Cyberattaques : les nouvelles techniques d'intrusion des hackers !

Les hackers ne recourent, plus systématiquement, à des "pièces jointes" pour infecter les machines qu'ils entendent attaquer. Pour déjouer les mécanismes de détection des antivirus et des pare-feu ("firewall"), ils opèrent désormais "sans fichier": selon un mode opératoire baptisé "fileless attack" en anglais, ainsi nommé car il ne nécessite plus de télécharger un "document" infecté. Ce modus operandi complique considérablement la tâche des responsables en cybersécurité, contraints de mettre en place de nouveaux dispositifs de surveillance.

Explication : au lieu d'utiliser un fichier "malin" (un "malware" en anglais) qui va s'enregistrer sur le disque dur d'un ordinateur et exécuter un programme toxique à l'insu de son utilisateur, les hackers recourent de plus en plus souvent à la stéganographie (du grec ancien "στεγανός"/ "steganós" qui signifie "couvrir" et "γράφειν"/"graphein" qui désigne l'écriture). Cette technique, connue des services secrets depuis l'Antiquité, vise à dissimuler un message à l'intérieur d'un autre document.

Un dérivé de l'écriture secrète des espions

Au Ve siècle avant notre ère, Démarate, ancien roi de Sparte exilé en Perse, communiquait avec ses alliés selon ce procédé, en recouvrant de cire les tablettes de bois sur lesquelles il avait écrit. Inscrivant sur cette deuxième couche de cire un texte banal, il parvenait ainsi à se protéger des regards indiscrets. En informatique, il suffit aujourd'hui d'incorporer une ligne de code au sein d'une image.

"Un pixel suffit", explique Patrice Puichaud, directeur des ventes en Europe et en Afrique du groupe de cybersécurité Sentinel One. "Les informations secrètes, insérées par un algorithme incorporé à une image, sont quasiment impossibles à détecter à l'œil nu ou par les technologies de sécurité", complète Adam Philpott, président Europe, Moyen-Orient et Afrique du groupe de cybersécurité McAfee. "Il suffit que la ligne de code, ainsi dissimulée, active ensuite un shellcode (un code binaire exécutable) activant un programme, présentant une brèche de sécurité, pour ouvrir une sorte de tunnel vers l'ordinateur visé", poursuit-il.

Des attaques... très discrètes

"Étant donné que les attaques sans fichier s'exécutent directement dans la mémoire et n'ont aucune présence sur le disque réel, les solutions de sécurité traditionnelles ont du mal à prévenir ces attaques... S'appuyer sur des scripts pour effectuer des attaques sans fichier est une méthode intéressante, car les scripts sont initialement utilisés pour exécuter des commandes. Les scripts sont de nature inoffensifs, mais utilisés à des fins malveillantes, ils peuvent permettre d'exfiltrer des données sensibles ou télécharger d'autres composants malveillants sur l'ordinateur de la victime", complète Arsène Liviu, spécialiste sécurité chez Bitdefender.

Si la première "fileless attack" remonte à 2001 (baptisée "Code Red", elle avait été préparée aux Philippines, selon l'ancien hacker Marc Maiffret, à l'époque employé par eEye Digital Security), ce modus operandi est en plein boom depuis un an. "Nous observons une augmentation significative des attaques recourant à cette forme tactique (...) qui permet d'éviter d'être repéré par les scans traditionnels d'antivirus", relève ainsi un rapport du groupe Symantec datant de juillet 2017. Cette technique est particulièrement adaptée à des opérations de cyberespionnage. La stéganographie permet en effet d' "établir une tête de pont (dans un serveur) puis de collecter des informations de valeur afin de les transférer par la suite à un serveur de commande et de contrôle (C&C)", lit-on dans une étude du laboratoire de recherche russe Kaspersky.

Une spécialité russe

C'est en passant ainsi sous les radars de détection des antivirus que des hackers, appartenant aux groupes russes APT 28 et APT 29, sont parvenus à piller les messageries du Parti démocrate américain (Democrat National Comitee) pendant neuf mois, entre avril et décembre 2016, publiant ensuite une série de mails volés à la veille de l'élection présidentielle pour saper la candidature d'Hillary Clinton.

C'est parce que les menus de plusieurs chaînes de restauration rapide américaines (Chipotle et Chick-Fil-A) dissimulaient un code malveillant que les clients de ces enseignes ont vu leurs comptes bancaires piratés en mai et juin dernier par le cybergang russe FIN7. Cette bande de gangsters "high tech", aussi connue sous le nom de Carbanak, s'était déjà illustrée, en 2014, dans des hold-ups numériques de haut vol. Le même dispositif a été repéré, au printemps dernier, dans des bandeaux publicitaires figurant sur les sites internet de médias ukrainiens.

De la même manière, c'est en "trafiquant" des vidéos pornographiques, diffusées en streaming (et donc, là encore, n'impliquant pas de téléchargement) que les services secrets israéliens sont parvenus à pénétrer les serveurs d'une cellule de Daech. Et c'est encore par le biais d'une "fileless attack" ciblant une faille détectée dans le composant logiciel Apache Struts que le groupe financier Equifax a été piraté, en septembre dernier aux États-Unis. Selon Satya Gupta, fondateur de l'entreprise Virsec Systems, le foyer infectieux primaire se logeait dans "l'aperçu" d'un mail. C'est à partir de cette image d'aspect inoffensif qu'aurait été activée l'opération de cyberpillage ayant conduit au détournement d'informations confidentielles concernant la solvabilité de dizaines de millions d'Américains et de Canadiens, clients de cette entreprise spécialisée dans l'évaluation de la capacité de remboursement des particuliers.

Comment s'en défendre ?

Face à cette cybermenace, que faire ? Dans un premier temps : éteindre tout simplement son ordinateur chaque soir. "Un aspect intéressant des attaques sans fichier, c'est qu'elles ne sont pas persistantes. Cela signifie qu'après que le script a fini de s'exécuter ou après le redémarrage du PC, la menace disparaît", note Arsène Liviu.

Il en va autrement si les attaquants ont eu le temps de disséminer des programmes-espions ici et là, les dissimulant dans des applications insoupçonnables... comme la calculatrice de votre ordinateur ! Dans ce cas, il existe heureusement des parades. "Dans la mesure où les scripts les plus utilisés dans ce type d'offensive sont identifiés (Visual Basic ou PowerShell, notamment), nous développons un outil de surveillance dédié à ces applicatifs", explique Frank Charvet, directeur des ventes chez BitDefender.

"En tout état de cause, c'est en scrutant plusieurs paramètres que nous pouvons détecter ces intrusions, notamment en gardant un œil sur l'activité de la mémoire qui est en général activée lors de ces attaques", complète Adam Philpott, du groupe McAfee. Ses équipes ont développé, à cet effet, une plafetorme d'observation "multifactorielle" très efficace depuis qu'elles ont repéré le malware Duqu en 2011 qui opérait jusque-là en toute discrétion en infectant seulement la mémoire vive (RAM) des ordinateurs. Même technique chez BitDefender, Sentinel One, Kaspersky ou encore Symantec.

"Pour éviter de ralentir les machines, nos dispositifs de cybersécurité recourent aujourd'hui à la virtualisation", expose Vincent Meyssonnet, en charge de la commercalisation du programme HyperVision chez BitDefender. Les antivirus classiques étant dépassés, la plupart des entreprises de cybersécurité développent ainsi des plateformes de surveillance à distance des réseaux qui incorporent intelligence artificielle et machine learning. C'est désormais depuis de véritables salles de contrôle (à distance), que les experts informatiques surveillent en temps réel les machines de leurs clients. "Plus on en examine, plus rapide est notre force de réaction car nous pouvons ainsi déceler des vagues d'attaque", expose Adam Philpott.

"Nous protégeons ainsi près de 500 millions d'ordinateurs à travers le monde", confie Franck Charvet chez Bitdefender. McAfee revendique plus de 370 millions clients et Kaspersky, autour de 170 millions. "C'est en ayant une approche globale que nous pouvons le mieux faire face à ce type de menace de plus en plus complexe et mondialisée", confie un cadre de l'Agence nationale de sécurité des services d'infomation (ANSSI).