Exploits

Ce qu'il faut savoir sur les exploits informatiques

Exploits informatiques. Qu'est-ce que c'est et pourquoi faut-il s'en préoccuper ?

Avez-vous déjà remarqué que les développeurs de logiciels n'arrêtent pas de patcher et de mettre à jour leurs logiciels - parfois en publiant des mises à jour quelques jours seulement après la sortie du logiciel initial ?

C’est parce que chaque logiciel que vous possédez ou posséderez dans votre vie aura des vulnérabilités que des cybercriminels peuvent découvrir et exploiter—autrement dit, "exploiter". Il n'existe pas de logiciel sans faille—il y aura toujours des failles. Les logiciels informatiques sont aussi solides qu'un bloc de gruyère.

Grâce aux exploits, les cybercriminels peuvent accéder à votre ordinateur pour voler des informations sensibles ou installer des malwares. Malgré un ralentissement de l'activité des exploitations, les cybercriminels continuent de recourir à cette méthode d'attaque discrète. Avec cela à l’esprit, c’est le moment idéal pour nous éduquer sur le sujet des exploitations et nous protéger en conséquence. Alors faites défiler et lisez tout ce que vous avez besoin de savoir sur les exploits informatiques.

Qu'est-ce qu'un exploit ? Définition d'un exploit

Un exploit informatique est un type de malware qui profite des bogues ou des vulnérabilités, que les cybercriminels utilisent pour obtenir un accès illicite à un système. Ces vulnérabilités sont cachées dans le code du système d'exploitation et de ses applications, prêtes à être découvertes et exploitées par des cybercriminels. Les logiciels fréquemment exploités incluent le système d'exploitation lui-même, les navigateurs, Microsoft Office, et les applications tierces. Parfois, les exploits sont regroupés par des groupes de cybercriminels dans ce qu'on appelle un exploit kit. Les exploit kits facilitent l'utilisation des exploits et la propagation de logiciels malveillants pour les criminels ayant une connaissance technique limitée.

Pour mieux comprendre ce que sont les exploits, il peut être utile de penser aux coûteux cadenas de bicyclette et d'ordinateur portable en vogue au début des années 2000. Les gens payaient plus de 50 dollars pour ces antivols, pensant qu'ils protégeaient leurs objets de valeur, jusqu'à ce que quelqu'un mette en ligne une vidéo montrant comment ces antivols pouvaient être crochetés en quelques secondes à l'aide d'un stylo Bic bon marché et facile à se procurer.

Cela a forcé les fabricants de cadenas à mettre à jour leurs cadenas et les consommateurs à passer aux nouveaux cadenas anti-crochetage. Ceci est un exemple tangible d'exploitation d'un système de sécurité physique. En termes de logiciels, les cybercriminels recherchent des astuces ingénieuses, tout comme le type du stylo Bic, qui leur permettent d'accéder aux ordinateurs, appareils mobiles et réseaux d'autres personnes.

Les attaques de type "exploit" commencent souvent par des malspams et des téléchargements "drive-by". Les cybercriminels incitent les victimes peu méfiantes à ouvrir une pièce jointe infectée ou à cliquer sur des liens qui redirigent vers un site web malveillant. Les pièces jointes infectées, souvent des documents Word ou PDF, contiennent un code d'exploitation conçu pour tirer parti des faiblesses des applications.

Les téléchargements "drive-by" tirent parti des vulnérabilités de votre navigateur, comme Internet Explorer ou Firefox par exemple, ou des modules d'extension fonctionnant dans votre navigateur, comme Flash. Il se peut que vous visitiez un site web que vous avez déjà consulté en toute sécurité par le passé, mais cette fois-ci, le site a été piraté et vous ne vous en rendez même pas compte. Il se peut aussi que vous cliquiez sur un lien malveillant dans un courrier électronique non sollicité qui vous conduit à une version falsifiée d'un site web familier.

Dans certains cas particulièrement délicats, vous pouvez visiter un site web légitime affichant une publicité ou un pop-up infecté par un logiciel malveillant, également connu sous le nom de " malvertising". Lorsque vous visitez le site, le code malveillant de la page web agit de manière invisible en arrière-plan pour charger des malwares sur votre ordinateur.

Les cybercriminels utilisent les exploits comme un moyen de parvenir à des fins malveillantes, allant du problème ennuyeux à la nuisance paralysante. Les cybercriminels peuvent essayer de mettre les ressources de votre ordinateur au service d'un réseau de zombies dans le cadre d'une attaque DDoS ou pour extraire des bitcoins(cryptojacking).

Alternativement, les cybercriminels peuvent tenter d'installer de l'adware et inonder votre bureau de publicités. Ils peuvent également vouloir accéder à votre système pour voler directement des données ou installer des logiciels malveillants afin de collecter vos données secrètement au fil du temps (spyware). Enfin, ils peuvent installer un logiciel malveillant qui chiffre tous vos fichiers et exige un paiement en échange de la clé de chiffrement (ransomware).

Qu'est-ce qu'un exploit de type "zero-day" ?

Zéro-day ! Le seul jour de l'année où nous prenons le temps de reconnaître le petit zéro humble. Si seulement cela était vrai. En réalité, un exploit zero-day, aussi connu sous le nom de zero-hour exploit, est une vulnérabilité logicielle que seul le cybercriminel qui l'a créée connaît et pour laquelle il n'existe pas de correctif. Une fois qu'un exploit est connu du public, il n’est plus un zero-day. Parfois, un exploit connu est appelé un exploit n-day, indiquant qu'un ou plusieurs jours se sont écoulés depuis que l'exploit a été rendu public.

Dès qu'un exploit de type "zero-day" est rendu public, les fabricants de logiciels se lancent dans une course contre les criminels pour corriger l'exploit avant que ces derniers ne puissent en profiter et en récolter les fruits. Heureusement, les chercheurs ont des scrupules. S'ils découvrent un exploit avant les criminels, ils signalent généralement la faille au fabricant et lui donnent la possibilité de la corriger avant d'en informer le grand public (et les criminels).

La recherche proactive d'exploits est devenue un sport pour certains pirates informatiques. Lors de la compétition annuelle Pwn2own, les experts en exploits gagnent de l'argent et des prix pour avoir réussi à pirater des logiciels populaires dans plusieurs catégories, notamment les navigateurs web et les applications d'entreprise. Afin de démontrer leur intérêt pour la sécurité des logiciels, Microsoft et VMware ont sponsorisé l'événement Pwn2own en 2018.

Concernant la proactivité des éditeurs de logiciels à trouver et corriger les exploits, David Sanchez, ingénieur principal de recherche chez Malwarebytes, a déclaré : « Il est vrai que Microsoft et d'autres éditeurs de logiciels travaillent très dur pour sécuriser leurs applications comme Office, et les exploiter est devenu difficile, voire presque impossible. Les spécialistes de la sécurité et les cybercriminels trouvent pourtant toujours un moyen de les exploiter avec succès. La sécurité à 100 % n'est qu'une illusion, mais les applications Malwarebytes protègent les gens autant que possible de ce 100 %. »

« La sécurité à 100 % n'est qu'une illusion. Les applications Malwarebytes protègent les gens autant que possible de ce 100 %. »
– David Sanchez
Ingénieur Principal de Recherche de Malwarebytes

Histoire des exploits informatiques

Les exploits sont aussi vieux que l'informatique. Comme nous l'avons souligné, tous les logiciels présentent des vulnérabilités et il y a eu de véritables exploits au fil des ans. Voici un bref aperçu de quelques-uns des exploits informatiques les plus notables.

Notre exploration des plus grands (c'est-à-dire des pires) exploits du monde commence en 1988 avec le ver Morris, l'un des premiers vers et exploits informatiques. Nommé d'après son créateur Robert Tappan Morris, le ver éponyme a été conçu pour déterminer l'ampleur de l'internet au cours de ces premières années d'existence en utilisant diverses vulnérabilités pour accéder à des comptes et déterminer le nombre d'ordinateurs connectés à un réseau.

Le ver est devenu incontrôlable, infectant les ordinateurs plusieurs fois, exécutant simultanément plusieurs copies du ver jusqu'à ce qu'il n'y ait plus de ressources pour les utilisateurs légitimes. Le ver Morris était devenu une attaque DDOS.

Le ver SQL Slammer a pris le monde d'assaut en 2003, en enrôlant dans son réseau de zombies quelque 250 000 serveurs utilisant le logiciel SQL Server de Microsoft. Une fois qu'un serveur était infecté, il utilisait un style d'attaque dispersé, générant des adresses IP aléatoires et envoyant du code infecté à ces adresses. Si le serveur ciblé est équipé de SQL Server, il est également infecté et ajouté au réseau de zombies. À la suite de SQL Slammer, 13 000 distributeurs automatiques de billets de Bank of America ont été mis hors service.

Le ver Conficker de 2008 est remarquable pour plusieurs raisons. Tout d'abord, il a attiré un grand nombre d'ordinateurs dans son réseau de zombies - 11 millions d'appareils à son apogée. Ensuite, Conficker a popularisé un type de subterfuge utilisé par les virus pour éviter d'être détectés, appelé " algorithme de génération de domaine" (DGA). En bref, la technique DGA permet à un logiciel malveillant de communiquer sans fin avec son serveur de commande et de contrôle (C&C) en générant de nouveaux domaines et de nouvelles adresses IP.

Conçu pour attaquer le programme nucléaire iranien, le ver Stuxnet de 2010 a tiré parti de multiples vulnérabilités de type "zero-day" dans Windows pour accéder à un système. À partir de là, le ver a pu s'autoreproduire et se propager d'un système à l'autre.

Découvert en 2014, l'exploit Heartbleed a été utilisé pour attaquer le système de chiffrement permettant aux ordinateurs et serveurs de communiquer de manière privée. En d'autres termes, les cybercriminels pouvaient utiliser cet exploit pour écouter vos conversations numériques. Le système de chiffrement, appelé OPEN SSL, était utilisé sur 17,5 % ou un demi-million de serveurs web « sécurisés ». Cela représente beaucoup de données vulnérables.

Comme il s'agit d'un problème concernant les sites web que vous visitez (côté serveur), et non d'un problème sur votre ordinateur (côté client), c'est aux administrateurs de réseau qu'il incombe d'appliquer les correctifs nécessaires. La plupart des sites web réputés ont mis en place des correctifs il y a plusieurs années, mais pas tous.

2017 a été une année faste pour les ransomwares. Les attaques de ransomware WannaCry et NotPetya ont profité des exploits EternalBlue/DoublePulsar Windows afin de se faufiler dans les ordinateurs et de prendre les données en otage. Ensemble, ces deux attaques ont causé 18 milliards de dollars de dommages dans le monde. L'attaque NotPetya, en particulier, a temporairement paralysé, entre autres, une chocolaterie Cadbury et le fabricant de préservatifs Durex. Les hédonistes du monde entier ont retenu leur souffle collectif jusqu'à ce que l'exploit soit corrigé.

L'attaque d'Equifax en 2017 aurait pu être évitée si l'agence d'évaluation du crédit s'était efforcée de maintenir ses logiciels à jour. Dans ce cas, la faille logicielle utilisée par les cybercriminels pour s'introduire dans le réseau de données d'Equifax était déjà bien connue et un correctif était disponible. Au lieu d'y remédier, Equifax et son logiciel obsolète ont permis aux cybercriminels de voler les informations personnelles de centaines de millions de clients américains. "Merci.

Avant que les utilisateurs d'Apple ne commencent à penser que les Mac ne sont pas susceptibles de faire l'objet d'attaques basées sur des exploits, il faut se rappeler le bug de 2017 qui permettait aux cybercriminels d'entrer le mot "root" dans le champ du nom d'utilisateur et d'appuyer deux fois sur la touche retour pour obtenir un accès complet à l'ordinateur. Ce bogue a été rapidement corrigé avant que les cybercriminels ne puissent en profiter, mais cela montre bien que tout logiciel peut comporter des bogues exploitables. Nous avions déjà signalé que les exploits surMac étaient en augmentation. À la fin de l'année 2017, la plateforme Mac comptait 270 % de menaces uniques de plus qu'en 2016.

Dernièrement, il y a eu peu de nouvelles dans le monde des exploits de navigateur. D'autre part, les exploit kits Office sont en hausse. Depuis 2017, nous avons remarqué une augmentation de l'utilisation des exploit kits basés sur Office. C'était à l'automne de cette année que nous avons d'abord signalé plusieurs innovations dans les exploits Word, y compris l’un caché dans de fausses notifications IRS et un autre zero-day attack caché dans des documents Word—nécessitant peu ou aucune interaction de la part de la victime pour s'initier.

Nous voyons maintenant apparaître un nouveau type de kit d'exploitation Office qui ne s'appuie pas sur les macros, c'est-à-dire sur un code spécial intégré dans le document, pour faire son sale boulot. Ce kit d'exploitation utilise plutôt le document comme un leurre tout en déclenchant un téléchargement automatique qui déploie l'exploit.

Plus récemment, les cybercriminels ont déployé des malwares sans fichier, ainsi nommés parce que ce type de logiciel malveillant ne dépend pas du code installé sur l'ordinateur cible pour fonctionner. Au lieu de cela, les malwares sans fichier exploitent les applications déjà installées sur l'ordinateur, ce qui a pour effet d'armer l'ordinateur contre lui-même et contre d'autres ordinateurs.

"Les malwares sans fichier exploitent les applications déjà installées sur l'ordinateur, ce qui a pour effet d'armer l'ordinateur contre lui-même et contre les autres ordinateurs.

Exploits sur mobile : Android et iOS

La principale préoccupation des utilisateurs de téléphones portables est l'installation d'applications qui n'ont pas été approuvées par Google et Apple. Le téléchargement d'applications en dehors du Google Play Store et de l'Apple App Store signifie que les applications n'ont pas été vérifiées par les entreprises respectives. Ces applications non approuvées peuvent tenter d'exploiter les vulnérabilités de iOS/Android pour accéder à votre appareil mobile, voler des informations sensibles et effectuer d'autres actions malveillantes.

Comment puis-je me protéger contre les exploits ?

Les exploits peuvent être effrayants. Cela signifie-t-il que nous devrions jeter nos routeurs par la fenêtre et faire comme si nous étions dans l'âge sombre de l’ère pré-internet ? Certainement pas. Voici quelques conseils si vous voulez vous engager de manière proactive dans la protection contre les exploits.

Restez à jour. Mettez-vous régulièrement à jour votre système d'exploitation et toutes les applications que vous avez installées ? Si vous avez répondu par la négative, vous pourriez être une victime potentielle des cybercriminels. Une fois que l'éditeur d'un logiciel a connaissance d'un exploit de type "zero-day" et qu'un correctif est publié, il incombe à l'utilisateur individuel de corriger et de mettre à jour son logiciel. En fait, les exploits du jour zéro deviennent plus dangereux et plus répandus une fois qu'ils sont connus du public, parce qu'un groupe plus large d'acteurs de la menace tire parti de l'exploit. Vérifiez auprès de vos fournisseurs de logiciels si des mises à jour ou des correctifs sont disponibles. Si possible, allez dans les paramètres de votre logiciel et activez les mises à jour automatiques afin que ces mises à jour se fassent automatiquement en arrière-plan, sans effort supplémentaire de votre part. Vous éliminerez ainsi le délai entre l'annonce d'une vulnérabilité et le moment où elle est corrigée. Les cybercriminels profitent des personnes qui oublient ou ne savent tout simplement pas qu'il faut mettre à jour et corriger leurs logiciels.
Mettez votre logiciel à jour. Dans certains cas, une application logicielle devient tellement vieille et lourde que le fabricant cesse de la soutenir(abandonware), ce qui signifie que les bogues supplémentaires découverts ne seront pas corrigés. Dans le prolongement du conseil précédent, assurez-vous que votre logiciel est toujours pris en charge par le fabricant. Si ce n'est pas le cas, passez à la dernière version ou optez pour un autre logiciel qui fait la même chose.
Restez en sécurité en ligne. Assurez-vous que Microsoft SmartScreen ou Google Safe Browsing est activé pour votre navigateur web préféré. Votre navigateur vérifiera chaque site que vous visitez par rapport aux listes noires maintenues par Microsoft et Google et vous éloignera des sites connus pour distribuer des logiciels malveillants. Les outils anti-malware efficaces comme Malwarebytes, par exemple, bloqueront également les mauvais sites, vous offrant ainsi plusieurs niveaux de protection.
Utilisez-le ou perdez-le. Les pirates informatiques vont pirater. Il n'y a pas grand-chose que nous puissions faire à ce sujet. Mais s'il n'y a pas de logiciel, il n'y a pas de vulnérabilité. Si vous n'utilisez plus le logiciel, supprimez-le de votre ordinateur. Les pirates ne peuvent pas s'introduire dans quelque chose qui n'existe pas.
Installez des applications autorisées. Pour assurer la sécurité de votre appareil mobile, n'utilisez que des applications autorisées. Il peut arriver que vous souhaitiez sortir de l'App Store et du Google Play Store, par exemple lorsque vous testez une nouvelle application, mais vous devez alors vous assurer que vous pouvez faire confiance au fabricant de l'application. D'une manière générale, il convient toutefois de s'en tenir aux applications approuvées par Apple et Google.
Utilisez un logiciel anti-exploit. Donc, vous avez pris toutes les précautions nécessaires pour éviter les attaques basées sur des exploits. Qu'en est-il des exploits zero-day ? Rappelez-vous, un exploit zero-day est une vulnérabilité logicielle que seuls les cybercriminels connaissent. Il n'y a pas grand-chose que nous puissions faire pour nous protéger des menaces inconnues. Ou y a-t-il ? Un bon programme anti-malware, comme Malwarebytes pour Windows, Malwarebytes pour Mac, Malwarebytes pour Android, ou Malwarebytes pour iOS, peut reconnaître et bloquer de manière proactive les logiciels malveillants tentant de tirer parti des vulnérabilités de votre ordinateur en utilisant une analyse heuristique de l'attaque. En d'autres termes, si le programme suspect est structuré et se comporte comme un logiciel malveillant, Malwarebytes le signalera et le mettra en quarantaine.

Comment les exploits affectent-ils mon entreprise ?

À bien des égards, votre entreprise représente une cible de plus grande valeur pour les cybercriminels et les exploiteurs que le consommateur individuel - plus de données à voler, plus de rançons à obtenir et plus de points d'extrémité à attaquer.

Prenons l'exemple de la violation des données d'Equifax. Dans ce cas, les cybercriminels ont utilisé une faille dans Apache Struts 2 pour accéder au réseau d'Equifax et élever leurs privilèges d'utilisateur. Une fois sur le réseau, les attaquants se sont improvisés administrateurs du système, accédant ainsi aux données sensibles de millions de consommateurs. Personne ne connaît toutes les retombées de l'attaque d'Equifax, mais elle pourrait finir par coûter des millions de dollars à l'agence d'évaluation du crédit. Une action collective est en cours et des particuliers poursuivent Equifax devant les tribunaux des petites créances, gagnant jusqu'à 8 000 dollars par affaire.

En plus de l'escalade de privilèges, les exploits peuvent être utilisés pour déployer d'autres logiciels malveillants, comme ce fut le cas avec l'attaque du ransomware NotPetya. NotPetya s'est répandu sur Internet, attaquant aussi bien des particuliers que des entreprises. Utilisant les exploits de Windows EternalBlue et MimiKatz, NotPetya a pris pied sur un réseau et s'est propagé d'ordinateur en ordinateur, verrouillant chaque point de terminaison, chiffrant les données des utilisateurs et paralysant les entreprises. Les ordinateurs, smartphones, téléphones de bureau VOIP, imprimantes et serveurs ont tous été rendus inutilisables. Les dommages totaux pour les entreprises du monde entier ont été estimés à 10 milliards de dollars.

Comment protéger votre entreprise ? Vous devez éliminer les faiblesses de votre système à l'aide d'une bonne stratégie de gestion des correctifs. Voici quelques éléments à prendre en compte pour déterminer ce qui convient le mieux à votre réseau.

Mettre en œuvre la segmentation du réseau. La répartition de vos données sur des sous-réseaux plus petits réduit votre surface d'attaque - les petites cibles sont plus difficiles à atteindre. Cela peut permettre de limiter une brèche à quelques points d'extrémité au lieu de l'ensemble de l'infrastructure.
Appliquer le principe du moindre privilège (PoLP). En bref, donnez aux utilisateurs le niveau d'accès dont ils ont besoin pour faire leur travail, et rien de plus. Une fois de plus, cela permet de limiter les dommages causés par les brèches ou les attaques de ransomware.
Restez à jour avec les mises à jour. Gardez un œil sur le Patch Tuesday et planifiez en conséquence. Le Microsoft Security Response Center tient un blog avec toutes les dernières informations sur les mises à jour. Vous pouvez également vous abonner à leur bulletin d'information par e-mail pour être au courant de ce qui est corrigé chaque mois.
Donnez la priorité à vos mises à jour. Le lendemain du Patch Tuesday est parfois appelé (avec une pointe d'humour) le mercredi des exploits. Les cybercriminels ont été informés de l'existence d'exploits potentiels et la course est lancée pour mettre à jour les systèmes avant que les cybercriminels n'aient une chance d'attaquer. Pour accélérer le processus d'application des correctifs, vous devriez envisager de lancer les mises à jour sur chaque point d'extrémité à partir d'un agent central, au lieu de laisser chaque utilisateur final s'en charger à sa guise.
Vérifiez vos mises à jour après coup. Les correctifs sont censés réparer les logiciels, mais il arrive qu'ils finissent par tout casser. Cela vaut la peine de faire un suivi et de s'assurer que les correctifs que vous avez diffusés sur votre réseau n'ont pas aggravé les choses et de les désinstaller si nécessaire.
Débarrassez-vous des logiciels obsolètes. Parfois, il est difficile de se débarrasser de vieux logiciels dont la date d'expiration est dépassée, surtout dans une grande entreprise où le cycle d'achat avance à la vitesse d'un paresseux. Cependant, un logiciel abandonné représente le pire des scénarios pour n'importe quel administrateur de réseau ou système. Les cybercriminels recherchent activement les systèmes utilisant des logiciels obsolètes, alors remplacez-les dès que possible.
Bien sûr, un bon logiciel de sécurité des terminaux est une partie essentielle de tout programme de protection contre les exploits. Pensez à Malwarebytes. Avec Malwarebytes Endpoint Protection et Malwarebytes Endpoint Detection and Response, nous avons une solution pour tous vos besoins en matière de sécurité d'entreprise.

Enfin, si tout cela n'a pas satisfait votre soif de connaissances sur les exploits, vous pouvez toujours en lire davantage sur les exploits sur le blog Malwarebytes Labs.