Les logiciels obsolètes sont probablement la faille de sécurité la plus répandue dans le monde. Les cybercriminels ne sont pas différents des utilisateurs des entreprises en termes d’évolutivité et d’efficacité.
Les entreprises continuent de migrer leurs services et applications vers le cloud afin de servir leurs utilisateurs dispersés dans le monde entier, avec un degré d’évolutivité et d’efficacité qui ne peut être atteint que par le cloud computing.
De même, les pirates cherchent constamment de nouvelles façons d’optimiser leurs attaques. En ciblant l’entreprise d’un fournisseur de cloud computing très populaire, par exemple, un attaquant pourrait obtenir l’accès à tout ou partie de données de ses clients.
Lorsqu’un groupe de pirates informatiques bien connu a compromis un fournisseur de services de soins de santé dans le cloud, les dossiers des patients de certains de leurs plus gros clients ont été volés grâce à des connexions VPN qui n’offraient aucun niveau de sécurité fiable.
Et si vous pouviez simplement infiltrer un seul réseau et laisser un nombre incalculable d’autres entreprises télécharger facilement votre virus malveillant, et ce, sans aucun soupçon ? Cela peut sembler invraisemblable, mais détrompez-vous.
Plus tôt cette année, le très populaire logiciel de nettoyage de système, CCleaner, a été infecté par une attaque malveillante de la chaîne d’approvisionnement. Pendant six mois, les pirates informatiques ont pu infiltrer le réseau et finalement accéder à des serveurs clés.
Les attaquants ont d’abord obtenu l’accès au site via un poste de travail d’un développeur qu’ils ont ensuite utilisé pour compromettre l’application TeamViewer installée sur son ordinateur. De là, ils ont installé des keyloggers (enregistreurs de frappe) dans tout le réseau qui leur ont permis de voler les informations d’identification et d’obtenir des privilèges administratifs pour les serveurs clés utilisant le protocole RDP (Remote Desktop Protocol).
Ils ont ensuite remplacé la version authentique du logiciel par une version malveillante qui a finalement été téléchargée par 2,3 millions d’utilisateurs.
Ce n’est qu’un mois après l’installation du malware que les chercheurs de Cisco Talos ont détecté la version malveillante du logiciel et en ont informé la société mère, Avast. Le malware a été conçu pour fonctionner en deux étapes.
La première consistait à recueillir des informations sur les ordinateurs ayant téléchargé le code, comme le nom de l’ordinateur, la version du système d’exploitation, l’adresse MAC et les processus actifs.
Heureusement, le malware a été découvert avant que la deuxième étape n’ait pu être mise en œuvre, bien que son intention n’ait pas été claire. Considérant qu’il y a eu plus de deux milliards de téléchargements de CCleaner depuis sa création, les conséquences possibles auraient pu être terribles.
Attaque de malwares de la chaîne d’approvisionnement
Ce n’est pas la première fois que les pirates informatiques tirent parti d’une attaque malveillante de la chaîne d’approvisionnement.
Il y a deux mois, des chercheurs en sécurité informatique de plusieurs organisations ont publié une analyse complète de la façon dont les pirates ont infiltré la société ukrainienne de logiciels de comptabilité Medoc.
Cette attaque a permis d’injecter un code malveillant dans les futures mises à jour logicielles de la société et qui étaient en attente de distribution. Les clients du Médoc, qui représentent environ 80 % des entreprises ukrainiennes, ont ensuite téléchargé ces mises à jour.
Quelques mois plus tard, le code téléchargé a été utilisé pour lancer l’attaque NotPetya, laquelle a perturbé les entreprises de services publics et les entreprises publiques ukrainiennes, avant de se propager dans le monde.
L’année dernière, Kaspersky Labs a publié sur Wired Magazine deux autres exemples dans lesquels des malwares ont été largement diffusés par le biais de mises à jour logicielles, incluant une société de logiciels financiers ainsi qu’un fabricant de logiciels pour ATM.
Dès 2012, une souche de malwares de cyberespionnage appelée Flame a exploité une faille de l’autorité de certification des services terminaux de l’entreprise.
Armées de faux certificats, les machines infectées dans un réseau ciblé pourraient tromper les PC Windows et les amener à accepter un fichier malveillant comme une mise à jour de Microsoft.
Manipulation de systèmes pour la livraison de malwares
L’ironie de ce type de piratage est troublante, car de nombreuses attaques peuvent actuellement profiter des ordinateurs, serveurs et périphériques réseau qui ne sont pas correctement mis à jour.
Les professionnels de la cybersécurité continuent de souligner l’importance de maintenir tous les dispositifs à jour comme l’un des principaux moyens de renforcer la sécurité. Par conséquent, de nombreux utilisateurs et administrateurs configurent leurs appareils pour une mise à jour automatique.
Si le public commençait à perdre confiance vis-à-vis des mises à jour logicielles, de plus en plus de machines pourraient rester vulnérables. En fin de compte, c’est peut-être le véritable objectif de la communauté des hackers.
Plus tôt cet été, l’American Civil Liberties Union (ACLU) a publié un rapport intitulé « How Malicious Software Updates Endanger Everyone ? ». Le rapport résume la façon dont les agents gouvernementaux peuvent tenter de forcer les développeurs de logiciels à créer ou à installer du code malveillant dans les mises à jour de logiciels pour des applications légitimes.
Selon cette organisation, il est probable que les acteurs gouvernementaux tentent de forcer les fabricants de logiciels à mettre à jour leurs logiciels, en considérant les malwares conçus pour obtenir des données à partir d’appareils ciblés, car de plus en plus d’entreprises sécurisent les données de leurs utilisateurs par chiffrement.
Par exemple, Apple a récemment comblé une lacune technique que les organismes d’application de la loi utilisaient couramment pour extraire les données de l’iPhone. Après avoir refusé d’aider le FBI à ouvrir un iPhone verrouillé pour faciliter l’enquête sur un tueur en série, le FBI a trouvé une alternative en accédant à l’appareil par son port de chargement et de données. Apple a comblé cette lacune en exigeant le mot de passe de l’utilisateur pour accéder au port et pour transférer les données.
La question est de savoir si le gouvernement, disposant des droits d’accès aux appareils personnels, est à nouveau sous les feux de la rampe. À mesure que les entreprises supprimeront d’autres échappatoires technologiques, les forces de l’ordre seront de plus en plus soumises à des pressions pour trouver d’autres vulnérabilités à exploiter.
Il existe un risque réel que la confiance du public à l’égard des mises à jour logicielles soit perdue et que les systèmes soient mis à jour moins fréquemment en raison de l’exploitation par des pirates.
Enfin, la méthode la plus simple pour éviter le téléchargement de malwares lors de la mise à jour de vos programmes est d’éviter les options de mises à jour automatiques. Au lieu de cela, vous devriez les activer pour qu’elles puissent vous avertir lorsqu’une mise à jour est disponible.
Et lorsque vous devez le faire, il est recommandé de télécharger uniquement la mise à jour proposée par le développeur du logiciel.