs mois, voire des années avant que ces failles soient documentées quand ce ne sont pas carrément les services secrets de l’un ou l’autre État qui les gardent « sous le coude » au cas où elles pourraient leur servir à infiltrer des réseaux ennemis.

Appel à l’ingénierie sociale, fausses factures

De plus en plus souvent, les malfaiteurs complètent leur attaque par l’ingénierie sociale.  Ils vous envoient un PDF infecté, puis quelques heures plus tard, après avoir glané les données de contact sur votre site cherchent à joindre un responsable du service comptable (ou autre) afin de l’inciter à ouvrir le document.  Une telle démarche est de nature à renforcer le contact humain, et donc à rassurer l’interlocuteur qui dès lors, ne pensera plus à une simple attaque informatique.

Utilisations de techniques avancées de cryptographie

Les techniques utilisées par les truands pour encrypter les données, par exemple dans le cas du Trojan WannaCry ou de son successeur (dont on a peu parlé) Jaff, sont à la pointe de la technique.   En deux mots, ils font appel à la cryptographie asymétrique.  Deux jeux de deux clés sont créés lors de la primo-infection.  Un set de clés « démo » et un set de clés «prod».  Le set de clés «démo» ne servira qu’à encrypter un petit nombre de fichiers que le malware vous permettra ensuite de décrypter pour vous « prouver » qu’il est capable de déchiffrer vos données.

Un set de clés contient deux clés, l’une destinée à encrypter les données, l’autre à les décrypter.  Dès que le jeu de clés «prod» est créé, la clé de décryption sera envoyée (via l’anonymiseur TOR) à un serveur secret (les truands), puis détruite irrémédiablement.  Le set «démo» restera lui au complet sur la machine infectée, y compris la clé de déchiffrement, qui permettra ultérieurement à l’utilisateur de décrypter un petit nombre de fichiers, en guise de gage de « bonne foi ».

Ensuite, le maliciel encryptera tous les fichiers passant à sa portée, les rendant définitivement inaccessibles sauf à disposer de la clé de déchiffrement (et donc, de payer la rançon).

La mauvaise nouvelle : sans la clé de déchiffrement, vous devrez vous reposer sur vos seules copies de sécurité OU payer la rançon pour l’obtenir.  Seul un tout petit nombre de clés ont pu être reconstituées dans des environnements très particuliers (Windows XP) en exploitant un bug dans le générateur pseudo-aléatoire du système d’exploitation.  Si votre propre système est plus récent (Windows 7, 8 ou 2012 Server), vous êtes cuit.

Que peut-on faire pour se protéger ?

Les « spécialistes en sécurité » qui viennent généralement pour évoquer la question dans les médias vous diront qu’il faut absolument avoir un antivirus à jour.  Moi je dirais qu’un antivirus est à peu près aussi efficace que de chanter « Plus près de toi mon Dieu » en cas de naufrage du Titanic.  Ça rassure, certes, mais je ne suis pas du tout certain que ce soit une protection efficace ou suffisante.

De mon expérience quotidienne en tant que mailmaster, je retiens que 80% des virus qui arrivent sur mon serveur de courrier sont de type « zero day » c’est-à-dire qu’aucun antivirus ne peut les détecter au moment où je les reçois. Il peut s’écouler plusieurs heures, voire plusieurs jours avant que les antivirus soient mis à niveau et capables de les détecter.

De sorte qu’on comprend qu’un antivirus est spécialement étudié pour détecter les menaces qu’il connaît, et fort peu celles qu’il n’a encore jamais vues (heuristique).  Pourquoi ?  Parce que c’est un business; les fabricants d’antivirus vivent non pas de leur produit (le moteur de l’antivirus) mais bien des abonnements qui vont avec.  Ils vendent un service et n’ont que peu d’intérêt à tuer la poule aux oeufs d’or, si tant est que cela soit possible tant l’imagination des hackers n’a pas de limite.

Scanner systématiquement les attachments reçus avec VirusTotal

Si vous recevez un attachment ou téléchargez un document sur internet, et que vous ne savez pas trop si c’est du lard ou du cochon, ce n’est pas une mauvaise idée de le scanner en ligne avec VirusTotal, qui le soumettra à une cinquantaine d’antivirus différents et vous remettra un rapport vous permettant de vous faire une idée.  Je dis bien une idée, parce que certains que je reçois passent littéralement à travers sans aucun problème.

Limiter les droits de session du navigateur

Ensuite, pour toute sécurité, ce ne serait pas une mauvaise idée, lorsque vous surfez sur internet à partir d’un ordinateur sous Windows, d’installer le petit logiciel DropMyRights (publié par Microsoft).  Celui-ci permet, grâce à une petite manipulation dans les raccourcis, de faire exécuter votre navigateur (Chrome, FireFox ou Internet Explorer) en contexte de droits restreints, en tant qu’utilisateur invité.  Ainsi, au cas où vous tomberiez sur une page exploitant justement une faille zero-day de votre navigateur, le maliciel ne pourrait pas s’installer et causer des dégâts importants au système.

Bloquer les macros dans MsOffice

En principe, depuis la version 2007 de MsOffice, les contenus exécutables (macros) sont bloqués par défaut.  Toutefois vous pourriez être amené à les autoriser : en pareil cas, assurez-vous de n’autoriser que des contenus dûment signés numériquement par vous.

Désactiver le protocole SMBv1 si ce n’est déjà fait

En principe, si vous réalisez régulièrement les mises à jour de Windows, ce protocole (qui comportait une faille critique qui permettait à Wannacry d’infecter les réseaux) devrait être désactivé.  Si cela ne devait pas être le cas, vous pouvez réaliser simplement cette procédure en ligne de commande.

Conclusion

Nous vivons dans un monde où l’évolution technologique se poursuit à un rythme tellement effréné qu’il devient presque impossible, pour le citoyen lambda, de comprendre les tenants et les aboutissants en termes de sécurité des outils qu’il utilise quotidiennement.  Selon moi cette situation est extrêmement dangereuse et elle est certainement anxiogène pour les utilisateurs qui réalisent leur incompétence en la matière.

Autrefois, quand vous vouliez protéger vos biens, vous achetiez un coffre-fort.  Et chacun pouvait comprendre comment fonctionnait un coffre-fort, comment il était construit, dans quels matériaux, et pourquoi il était si difficile à ouvrir si l’on n’avait pas la combinaison et la clé.

Mais qui d’entre vous pourrait m’expliquer précisément pourquoi je ne puis effectuer un virement à partir de votre compte sans votre permission ? Qui comprend la sécurité amenée par une clé asymétrique à 2048 bits ?  Pour le même prix on pourrait vous les faire en 40 bits et vous ne vous en trouveriez probablement pas plus mal, ne sachant pas à quel péril vous seriez exposé…  Oh bien sûr, je plaisante, il ne viendrait (plus) à personne de sécuriser des communications sur 40 bits !!  Et pourtant, jusqu’en 2000, les lois américaines interdisaient l’export de moyens cryptographiques (logiciels) dépassant cette limite. 

Ainsi, il y a un danger pire que l’insécurité en informatique, c’est le faux sentiment de sécurité, qu’il soit amené par des charlatans ou par des agences étatiques qui veulent se réserver le droit de mettre le nez dans vos petits secrets.

Notes

  • [1] Didier Stevens, un spécialiste belge en sécurité et analyse des menaces avait déjà illustré ceci par un exemple, en créant un PDF qui écrivait (droppait) un fichier EICAR dans le répertoire temporaire de Windows.  Le fichier EICAR en soi est inoffensif et utilisé seulement pour tester les antivirus. 

C’est le même qui quelques mois plus tôt avait écrit en Python un petit logiciel (OLEDump) permettant de détecter automatiquement la présence de macros dans un container OLEv2 (.doc, .xls, .ppt, …).

Ce script est aujourd’hui assez largement utilisé par un certain nombre de mailmasters  en complément des autres mesures de sécurité afin de détecter les fichiers qui pourraient représenter une menace pour le réseau.  Pour ceux d’entre vous qui gèrent des serveurs de courrier, la version en ligne de commande ClamAV avec son démon, permet, une fois configuré correctement d’identifier lui aussi les macros OLEv2 même si elles ne correspondent à aucune signature connue.

avatar

Philippe Huysmans

Webmaster du Vilain Petit Canard, citoyen de nationalité belge, né à Schaerbeek le 16.10.1966. Marié et père de deux enfants. Je vis en Belgique et j’exerce la profession d’Informaticien à Bruxelles. Mes articles

Vous aimerez aussi...