Attaques informatiques par backdoor

Qu'est-ce qu'un backdoor ?

Imaginez être un cambrioleur surveillant une maison en vue d'un vol potentiel. Vous voyez un panneau "Protégé par..." planté sur la pelouse avant et une caméra de sonnette Ring. Comme vous êtes un cambrioleur astucieux, vous sautez la clôture menant à l'arrière de la maison. Vous voyez une porte dérobée, croisez les doigts et essayez la poignée—elle est déverrouillée. Pour un observateur occasionnel, il n'y a aucun signe extérieur de vol. En fait, rien ne vous empêche de cambrioler à nouveau cette maison par la même porte dérobée, à condition de ne pas mettre le bazar.

Les backdoors informatiques fonctionnent de manière très similaire.

Dans le domaine de la cybersécurité, un backdoor désigne toute méthode permettant aux utilisateurs autorisés et non autorisés de contourner les mesures de sécurité normales pour obtenir un accès utilisateur élevé (aussi appelé accès root) sur un système informatique, un réseau ou une application logicielle. Une fois à l'intérieur, les cybercriminels peuvent utiliser un backdoor pour voler des données personnelles et financières, installer des logiciels malveillants supplémentaires et pirater des appareils.

Mais les backdoors ne sont pas réservés qu'aux méchants. Ils peuvent aussi être installés par les fabricants de logiciels ou de matériel comme moyen délibéré d'accéder à leur technologie par la suite. Les backdoors non criminels sont utiles pour aider les clients irrémédiablement verrouillés hors de leurs appareils ou pour résoudre des problèmes de logiciels.

Contrairement à d'autres cybermenaces qui se font connaître auprès de l'utilisateur (coucou ransomware), les backdoors sont réputés pour leur discrétion. Ils existent pour un groupe restreint de personnes dans le secret, permettant un accès facile à un système ou une application.

En tant que menace, les portes dérobées ne disparaîtront pas de sitôt. Selon le Rapport sur l'état des logiciels malveillants de Malwarebytes Labs, les portes dérobées étaient la quatrième menace la plus courante détectée en 2018, tant pour les consommateurs que pour les entreprises—avec une augmentation respective de 34 et 173 % par rapport à l'année précédente.

Si vous êtes préoccupé par les backdoors, avez entendu parler des backdoors dans les actualités et voulez savoir de quoi il s'agit, ou si vous en avez un sur votre ordinateur et devez vous en débarrasser immédiatement, vous êtes au bon endroit. Continuez la lecture pour découvrir tout ce que vous avez toujours voulu savoir sur les backdoors.

"Un backdoor désigne toute méthode permettant aux utilisateurs autorisés et non autorisés de contourner les mesures de sécurité normales pour obtenir un accès utilisateur élevé (aussi appelé accès root) sur un système informatique, un réseau ou une application logicielle."

Actualités sur les backdoors

• Votre site WordPress a-t-il été piraté par un skimmer ?
• Kimsuky APT continue de cibler le gouvernement sud-coréen en utilisant le backdoor AppleSeed
• Les attaques contre Microsoft Exchange sèment la panique et les criminels se lancent dans la collecte de coquillages
• Des backdoors dans les serveurs élastiques exposent des données privées
• Les portes dérobées constituent une faille de sécurité
• Un logiciel malveillant Mac combine le backdoor EmPyre et le mineur XMRig
• Une application pour suivre les cryptomonnaies sur Mac installe des backdoors
• Un autre dropper OSX.Dok trouvé à installer un nouveau backdoor

Comment fonctionnent les backdoors ?

Commençons par comprendre comment les backdoors apparaissent initialement sur votre ordinateur. Cela peut se produire de plusieurs manières. Soit le backdoor est le résultat d'un malware, soit c'est une décision de fabrication intentionnelle (matériel ou logiciel).

Les logiciels malveillants à porte dérobée sont généralement classés dans la catégorie des chevaux de Troie. Un cheval de Troie est un programme informatique malveillant qui se fait passer pour ce qu'il n'est pas dans le but de diffuser des logiciels malveillants, de voler des données ou d'ouvrir une porte dérobée sur votre système. Tout comme le cheval de Troie de la littérature grecque ancienne, les chevaux de Troie informatiques contiennent toujours une mauvaise surprise.

Les Trojans sont un incroyable outil polyvalent dans l'arsenal des cybercriminels. Ils se présentent sous de nombreuses formes, comme une pièce jointe d'email ou un fichier à télécharger, et peuvent livrer un nombre varié de menaces de malware.

Pour aggraver le problème, les chevaux de Troie ont parfois la capacité de se répliquer et de se propager à d'autres systèmes sans aucune commande supplémentaire de la part des cybercriminels qui les ont créés. Prenons l'exemple du cheval de Troie bancaire Emotet. Emotet a débuté en 2014 en tant que voleur d'informations, se propageant à travers les appareils et dérobant des données financières sensibles. Depuis, Emotet s'est transformé en vecteur d'autres formes de logiciels malveillants. Emotet a contribué à faire du cheval de Troie la principale détection de menace pour 2018, selon le rapport State of Malware.

Dans un exemple de malware à porte dérobée, les cybercriminels ont caché un malware dans un convertisseur de fichiers gratuit. Sans surprise, il ne convertissait rien du tout. En fait, le téléchargement a été conçu uniquement pour ouvrir une porte dérobée sur le système cible. Dans un autre exemple, des cybercriminels ont dissimulé un logiciel malveillant à l'intérieur d'un outil utilisé pour pirater des applications logicielles Adobe (que cela serve de leçon sur le piratage de logiciels). Enfin, dans un dernier exemple, une application apparemment légitime de téléscripteur de crypto-monnaies appelée CoinTicker fonctionnait comme annoncé, affichant des informations sur diverses formes de crypto-monnaies et de marchés, mais elle ouvrait également une porte dérobée.

Une fois que les cybercriminels ont mis le pied dans la porte, ils peuvent utiliser ce que l'on appelle un rootkit. A rootkit est un ensemble de logiciels malveillants conçus pour éviter la détection et dissimuler l'activité Internet (de vous et de votre système d'exploitation). Les rootkits permettent aux attaquants de continuer à accéder aux systèmes infectés. Par essence, le rootkit est le bloqueur de porte qui maintient la porte dérobée ouverte.

"Les backdoors étaient la quatrième détection de menace la plus courante en 2018 pour les consommateurs et les entreprises avec des augmentations respectives de 34 et 173 pour cent par rapport à l'année précédente."

Les backdoors intégrés ou propriétaires sont mis en place par les fabricants de matériel et de logiciels eux-mêmes. Contrairement aux malwares de type backdoor, les backdoors intégrés ne sont pas nécessairement conçus dans un but criminel. La plupart du temps, les backdoors intégrés existent comme des artefacts du processus de création de logiciels.

Les développeurs de logiciels créent ces comptes backdoor pour pouvoir naviguer rapidement dans les applications en cours de codage, tester leurs applications, et corriger les bugs logiciels (c’est-à-dire les erreurs) sans avoir à créer un compte "réel". Ces backdoors ne sont pas censés être expédiés avec le logiciel final destiné au public, mais parfois ils le sont. Ce n'est pas la fin du monde, mais il y a toujours la chance qu'un backdoor propriétaire tombe entre les mains de cybercriminels.

Bien que la majorité des backdoors intégrés que nous connaissons appartiennent à la première catégorie (c'est-à-dire la catégorie "oups, nous ne voulions pas mettre ça là"), les membres du pacte de partage de renseignements des "Five Eyes" (les États-Unis, le Royaume-Uni, le Canada, l'Australie, et la Nouvelle-Zélande) ont demandé à Apple, Facebook et Google d'installer des backdoors dans leur technologie pour aider à la collecte de preuves lors d'enquêtes criminelles. Bien que les trois entreprises aient refusé, elles fournissent toutes des données en aval dans la mesure requise par la loi.

Les nations des Five Eyes ont souligné que ces backdoors sont dans l'intérêt de la sécurité mondiale, mais il y a beaucoup de potentiel pour les abus. CBS News a trouvé des dizaines de policiers partout dans le pays utilisant les bases de données criminelles actuellement disponibles pour s'aider eux-mêmes et leurs amis à harceler leurs ex-partenaires, espionner des femmes, et harceler des journalistes qui s'offensaient à leurs comportements harcelants.

Cela dit, que se passerait-il si les agences gouvernementales décidaient de ne pas accepter un refus comme réponse ?

Cela nous amène au backdoor de la chaîne d'approvisionnement. Comme le nom le suggère, un backdoor de chaîne d'approvisionnement est inséré secrètement dans le logiciel ou le matériel à un moment donné de la chaîne d'approvisionnement. Cela pourrait se produire lorsque les matières premières sont expédiées du fournisseur au fabricant ou lorsque le produit fini est acheminé du fabricant au consommateur.

Par exemple, une agence gouvernementale pourrait intercepter des routeurs, serveurs et équipements réseau divers sur le chemin vers un client, puis installer une porte dérobée dans le firmware. Et, au fait, l'Agence de sécurité nationale des États-Unis (NSA) a effectivement fait cela, comme révélé dans les divulgations de surveillance mondiale d'Edward Snowden en 2013.

Les infiltrations dans la chaîne d'approvisionnement peuvent également se produire dans les logiciels. Prenons le code open source, par exemple. Les bibliothèques de code open source sont des répertoires gratuits de code, d'applications et d'outils de développement auxquels toute organisation peut se référer plutôt que de tout coder à partir de zéro. Cela semble formidable, non ? Tout le monde travaillant ensemble pour le bien commun, partageant les fruits de leur travail les uns avec les autres. Pour la plupart, c'est formidable. Toute contribution au code source est soumise à un examen, mais il y a eu des cas où du code malveillant a trouvé son chemin jusqu'à l'utilisateur final.

À ce propos, en juillet 2018, un malware cryptominage a été trouvé à l'intérieur d'une application (ou "snap", comme ils l'appellent dans le monde de Linux) pour Ubuntu et d'autres systèmes d'exploitation basés sur Linux. Canonical, les développeurs d'Ubuntu ont admis, "Il est impossible pour un grand dépôt de n'accepter que des logiciels après que chaque fichier individuel ait été examiné en détail."

Les backdoors et les exploits sont-ils la même chose ?

Malwarebytes Labs définit les exploits comme des "vulnérabilités connues dans les logiciels qui peuvent être exploitées pour obtenir un certain niveau de contrôle sur les systèmes utilisant le logiciel affecté". Et nous savons qu'une porte dérobée fonctionne comme une entrée secrète dans votre ordinateur. Les portes dérobées et les exploits sont-ils donc une seule et même chose ?

Même si les backdoors et les exploits semblent très similaires à première vue, ils ne sont pas la même chose.

Les exploits sont des vulnérabilités logicielles accidentelles utilisées pour accéder à votre ordinateur et, potentiellement, déployer une sorte de malware. Pour le dire autrement, les exploits ne sont que des bugs logiciels que les chercheurs ou les cybercriminels ont trouvés un moyen d'exploiter. Les backdoors, d'un autre côté, sont délibérément mis en place par les fabricants ou les cybercriminels pour entrer et sortir d'un système à volonté.

"Les exploits sont des vulnérabilités logicielles accidentelles utilisées pour accéder à votre ordinateur et, potentiellement, déployer une sorte de malware... Les backdoors, d'un autre côté, sont délibérément mis en place par les fabricants ou les cybercriminels pour entrer et sortir d'un système à volonté."

Que peuvent faire les hackers avec un backdoor ?

Les hackers peuvent utiliser un backdoor pour installer toutes sortes de malwares sur votre ordinateur.

• Les logiciels espions sont des logiciels malveillants qui, une fois déployés sur votre système, collectent des informations sur vous, les sites que vous visitez sur Internet, les éléments que vous téléchargez, les fichiers que vous ouvrez, les noms d'utilisateur, les mots de passe et tout ce qui a de la valeur. Une forme moins répandue de logiciels espions, les enregistreurs de frappe (keyloggers), traquent spécifiquement chaque frappe et chaque clic que vous effectuez. Les entreprises peuvent utiliser des logiciels espions et des enregistreurs de frappe comme moyen légitime et légal de surveiller leurs employés au travail.
• Le ransomware est un type de malware conçu pour crypter vos fichiers et verrouiller votre ordinateur. Pour récupérer ces précieuses photos, documents, etc. (ou tout type de fichier que les attaquants choisissent de cibler) vous devez payer les attaquants via une forme de cryptomonnaie, généralement Bitcoin.
• Utiliser votre ordinateur dans le cadre d'une attaque DDoS. En utilisant la porte dérobée pour obtenir un accès de super-utilisateur à votre système, les cybercriminels peuvent prendre le contrôle de votre ordinateur à distance et l'intégrer dans un réseau d'ordinateurs piratés, appelé " botnet". Avec ce réseau d'ordinateurs zombies, les criminels peuvent ensuite submerger un site web ou un réseau avec le trafic du réseau d'ordinateurs zombies dans ce que l'on appelle une attaque par déni de service distribué(DDoS). L'afflux de trafic empêche le site web ou le réseau de répondre aux demandes légitimes, mettant ainsi le site hors service.
• Les logiciels malveillants de cryptojacking sont conçus pour utiliser les ressources de votre système afin de miner de la crypto-monnaie. En bref, chaque fois qu'une personne échange de la crypto-monnaie, la transaction est enregistrée dans un registre virtuel crypté appelé " blockchain". Le cryptomining est le processus de validation de ces transactions en ligne en échange d'une plus grande quantité de crypto-monnaie et il nécessite une énorme puissance de calcul. Au lieu d'acheter le matériel coûteux nécessaire au cryptomining, les criminels ont découvert qu'ils pouvaient simplement enrôler des ordinateurs piratés dans un botnet qui fonctionne de la même manière que les fermes de cryptomining coûteuses.

Quelle est l'histoire des backdoors ?

Voici un retour sur certains des backdoors les plus (in)célèbres, à la fois réels et fictifs, depuis l'avènement des ordinateurs.

On pourrait dire que les portes dérobées sont entrées dans la conscience du public avec le film de science-fiction de 1983 WarGamesavec Matthew Broderick (dans ce qui ressemble à un essai pour Ferris Bueller). Broderick, dans le rôle d'un adolescent espiègle hacker David Lightman utilise une porte dérobée intégrée pour accéder à un superordinateur militaire conçu pour effectuer des simulations de guerre nucléaire. À l'insu de Lightman, l'ordinateur schizophrène ne peut distinguer la réalité de la simulation. De plus, un génie a décidé de lui donner accès à l'ensemble de l'arsenal nucléaire des États-Unis. L'hilarité s'ensuit lorsque l'ordinateur menace de faire exploser le monde entier.

En 1993, la NSA a mis au point une puce de chiffrement dotée d'une porte dérobée intégrée, destinée à être utilisée dans les ordinateurs et les téléphones. Cette puce était censée garantir la sécurité des communications sensibles tout en permettant aux forces de l'ordre et aux agences gouvernementales de décrypter et d'écouter les transmissions vocales et de données lorsque cela s'avérait nécessaire. Les portes dérobées matérielles présentent de gros avantages par rapport aux portes dérobées logicielles. Elles sont notamment plus difficiles à supprimer : il faut arracher le matériel ou re-flasher le micrologiciel pour y parvenir. La puce a toutefois été abandonnée pour des raisons de protection de la vie privée avant même d'être adoptée.

En 2005, Sony BMG s'est lancé dans le business des backdoors lorsque ils ont expédié des millions de CD de musique avec un rootkit de protection contre la copie nuisible. Sans que vous le sachiez, tout en écoutant la dernière édition de Now That’s What I Call Music!, votre CD incluait un rootkit, qui s'installait automatiquement une fois inséré dans votre ordinateur.

Conçu pour surveiller vos habitudes d'écoute, le rootkit de Sony BMG vous empêchait également de graver des CDs et laissait une vulnérabilité béante dans votre ordinateur dont les cybercriminels pouvaient profiter. Sony BMG a payé des millions pour régler les poursuites liées au rootkit et a rappelé encore plus de millions de CDs.

En 2014, plusieurs routeurs Netgear et Linksys ont été découverts avec des backdoors intégrés. SerComm, le fabricant tiers qui assemblait les routeurs, a nié avoir intentionnellement mis les backdoors.

La même année, des développeurs de logiciels travaillant sur un produit dérivé du système Google Android de Google (appelé Replicant) ont découvert une porte dérobée sur les appareils mobiles de Samsung, notamment les téléphones de la série Galaxy. Cette porte dérobée aurait permis à Samsung ou à toute autre personne qui en aurait eu connaissance d'accéder à distance à tous les fichiers stockés sur les appareils concernés. En réponse à cette découverte, Samsung a qualifié la porte dérobée de "fonctionnalité" ne présentant "aucun risque pour la sécurité".

L'autre célèbre fabricant de téléphones, Apple, refuse d'inclure des backdoors dans ses produits, malgré les demandes répétées du FBI et du département de la Justice des États-Unis pour le faire. La pression a monté après les attentats terroristes de San Bernardino en 2015, lors desquels le FBI a récupéré un iPhone détenu par l'un des tireurs. Plutôt que de compromettre la sécurité de leurs appareils iOS, Apple a renforcé la confidentialité et a rendu leurs iPhones et iPads encore plus difficiles à craquer. Le FBI a finalement retiré sa demande lorsqu'il a pu pirater l'iPhone plus ancien et moins sécurisé avec l'aide d'une mystérieuse tierce partie.

Les plugins contenant du code malveillant caché pour WordPress, Joomla, Drupal et d'autres systèmes de gestion de contenu restent un problème récurrent. En 2017, des chercheurs en sécurité ont découvert une arnaque de SEO qui a affecté plus de 300 000 sites WordPress. L'arnaque tournait autour d'un plugin WordPress CAPTCHA appelé Simply WordPress. Une fois installé, Simply WordPress ouvrait une porte dérobée, permettant un accès administrateur aux sites affectés. À partir de là, le hacker responsable intégrait des liens cachés vers son site douteux de prêts sur salaire (le fait que d'autres sites renvoient vers votre site est excellent pour le SEO).

L'année 2017 a également été marquée par le ransomware destructeur NotPetya. Le patient zéro apparent dans ce cas était un cheval de Troie à porte dérobée déguisé en mise à jour logicielle pour une application de comptabilité ukrainienne appelée MeDoc. Interrogé, MeDoc a nié être à l'origine de NotPetya. La vraie question est la suivante : pourquoi quelqu'un choisirait-il une application de comptabilité ukrainienne très suspecte appelée MeDoc ?

Dans un récit de 2018 digne d'un thriller B-movie sorti directement en vidéo, Bloomberg Businessweek a rapporté que des espions chinois parrainés par l'État avaient infiltré le fabricant de serveurs Supermicro. Les espions auraient installé des puces espions avec des portes dérobées matérielles sur des composants de serveurs destinés à des dizaines d'entreprises technologiques américaines et d'organisations gouvernementales américaines—dont Amazon, Apple et la CIA.

Une fois installées dans un centre de données, on disait que les puces espions communiquaient avec des serveurs chinois de commandement et contrôle (C&C), donnant aux opérateurs chinois un accès illimité aux données sur le réseau. Amazon, Apple et divers responsables du gouvernement américain ont tous réfuté les affirmations faites dans l'article de Bloomberg. Supermicro, dans sa défense, a qualifié l'histoire de "pratiquement impossible", et aucune autre organisation de presse ne l'a suivie.

Enfin, à titre d'exemple d'une situation où une entreprise souhaiterait avoir une porte dérobée, la bourse canadienne de crypto-monnaies QuadrigaCX a fait la une début 2019 lorsque le fondateur de l'entreprise est mort subitement en vacances en Inde, emportant avec lui le mot de passe de tout. QuadrigaCX affirme que tous les 190 millions de dollars de crypto-monnaies de ses clients sont irrémédiablement verrouillés dans un "stockage à froid", où ils resteront pendant des décennies et vaudront éventuellement des milliards de dollars—ou rien, selon l'évolution des crypto-monnaies.

Comment puis-je me protéger contre les backdoors ?

Bonne nouvelle, mauvaise nouvelle. La mauvaise nouvelle, c'est qu'il est difficile d'identifier et de se protéger contre les portes dérobées intégrées. Plus souvent qu'autrement, les fabricants ne savent même pas que la porte dérobée est là. La bonne nouvelle, c'est qu'il y a des choses que vous pouvez faire pour vous protéger contre les autres types de portes dérobées.

Changez vos mots de passe par défaut. Les gens de votre service informatique n'ont jamais eu l'intention que votre mot de passe réel soit "invité" ou "12345." Si vous laissez ce mot de passe par défaut en place, vous avez sans le vouloir créé une porte dérobée. Changez-le dès que possible et activez l'authentification multi-facteurs (MFA) dans la foulée. Oui, garder trace d'un mot de passe unique pour chaque application peut être décourageant. Un rapport de Malwarebytes Labs sur la confidentialité des données a révélé que 29 % des répondants utilisaient le même mot de passe sur de nombreuses applications et appareils. Ce n'est pas mal, mais il y a encore de la marge de progression.

Surveillez l'activité réseau. Toute poussée de données étrange pourrait signifier que quelqu'un utilise une porte dérobée sur votre système. Pour contrer cela, utilisez des pare-feu pour suivre les activités entrantes et sortantes des différentes applications installées sur votre ordinateur.

Choisissez vos applications et plugins avec soin. Comme nous l'avons vu, les cybercriminels aiment cacher des portes dérobées dans des applications et plugins gratuits apparemment inoffensifs. La meilleure défense ici est de s'assurer que les applications et plugins que vous choisissez proviennent d'une source fiable.

Les utilisateurs d'Android et de Chromebook devraient s'en tenir aux applications du Google Play Store, tandis que les utilisateurs de Mac et d'iOS devraient se limiter à l'App Store d'Apple. Astuce technique bonus—lorsqu'une application nouvellement installée demande l'autorisation d'accéder à des données ou des fonctions sur votre appareil, réfléchissez à deux fois. Des applications suspectes ont été connues pour réussir les processus de vérification des applications de Google et Apple.

En se référant à l'étude sur la confidentialité des données, la plupart des répondants ont bien fait de suivre les autorisations des applications, mais 26 % ont déclaré, "je ne sais pas." Prenez le temps, peut-être dès maintenant, de revoir les autorisations des applications sur vos appareils (Malwarebytes pour Android le fera pour vous). Quant aux plugins WordPress et similaires, vérifiez les évaluations et les avis des utilisateurs et évitez d'installer quoi que ce soit avec une note moins que excellente.

Utilisez une bonne solution de cybersécurité. Une bonne solution anti-malware devrait pouvoir empêcher les cybercriminels de déployer les chevaux de Troie et rootkits utilisés pour ouvrir ces portes dérobées pénibles. Malwarebytes, par exemple, propose des solutions de cybersécurité pour Windows, Mac, et Chromebook. Sans oublier Malwarebytes pour Android et Malwarebytes pour iOS, afin que vous puissiez rester protégé sur tous vos appareils. Utilisateurs professionnels—nous vous avons également couverts. Consultez toutes les solutions d'entreprise de Malwarebytes.

Et si votre intérêt pour les portes dérobées va au-delà de ce que vous avez lu ici, assurez-vous de lire et de vous abonner au blog Malwarebytes Labs. Vous y trouverez toutes les dernières nouvelles sur les portes dérobées et tout ce qui compte dans le monde de la cybersécurité.