Attaques informatiques par backdoor

Qu'est-ce qu'un backdoor ?

Imaginez être un cambrioleur surveillant une maison en vue d'un vol potentiel. Vous voyez un panneau "Protégé par..." planté sur la pelouse avant et une caméra de sonnette Ring. Comme vous êtes un cambrioleur astucieux, vous sautez la clôture menant à l'arrière de la maison. Vous voyez une porte dérobée, croisez les doigts et essayez la poignée—elle est déverrouillée. Pour un observateur occasionnel, il n'y a aucun signe extérieur de vol. En fait, rien ne vous empêche de cambrioler à nouveau cette maison par la même porte dérobée, à condition de ne pas mettre le bazar.

Les backdoors informatiques fonctionnent de manière très similaire.

Dans le domaine de la cybersécurité, un backdoor désigne toute méthode permettant aux utilisateurs autorisés et non autorisés de contourner les mesures de sécurité normales pour obtenir un accès utilisateur élevé (aussi appelé accès root) sur un système informatique, un réseau ou une application logicielle. Une fois à l'intérieur, les cybercriminels peuvent utiliser un backdoor pour voler des données personnelles et financières, installer des logiciels malveillants supplémentaires et pirater des appareils.

Mais les backdoors ne sont pas réservés qu'aux méchants. Ils peuvent aussi être installés par les fabricants de logiciels ou de matériel comme moyen délibéré d'accéder à leur technologie par la suite. Les backdoors non criminels sont utiles pour aider les clients irrémédiablement verrouillés hors de leurs appareils ou pour résoudre des problèmes de logiciels.

Contrairement à d'autres cybermenaces qui se font connaître auprès de l'utilisateur (coucou ransomware), les backdoors sont réputés pour leur discrétion. Ils existent pour un groupe restreint de personnes dans le secret, permettant un accès facile à un système ou une application.

En tant que menace, les portes dérobées ne disparaîtront pas de sitôt. Selon le Rapport sur l'état des logiciels malveillants de Malwarebytes Labs, les portes dérobées étaient la quatrième menace la plus courante détectée en 2018, tant pour les consommateurs que pour les entreprises—avec une augmentation respective de 34 et 173 % par rapport à l'année précédente.

Si vous êtes préoccupé par les backdoors, avez entendu parler des backdoors dans les actualités et voulez savoir de quoi il s'agit, ou si vous en avez un sur votre ordinateur et devez vous en débarrasser immédiatement, vous êtes au bon endroit. Continuez la lecture pour découvrir tout ce que vous avez toujours voulu savoir sur les backdoors.

"Un backdoor désigne toute méthode permettant aux utilisateurs autorisés et non autorisés de contourner les mesures de sécurité normales pour obtenir un accès utilisateur élevé (aussi appelé accès root) sur un système informatique, un réseau ou une application logicielle."

Actualités sur les backdoors

• Votre site WordPress a-t-il été piraté par un skimmer ?
• Kimsuky APT continue de cibler le gouvernement sud-coréen en utilisant le backdoor AppleSeed
• Les attaques contre Microsoft Exchange sèment la panique et les criminels se lancent dans la collecte de coquillages
• Des backdoors dans les serveurs élastiques exposent des données privées
• Les portes dérobées constituent une faille de sécurité
• Mac Le logiciel malveillant combine la porte dérobée EmPyre et le mineur XMRig
• Une application pour suivre les cryptomonnaies sur Mac installe des backdoors
• Un autre dropper OSX.Dok trouvé à installer un nouveau backdoor

Comment fonctionnent les backdoors ?

Commençons par comprendre comment les backdoors apparaissent initialement sur votre ordinateur. Cela peut se produire de plusieurs manières. Soit le backdoor est le résultat d'un malware, soit c'est une décision de fabrication intentionnelle (matériel ou logiciel).

Le malware de type backdoor est généralement classé comme un Trojan. Un Trojan est un programme informatique malveillant qui se fait passer pour quelque chose qu'il n'est pas afin de livrer des logiciels malveillants, voler des données, ou ouvrir un backdoor sur votre système. Tout comme le cheval de Troie de la littérature grecque ancienne, les Trojans contiennent toujours une mauvaise surprise.

Les Trojans sont un incroyable outil polyvalent dans l'arsenal des cybercriminels. Ils se présentent sous de nombreuses formes, comme une pièce jointe d'email ou un fichier à télécharger, et peuvent livrer un nombre varié de menaces de malware.

Pour aggraver le problème, les Trojans présentent parfois une capacité similitudes avec les worms, leur permettant de se répliquer et se propager à d'autres systèmes sans autre commande des cybercriminels qui les ont créés. Prenons l'exemple du Trojan bancaire Emotet. Emotet a débuté en 2014 en tant que voleur d'informations, se propageant sur les appareils et dérobant des données financières sensibles. Depuis, Emotet a évolué pour devenir un vecteur de livraison pour d'autres formes de malware. Emotet a contribué à faire du Trojan la principale détection de menace pour 2018, selon le rapport State of Malware.

Dans un exemple de malware de type backdoor, les cybercriminels ont caché un malware dans un convertisseur de fichiers gratuit. Sans surprise—il ne convertissait rien. En fait, le téléchargement était uniquement destiné à ouvrir un backdoor sur le système cible. Dans un autre exemple, des cybercriminels ont caché un malware de type backdoor dans un outil utilisé pour pirater des applications logicielles d'Adobe (voilà une leçon sur le piratage logiciel). Et dans un dernier exemple, une application apparemment légitime pour suivre les cryptomonnaies appelée CoinTicker fonctionnait comme annoncé, affichant des informations sur divers cryptomonnaies et marchés, mais elle ouvrait aussi un backdoor.

Une fois que les cybercriminels ont mis le pied dans la porte, ils pourraient utiliser ce qu'on appelle un rootkit. Un rootkit est un ensemble de logiciels malveillants conçu pour éviter la détection et dissimuler l'activité Internet (à vous et à votre système d'exploitation). Les rootkits fournissent aux attaquants un accès continu aux systèmes infectés. En essence, le rootkit est le bloqueur de porte qui maintient le backdoor ouvert.

"Les backdoors étaient la quatrième détection de menace la plus courante en 2018 pour les consommateurs et les entreprises avec des augmentations respectives de 34 et 173 pour cent par rapport à l'année précédente."

Les backdoors intégrés ou propriétaires sont mis en place par les fabricants de matériel et de logiciels eux-mêmes. Contrairement aux malwares de type backdoor, les backdoors intégrés ne sont pas nécessairement conçus dans un but criminel. La plupart du temps, les backdoors intégrés existent comme des artefacts du processus de création de logiciels.

Les développeurs de logiciels créent ces comptes backdoor pour pouvoir naviguer rapidement dans les applications en cours de codage, tester leurs applications, et corriger les bugs logiciels (c’est-à-dire les erreurs) sans avoir à créer un compte "réel". Ces backdoors ne sont pas censés être expédiés avec le logiciel final destiné au public, mais parfois ils le sont. Ce n'est pas la fin du monde, mais il y a toujours la chance qu'un backdoor propriétaire tombe entre les mains de cybercriminels.

Bien que la majorité des backdoors intégrés que nous connaissons appartiennent à la première catégorie (c'est-à-dire la catégorie "oups, nous ne voulions pas mettre ça là"), les membres du pacte de partage de renseignements des "Five Eyes" (les États-Unis, le Royaume-Uni, le Canada, l'Australie, et la Nouvelle-Zélande) ont demandé à Apple, Facebook et Google d'installer des backdoors dans leur technologie pour aider à la collecte de preuves lors d'enquêtes criminelles. Bien que les trois entreprises aient refusé, elles fournissent toutes des données en aval dans la mesure requise par la loi.

Les nations des Five Eyes ont souligné que ces backdoors sont dans l'intérêt de la sécurité mondiale, mais il y a beaucoup de potentiel pour les abus. CBS News a trouvé des dizaines de policiers partout dans le pays utilisant les bases de données criminelles actuellement disponibles pour s'aider eux-mêmes et leurs amis à harceler leurs ex-partenaires, espionner des femmes, et harceler des journalistes qui s'offensaient à leurs comportements harcelants.

Cela dit, que se passerait-il si les agences gouvernementales décidaient de ne pas accepter un refus comme réponse ?

Cela nous amène au backdoor de la chaîne d'approvisionnement. Comme le nom le suggère, un backdoor de chaîne d'approvisionnement est inséré secrètement dans le logiciel ou le matériel à un moment donné de la chaîne d'approvisionnement. Cela pourrait se produire lorsque les matières premières sont expédiées du fournisseur au fabricant ou lorsque le produit fini est acheminé du fabricant au consommateur.

Par exemple, une agence gouvernementale pourrait intercepter des routeurs, serveurs et équipements réseau divers sur le chemin vers un client, puis installer une porte dérobée dans le firmware. Et, au fait, l'Agence de sécurité nationale des États-Unis (NSA) a effectivement fait cela, comme révélé dans les divulgations de surveillance mondiale d'Edward Snowden en 2013.

Les infiltrations dans la chaîne d'approvisionnement peuvent également se produire dans les logiciels. Prenons le code open source, par exemple. Les bibliothèques de code open source sont des répertoires gratuits de code, d'applications et d'outils de développement auxquels toute organisation peut se référer plutôt que de tout coder à partir de zéro. Cela semble formidable, non ? Tout le monde travaillant ensemble pour le bien commun, partageant les fruits de leur travail les uns avec les autres. Pour la plupart, c'est formidable. Toute contribution au code source est soumise à un examen, mais il y a eu des cas où du code malveillant a trouvé son chemin jusqu'à l'utilisateur final.

À ce propos, en juillet 2018, un malware cryptominage a été trouvé à l'intérieur d'une application (ou "snap", comme ils l'appellent dans le monde de Linux) pour Ubuntu et d'autres systèmes d'exploitation basés sur Linux. Canonical, les développeurs d'Ubuntu ont admis, "Il est impossible pour un grand dépôt de n'accepter que des logiciels après que chaque fichier individuel ait été examiné en détail."

Les backdoors et les exploits sont-ils la même chose ?

Malwarebytes Labs définit les exploits comme "des vulnérabilités connues dans les logiciels qui peuvent être exploitées pour obtenir un certain niveau de contrôle sur les systèmes exécutant le logiciel affecté." Et nous savons qu'une porte dérobée fonctionne comme une entrée secrète dans votre ordinateur. Alors, les portes dérobées et les exploits sont-ils une seule et même chose ?

Même si les backdoors et les exploits semblent très similaires à première vue, ils ne sont pas la même chose.

Les exploits sont des vulnérabilités logicielles accidentelles utilisées pour accéder à votre ordinateur et, potentiellement, déployer une sorte de malware. Pour le dire autrement, les exploits ne sont que des bugs logiciels que les chercheurs ou les cybercriminels ont trouvés un moyen d'exploiter. Les backdoors, d'un autre côté, sont délibérément mis en place par les fabricants ou les cybercriminels pour entrer et sortir d'un système à volonté.

"Les exploits sont des vulnérabilités logicielles accidentelles utilisées pour accéder à votre ordinateur et, potentiellement, déployer une sorte de malware... Les backdoors, d'un autre côté, sont délibérément mis en place par les fabricants ou les cybercriminels pour entrer et sortir d'un système à volonté."

Que peuvent faire les hackers avec un backdoor ?

Les hackers peuvent utiliser un backdoor pour installer toutes sortes de malwares sur votre ordinateur.

• Le spyware est un type de malware qui, une fois déployé sur votre système, collecte des informations sur vous, les sites que vous visitez sur Internet, les choses que vous téléchargez, les fichiers que vous ouvrez, les noms d'utilisateur, les mots de passe et tout ce qui a de la valeur. Une forme moindre de spyware appelée keyloggers suit spécifiquement chaque frappe et clic que vous faites. Les entreprises peuvent utiliser des spyware/keyloggers comme moyen légitime et légal de surveiller les employés au travail.
• Le ransomware est un type de malware conçu pour crypter vos fichiers et verrouiller votre ordinateur. Pour récupérer ces précieuses photos, documents, etc. (ou tout type de fichier que les attaquants choisissent de cibler) vous devez payer les attaquants via une forme de cryptomonnaie, généralement Bitcoin.
• Utilisez votre ordinateur dans une attaque DDoS. En utilisant le backdoor pour obtenir un accès super utilisateur sur votre système, les cybercriminels peuvent prendre le contrôle de votre ordinateur à distance, l'enrôlant dans un réseau d'ordinateurs piratés, également appelé botnet. Avec ce botnet zombie, les criminels peuvent ensuite submerger un site web ou un réseau de trafic provenant du botnet dans ce qu'on appelle une attaque par déni de service distribué (DDoS). Le flot de trafic empêche le site web ou le réseau de répondre aux requêtes légitimes, mettant efficacement le site hors service.
• Le malware de cryptojacking est conçu pour utiliser les ressources de votre système pour miner des cryptomonnaies. En bref, chaque fois que quelqu'un échange des cryptomonnaies, la transaction est enregistrée sur un registre virtuel crypté connu sous le nom de blockchain. Le cryptominage est le processus de validation de ces transactions en ligne en échange de plus de cryptomonnaies et cela prend une énorme quantité de puissance informatique. Au lieu d'acheter le matériel coûteux nécessaire au cryptominage, les criminels ont découvert qu'ils peuvent simplement enrôler des ordinateurs piratés dans un botnet qui fonctionne comme les fermes de cryptominage coûteuses.

Quelle est l'histoire des backdoors ?

Voici un retour sur certains des backdoors les plus (in)célèbres, à la fois réels et fictifs, depuis l'avènement des ordinateurs.

On pourrait dire que les backdoors sont entrés dans la conscience publique dans le film de science-fiction de 1983 WarGames, mettant en vedette Matthew Broderick (qui semble être une répétition pour Ferris Bueller). Broderick, dans le rôle du hacker adolescent espiègle David Lightman, utilise un backdoor intégré pour accéder à un superordinateur militaire conçu pour exécuter des simulations de guerre nucléaire. À l'insu de Lightman, l'ordinateur schizophrène ne peut pas faire la différence entre la réalité et la simulation. Et également, un génie a décidé de donner à l'ordinateur accès à l'arsenal nucléaire entier des États-Unis. L'hilarité s'ensuit alors que l'ordinateur menace de faire exploser le monde entier.

En 1993, la NSA a développé une puce de cryptage avec une porte dérobée intégrée pour une utilisation dans les ordinateurs et les téléphones. Apparemment, la puce garderait les communications sensibles sécurisées tout en permettant aux forces de l'ordre et aux agences gouvernementales de décrypter et d'écouter les transmissions vocales et de données lorsque c'était justifié. Les portes dérobées matérielles ont de grands avantages par rapport aux portes dérobées logicielles. Notamment, elles sont plus difficiles à supprimer—vous devez arracher le matériel ou re-flasher le firmware pour y parvenir. La puce, cependant, a été abandonnée en raison de préoccupations sur la vie privée avant de connaître une quelconque adoption.

En 2005, Sony BMG s'est lancé dans le business des backdoors lorsque ils ont expédié des millions de CD de musique avec un rootkit de protection contre la copie nuisible. Sans que vous le sachiez, tout en écoutant la dernière édition de Now That’s What I Call Music!, votre CD incluait un rootkit, qui s'installait automatiquement une fois inséré dans votre ordinateur.

Conçu pour surveiller vos habitudes d'écoute, le rootkit de Sony BMG vous empêchait également de graver des CDs et laissait une vulnérabilité béante dans votre ordinateur dont les cybercriminels pouvaient profiter. Sony BMG a payé des millions pour régler les poursuites liées au rootkit et a rappelé encore plus de millions de CDs.

En 2014, plusieurs routeurs Netgear et Linksys ont été découverts avec des backdoors intégrés. SerComm, le fabricant tiers qui assemblait les routeurs, a nié avoir intentionnellement mis les backdoors.

Cette même année, des développeurs travaillant sur une déclinaison du système d'exploitation Android de Google (appelé Replicant) ont découvert un backdoor sur les appareils mobiles Samsung, y compris la série Galaxy de Samsung. Le backdoor aurait permis à Samsung ou à toute autre personne le connaissant d'accéder à distance à tous les fichiers stockés sur les appareils concernés. En réponse à cette découverte, Samsung a étiqueté le backdoor comme une "fonctionnalité" qui ne présentait "aucun risque pour la sécurité".

L'autre célèbre fabricant de téléphones, Apple, refuse d'inclure des backdoors dans ses produits, malgré les demandes répétées du FBI et du département de la Justice des États-Unis pour le faire. La pression a monté après les attentats terroristes de San Bernardino en 2015, lors desquels le FBI a récupéré un iPhone détenu par l'un des tireurs. Plutôt que de compromettre la sécurité de leurs appareils iOS, Apple a renforcé la confidentialité et a rendu leurs iPhones et iPads encore plus difficiles à craquer. Le FBI a finalement retiré sa demande lorsqu'il a pu pirater l'iPhone plus ancien et moins sécurisé avec l'aide d'une mystérieuse tierce partie.

Les plugins contenant du code malveillant caché pour WordPress, Joomla, Drupal et d'autres systèmes de gestion de contenu restent un problème récurrent. En 2017, des chercheurs en sécurité ont découvert une arnaque de SEO qui a affecté plus de 300 000 sites WordPress. L'arnaque tournait autour d'un plugin WordPress CAPTCHA appelé Simply WordPress. Une fois installé, Simply WordPress ouvrait une porte dérobée, permettant un accès administrateur aux sites affectés. À partir de là, le hacker responsable intégrait des liens cachés vers son site douteux de prêts sur salaire (le fait que d'autres sites renvoient vers votre site est excellent pour le SEO).

2017 a également été témoin du ransomware destructeur NotPetya. Le patient zéro apparent dans ce cas était un cheval de Troie déguisé en mise à jour logicielle pour une application de comptabilité ukrainienne appelée MeDoc. Interrogé, MeDoc a nié être la source de NotPetya. La vraie question est : pourquoi choisirait-on une application de comptabilité ukrainienne très suspecte appelée MeDoc ?

Dans un récit de 2018 digne d'un thriller B-movie sorti directement en vidéo, Bloomberg Businessweek a rapporté que des espions chinois parrainés par l'État avaient infiltré le fabricant de serveurs Supermicro. Les espions auraient installé des puces espions avec des portes dérobées matérielles sur des composants de serveurs destinés à des dizaines d'entreprises technologiques américaines et d'organisations gouvernementales américaines—dont Amazon, Apple et la CIA.

Une fois installées dans un centre de données, on disait que les puces espions communiquaient avec des serveurs chinois de commandement et contrôle (C&C), donnant aux opérateurs chinois un accès illimité aux données sur le réseau. Amazon, Apple et divers responsables du gouvernement américain ont tous réfuté les affirmations faites dans l'article de Bloomberg. Supermicro, dans sa défense, a qualifié l'histoire de "pratiquement impossible", et aucune autre organisation de presse ne l'a suivie.

Enfin, à titre d'exemple d'une situation où une entreprise souhaiterait avoir une porte dérobée, la bourse canadienne de crypto-monnaies QuadrigaCX a fait la une début 2019 lorsque le fondateur de l'entreprise est mort subitement en vacances en Inde, emportant avec lui le mot de passe de tout. QuadrigaCX affirme que tous les 190 millions de dollars de crypto-monnaies de ses clients sont irrémédiablement verrouillés dans un "stockage à froid", où ils resteront pendant des décennies et vaudront éventuellement des milliards de dollars—ou rien, selon l'évolution des crypto-monnaies.

Comment puis-je me protéger contre les backdoors ?

Bonne nouvelle, mauvaise nouvelle. La mauvaise nouvelle, c'est qu'il est difficile d'identifier et de se protéger contre les portes dérobées intégrées. Plus souvent qu'autrement, les fabricants ne savent même pas que la porte dérobée est là. La bonne nouvelle, c'est qu'il y a des choses que vous pouvez faire pour vous protéger contre les autres types de portes dérobées.

Changez vos mots de passe par défaut. Les gens de votre service informatique n'ont jamais eu l'intention que votre mot de passe réel soit "invité" ou "12345." Si vous laissez ce mot de passe par défaut en place, vous avez sans le vouloir créé une porte dérobée. Changez-le dès que possible et activez l'authentification multi-facteurs (MFA) dans la foulée. Oui, garder trace d'un mot de passe unique pour chaque application peut être décourageant. Un rapport de Malwarebytes Labs sur la confidentialité des données a révélé que 29 % des répondants utilisaient le même mot de passe sur de nombreuses applications et appareils. Ce n'est pas mal, mais il y a encore de la marge de progression.

Surveillez l'activité réseau. Toute poussée de données étrange pourrait signifier que quelqu'un utilise une porte dérobée sur votre système. Pour contrer cela, utilisez des pare-feu pour suivre les activités entrantes et sortantes des différentes applications installées sur votre ordinateur.

Choisissez vos applications et plugins avec soin. Comme nous l'avons vu, les cybercriminels aiment cacher des portes dérobées dans des applications et plugins gratuits apparemment inoffensifs. La meilleure défense ici est de s'assurer que les applications et plugins que vous choisissez proviennent d'une source fiable.

Les utilisateurs d'Android et de Chromebook devraient s'en tenir aux applications du Google Play Store, tandis que les utilisateurs de Mac et d'iOS devraient se limiter à l'App Store d'Apple. Astuce technique bonus—lorsqu'une application nouvellement installée demande l'autorisation d'accéder à des données ou des fonctions sur votre appareil, réfléchissez à deux fois. Des applications suspectes ont été connues pour réussir les processus de vérification des applications de Google et Apple.

En se référant à l'étude sur la confidentialité des données, la plupart des répondants ont bien fait de suivre les autorisations des applications, mais 26 % ont déclaré, "je ne sais pas." Prenez le temps, peut-être dès maintenant, de revoir les autorisations des applications sur vos appareils (Malwarebytes pour Android le fera pour vous). Quant aux plugins WordPress et similaires, vérifiez les évaluations et les avis des utilisateurs et évitez d'installer quoi que ce soit avec une note moins que excellente.

Utilisez une bonne solution de cybersécurité. Une bonne solution anti-malware devrait pouvoir empêcher les cybercriminels de déployer les chevaux de Troie et rootkits utilisés pour ouvrir ces portes dérobées pénibles. Malwarebytes, par exemple, propose des solutions de cybersécurité pour Windows, Mac, et Chromebook. Sans oublier Malwarebytes pour Android et Malwarebytes pour iOS, afin que vous puissiez rester protégé sur tous vos appareils. Utilisateurs professionnels—nous vous avons également couverts. Consultez toutes les solutions d'entreprise de Malwarebytes.

Et si votre intérêt pour les portes dérobées va au-delà de ce que vous avez lu ici, assurez-vous de lire et de vous abonner au blog Malwarebytes Labs. Vous y trouverez toutes les dernières nouvelles sur les portes dérobées et tout ce qui compte dans le monde de la cybersécurité.