Le botnet Emotet est revenu à la vie après une période de dormance de 4 mois au cours de l’été. Les premières campagnes, qui impliquaient des centaines de milliers de messages, utilisaient des leurres tels que de fausses factures, des avis de paiement et des relevés pour inciter les destinataires à ouvrir un document Word malveillant, à activer le contenu et à lancer par inadvertance une série d’actions résultant au téléchargement d’Emotet. Emotet est l’une des variantes de malwares les plus dangereuses actuellement distribuées via des messages électroniques.
Cela ne fait que quelques jours que ces menaces ont été détectées. Pourtant, une nouvelle campagne a été détectée, notamment le Malware Spam (MalSpam), un terme utilisé pour désigner les malwares qui sont envoyés par e-mail, qui livre Emotet. Cette fois-ci, le leurre s’est présenté sous la forme d’une copie gratuite du livre d’Edward Snowden, Permanent Record. Le livre est un compte rendu de la vie d’Edward Snowden, notamment concernant les actions de dénonciation qu’il a menées en 2013.
La campagne comprend des versions en anglais, en italien, en espagnol et en allemand du livre. Elle prétend offrir une copie scannée et gratuite du livre de l’ancien employé de la CIA. La version anglaise est distribuée par e-mail, selon les agresseurs, parce qu’il est « temps d’organiser des lectures collectives du livre Snowden partout ». L’e-mail comprend une copie scannée du livre en pièce jointe et incite le destinataire de l’acheter, de le lire, de le partager et d’en discuter. La copie s’appelle Scan.doc.
L’email informe l’utilisateur que Word n’a pas été activé. Par contre, celui-ci peut continuer à utiliser Word pour visualiser le contenu du document. À ce stade, il suffit d’un simple clic pour installer Emotet. Une fois installé, le botnet va télécharger d’autres variantes de malwares, dont le TrickBot Trojan. Il est également utilisé pour distribuer des charges utiles de ransomwares.
Bien que les leurres des campagnes Emotet changent régulièrement, ils ont tous utilisé des scripts malveillants dans des documents Word qui téléchargent Emotet. Les e-mails peuvent être envoyés par des personnes inconnues. Des adresses électroniques peuvent également être usurpées pour donner l’impression qu’ils proviennent d’une personne connue ou d’un collègue de travail.
Les leurres sont convaincants et sont susceptibles de tromper les utilisateurs finaux. Ces derniers sont donc susceptibles d’ouvrir les pièces jointes et d’activer le contenu du message électronique. Pour les entreprises, cela peut entraîner une infection malveillante coûteuse, le vol de justificatifs d’identité, des virements bancaires frauduleux et des attaques de ransomwares.
Les entreprises peuvent réduire ces risques en s’assurant que leurs employés n’ouvrent jamais les pièces jointes de e-mails non sollicités et provenant d’expéditeurs inconnus. Ils doivent aussi vérifier l’authenticité de toutes pièces jointe par téléphone avant de prendre toute mesure. Par ailleurs, les employés ne devraient jamais activer le contenu d’un document envoyé par e-mail.
Bien qu’une formation de sensibilisation à la sécurité des utilisateurs finaux soit essentielle, des solutions antimalware avancées sont également nécessaires pour empêcher que ces messages n’atteignent les boîtes de réception des utilisateurs.
SpamTitan inclut l’authentification DMARC pour bloquer les attaques de phishing par usurpation d’identité. Il intègre aussi un sandbox alimenté par Bitdefender où les pièces jointes suspectes peuvent être exécutées en toute sécurité et étudiées pour détecter les menaces cybercriminelles.
Ajoutez à cela un large éventail de systèmes de contrôles de contenu, y compris l’analyse bayésienne et la liste noire, et les e-mails malveillants seront bloqués et empêchés d’être envoyés aux utilisateurs finaux.
La publicité malveillante, ou malvertising, est le nom donné à l’utilisation abusive des réseaux publicitaires pour diffuser des publicités malveillantes sur des sites web légitimes, et ce, dans le but d’escroquer les internautes. Ces publicités affichent des popups qui redirigent les utilisateurs vers des sites hébergeant des formulaires de phishing ou un kit d’exploitation qui diffuse discrètement des malwares.
De nombreux propriétaires de sites internet intègrent des blocs publicitaires de tiers sur leurs sites pour augmenter leurs revenus. Bien que les réseaux publicitaires aient mis en place des contrôles pour prévenir les abus, les cybercriminels réussissent souvent à contourner ces mesures de sécurité.
Un groupe cybercriminel a été particulièrement actif au cours de l’année dernière et a mené des attaques à grande échelle. Les chercheurs de Confiant ont suivi l’activité du groupe — connu sous le nom d’eGobbler — et ont rapporté que le groupe a diffusé de fausses publicités sur 500 millions de sessions utilisateurs en Europe et aux États-Unis au cours de la dernière semaine seulement. Les campagnes ont été vraiment massives. À noter que l’une des dernières campagnes, menée entre le 1er août et le 23 septembre, a porté sur environ 1,16 milliard d’impressions publicitaires affichées sur les écrans des internautes.
Dans la plupart des cas, les criminels derrière ces campagnes ciblent les utilisateurs mobiles, car les protections de sécurité sur ce genre d’appareil sont loin d’être aussi robustes que sur les ordinateurs de bureau. Par contre, cette campagne a ciblé les utilisateurs d’ordinateurs de bureau qui fonctionnent sous Windows, Linux et MacOS.
Plusieurs réseaux de diffusion de contenu ont été utilisés pour diffuser les publicités malveillantes, redirigeant les utilisateurs vers des sites web qui exploitent les vulnérabilités des navigateurs pour diffuser leurs charges utiles malveillantes. La première est un bug dans le navigateur Chrome — CVE-2019-5840 — qui a été corrigé par Google en juin.
La seconde est une vulnérabilité de type « zero-day » dans webKit, le moteur de navigation utilisé par les anciennes versions de Chrome et Safari. Le bug a déjà été corrigé pour Safari. Par contre, Google n’a pas encore corrigé le bug pour Chrome. Comme le dernier moteur de navigation utilisé par Chrome est basé sur webKit, les versions ultérieures du navigateur ont été également affectées.
Alors que les fonctions de sandboxing protègent les iframes qui sont utilisés pour intégrer des tags publicitaires, la vulnérabilité zero-day a permis au groupe eGobbler de manipuler les iframes et d’afficher un code malveillant pour les visiteurs dans le but d’effectuer des redirections.
eGobbler est différent des groupes qui utilisent la publicité malveillante pour diffuser des malwares. Le groupe est hautement qualifié et est capable de trouver des bugs dans le code source des navigateurs afin de mener des campagnes publicitaires malveillantes à grande échelle. Le groupe représente une menace importante pour les utilisateurs d’Internet, pourtant il existe certaines mesures qui peuvent être prises pour réduire la probabilité d’une attaque.
Les utilisateurs peuvent renforcer leurs défenses en utilisant des bloqueurs d’annonces et en s’assurant qu’ils maintiennent leurs navigateurs à jour. De même, les entreprises doivent s’assurer que les navigateurs peuvent bloquer les publicités malveillantes, en utilisant une solution de filtrage web.
En plus de bloquer les publicités malveillantes, un filtre web peut être configuré pour bloquer le téléchargement de fichiers malveillants et empêcher les employés de visiter des sites de phishing et autres sites web malveillants. Un filtre web peut également être utilisé par les entreprises pour appliquer des politiques d’utilisation d’Internet acceptables.
TitanHQ a développé une puissante solution de filtrage web basée sur le DNS pour les PME et les fournisseurs de services gérés. Il s’agit de webTitan, un outil qui offre une protection efficace contre les publicités malveillantes et d’autres types d’attaques sur Internet. La solution est facile à utiliser et peut être mise en œuvre en quelques minutes, sans avoir besoin d’une compétence technique particulière.
Compte tenu du niveau de protection offert par WebTitan, vous serez probablement surpris du faible coût de déploiement de la solution. Pour en savoir plus ; pour bénéficier d’une démonstration du produit ; ou bien pour profiter d’un essai gratuit de la solution complète, contactez notre équipe commerciale.
Kaspersky Labs a été accusé par plusieurs anciens employés anonymes de créer de faux malwares afin que les produits antivirus concurrents signalent les faux positifs et soient discrédités. Lorsqu’il s’agit de sources anonymes, ce qui rend les informations de Kaspersky moins transparentes, la prudence est de mise. Nous avons contacté Kaspersky pour obtenir plus d’informations.
Kaspersky Labs nie strictement ces accusations et nous a fourni cette déclaration :
« Contrairement aux allégations faites dans un reportage de Reuters, Kaspersky Lab n’a jamais mené de campagne secrète pour tromper ses concurrents et les amener à générer de faux positifs afin de nuire à leur position sur le marché. De tels actes sont contraires à l’éthique. Elles sont malhonnêtes et illégales. Les accusations d’anciens employés anonymes et mécontents — selon lesquelles Kaspersky Lab, ou son PDG, aurait été impliqués dans ces incidents — sont sans fondement et tout simplement fausses. En tant que membre de la communauté de sécurité informatique, nous partageons avec d’autres fournisseurs nos données de renseignements sur les menaces et les Indicateurs de compromission (IOCs) sur les acteurs de menaces avancées. Nous recevons et analysons également les données sur les menaces fournies par d’autres fournisseurs. Bien que le marché de la sécurité soit très concurrentiel, l’échange de données fiables sur les menaces est un élément essentiel de la sécurité globale de l’ensemble de l’écosystème informatique. Nous nous efforçons de faire en sorte que cet échange ne soit pas compromis ou corrompu.
En 2010, nous avons effectué une expérience ponctuelle en téléchargeant seulement 20 échantillons de fichiers non malveillants sur le multiscanner VirusTotal, ce qui ne causerait pas de faux positifs, car ces fichiers étaient absolument propres, inutiles et sans danger. Après l’expérience, nous l’avons rendue publique et avons fourni tous les échantillons utilisés aux médias pour qu’ils puissent la tester eux-mêmes. Nous avons mené cette expérience pour attirer l’attention de la communauté de sécurité sur le problème de l’insuffisance de la détection multiscanner lorsque les fichiers sont bloqués uniquement parce que d’autres fournisseurs les ont détectés comme étant malveillants, sans examen réel de leurs activités.
Après cette expérience, nous avons eu une discussion avec l’industrie de l’antivirus à ce sujet et nous avons compris que nous étions d’accord sur tous les points importants.
En 2012, Kaspersky Lab faisait partie des entreprises touchées par une source inconnue qui a téléchargé des fichiers défectueux vers VirusTotal, ce qui a entraîné un certain nombre d’incidents avec des détections de faux positifs. Pour résoudre ce problème, en octobre 2013, lors de la conférence VB à Berlin, il y a eu une réunion privée entre les principaux fournisseurs d’antivirus dans le but d’échanger des informations sur les incidents ; de déterminer les motifs de cette attaque et d’élaborer un plan d’action. On ne sait toujours pas qui était derrière cette campagne. »
Selon Ronan Kavanagh, PDG de TitanHQ, « Kaspersky est un excellent produit. Nous n’avons jamais eu de problème avec lui, bien au contraire. Bien entendu, nous avons vu de faux positifs, nous avons été ciblés par de mauvais échantillons comme beaucoup d’autres fournisseurs de sécurité, mais nous n’aurions aucune visibilité sur les auteurs de ces attaques. L’essentiel, c’est qu’en tant qu’industrie, nous travaillons ensemble pour riposter aux éventuelles menaces.
Eugene Kaspersky n’a pas été content de l’article de Reuters et a décidé de nier vigoureusement ces revendications sur Twitter.
Avez-vous déjà demandé à un logiciel de sécurité de renvoyer de faux positifs ?
Un réseau web de distribution de malwares — qui redirigeait environ 2 millions de visiteurs par jour vers des sites Web compromis hébergeant des kits d’exploitation — a été perturbé, paralysant ainsi les opérations de distribution de malwares.
Le réseau web de distribution de malwares — connu sous le nom d’EITest — utilisait des sites Web compromis pour rediriger les visiteurs vers des sites où des kits d’exploitation étaient utilisés pour télécharger des malwares et des ransomwares. Il permettait également aux pirates de rediriger les utilisateurs vers des sites de phishing et de lancer des escroqueries du support technique.
En effet, les pirates ont pu convaincre les visiteurs d’un site compromis de payer pour de faux logiciels afin de supprimer les infections par des malwares qui n’existaient même pas.
Supprimer les redirections des sites Web compromis est une tâche de grande ampleur. Les efforts d’assainissement de ces sites se poursuivent et les CERT (Computer Emergency Response Team) nationaux sont invités à fournir leur assistance.
Le réseau web de distribution de malwares a été totalement détruit et le trafic est maintenant redirigé vers un domaine sûr. Les chercheurs de Proofpoint ont pu s’emparer d’un domaine clé qui générait des domaines C&C, bloquant les redirections et les redirigeant vers quatre nouveaux domaines EITest qui pointent vers un gouffre abuse.ch.
Le gouffre n’est opérationnel que depuis un mois. Il a été activé le 15 mars dernier, mais il a déjà permis de protéger des dizaines, voire des centaines de millions de visiteurs du site. Rien qu’au cours des trois premières semaines, 44 millions de visiteurs ont été redirigés vers le gouffre à partir d’environ 52 000 sites et serveurs compromis.
La majorité des sites Web compromis utilisaient WordPress. Du code malveillant avait été injecté à cause des failles du CMS et des plug-ins ont été installés sur les sites. Les vulnérabilités de Joomla, Drupal et PrestaShop avaient également été exploitées pour installer le code malveillant.
Le réseau de distribution de malwares sur le Web est opérationnel depuis au moins 2011, mais les attaques qui y sont liées ont considérablement augmenté en 2014. Bien que des efforts aient déjà été menés pour perturber le réseau de distribution des malwares, la plupart d’entre eux ont échoué, tandis que d’autres n’ont connu qu’un succès temporaire.
Le code malveillant injecté dans les serveurs et les sites Web redirigeait principalement les visiteurs vers un kit d’exploitation appelé Glazunov et, dans une moindre mesure, vers un kit d’exploitation appelé Angler. Ces kits d’exploitation recherchent de multiples vulnérabilités dans les logiciels pour pouvoir télécharger des ransomwares et des malwares.
On pense que les acteurs de la menace à l’origine de l’EITest ont réagi et tenté de prendre le contrôle du gouffre, mais pour l’instant, ces efforts ont été contrecarrés.
Comment améliorer la sécurité et bloquer les attaques de malwares des réseaux web de distribution?
Le fait qu’une opération d’une telle ampleur ait été perturbée est certainement une bonne nouvelle. Mais cela souligne également l’importance de la menace d’attaques sur le Web. Les spams sont peut-être devenus la principale méthode de distribution de malwares et de ransomwares, mais les organisations ne devraient pas ignorer la menace que représentent les attaques sur le Web.
Ces attaques peuvent se produire lorsque les employés naviguent simplement sur le Web et visitent des sites internet parfaitement légitimes. Malheureusement, la sécurité laxiste des propriétaires de sites Web peut conduire au compromis de leurs sites Web. L’absence de mise à jour de WordPress ; d’autres systèmes et de plug-ins de gestion de contenu ; et les mauvaises pratiques en matière de mots de passe font des attaques sur les sites Web un processus rapide et facile.
Pour réduire le risque d’attaques sur le Web, l’une des meilleures solutions à mettre en œuvre est un filtre Web. Sans cela, les employés seront autorisés à visiter tout site Web, y compris ceux connus pour héberger des malwares ou pouvant être utilisés à des fins malveillantes.
En mettant en place un filtre Web, les redirections vers des sites Web malveillants seront bloquées, tout comme les téléchargements de fichiers malveillants. Par ailleurs, les attaques de phishing sur le Web seront contrées.
TitanHQ est le premier fournisseur de solutions de filtrage Web dans le cloud pour les PME les grandes entreprises. WebTitan Cloud et WebTitan Cloud for WiFi leur permettent de contrôler avec soin le contenu du site Web auquel peuvent accéder leurs employés, les utilisateurs de leur réseau invité et les utilisateurs de leur Wi-Fi.
La solution de TitanHQ dispose de puissantes protections antivirus. Elle utilise des listes noires de sites Web malveillants connus et intègre l’inspection SSL/HTTPS pour fournir une protection contre le trafic chiffré malveillant. La solution permet également aux PME et aux grandes entreprises d’appliquer leurs politiques d’utilisation d’Internet acceptables ; et aux écoles d’appliquer Safe Search et YouTube for Schools.
Pour plus d’informations sur la façon dont WebTitan peut protéger vos employés et étudiants et prévenir les infections de malwares sur votre réseau, contactez TitanHQ dès aujourd’hui.
Alors que les pirates informatiques se tournent vers les langages de script pour développer rapidement de nouvelles variantes de malwares, plusieurs nouvelles variantes de logiciels malwares AutoHotKey ont été découvertes ces dernières semaines. La toute dernière ayant été découverte — le malware Fauxpersky — est très efficace pour voler les mots de passe.
AutoHotKey est un langage de script open source populaire. Il facilite la création de scripts pour automatiser et planifier des tâches, même à l’intérieur de logiciels tiers. Il est possible d’utiliser AutoHotKey pour interagir avec le système de fichiers local et la syntaxe est simple, ce qui le rend facile à utiliser, même sans grande connaissance technique. AutoHotKey permet de compiler des scripts dans un fichier exécutable qui peut être facilement exécuté sur un système.
Pour les développeurs de malwares, AutoHotKey reste toujours très utile. Les logiciels malwares AutoHotKey sont maintenant utilisés pour le keylogging et pour installer d’autres variantes de malwares comme les mineurs de cryptocurrences. La première de ces variantes a été découverte en février 2018.
Depuis, plusieurs autres variantes de logiciels malwares AutoHotKey ont été découvertes. Le dernier né étant Fauxpersky, ainsi nommé parce qu’il se fait passer pour un antivirus Kaspersky.
Les malwares Fauxpersky
Les malwares Fauxpersky manquent de sophistication, mais peuvent être considérés comme une menace importante. S’il n’est pas détecté, il permet aux attaquants de voler des mots de passe qui peuvent être utilisés pour des attaques très dommageables et de leur donner une prise sur le réseau.
Le malware Fauxpersky a été découvert par les chercheurs en sécurité informatique Amit Serper et Chris Black. Ils ont expliqué dans un récent article de blog que le malware n’est peut-être pas particulièrement avancé et furtif, mais il constitue une menace et pourrait permettre aux cybercriminels de voler des mots de passe pour avoir accès aux données.
Fauxpersky infecte les clés USB pour répandre le malware entre les périphériques. Il peut également se répliquer sur les lecteurs répertoriés du système. La communication avec les attaquants se fait via un formulaire Google, lequel est utilisé pour envoyer des mots de passe volés et des listes de frappes au clavier dans leurs boîtes de réception. Comme la transmission est chiffrée, il ne semble pas s’agir d’une exfiltration de données par les systèmes de surveillance du trafic.
Une fois installé, Fauxpersky renomme le lecteur et ajoute « Protected by Kaspersky Internet Security 2017 » au nom du lecteur. Le logiciel malveillant enregistre toutes les frappes au clavier effectuées sur un système et ajoute également un contexte pour aider les attaquants à déterminer ce que fait l’utilisateur. Le nom de la fenêtre dans laquelle le texte est tapé est ajouté au fichier texte.
Une fois que la liste des frappes a été envoyée, elle est supprimée du disque dur pour éviter toute détection.
Les chercheurs ont signalé cette nouvelle menace à Google. Celle-ci a été éliminée rapidement, mais d’autres menaces pourraient bien être créées pour la remplacer.
Les logiciels malwares AutoHotKey devraient devenir plus sophistiqués
Il est peu probable que les logiciels malwares AutoHotKey remplacent les langages de script plus puissants comme PowerShell. Pourtant, l’augmentation de l’utilisation de l’AutoHotKey, ainsi que le nombre de nouvelles variantes détectées ces dernières semaines suggèrent qu’il ne sera pas abandonné de sitôt.
Les logiciels malveillants AutoHotKey ont maintenant été découverts avec plusieurs fonctions d’obscurcissement pour les rendre plus difficiles à détecter. Cependant, de nombreux fournisseurs d’antivirus n’ont pas encore doté leurs logiciels de la capacité de détecter ces malwares.
À court et moyen terme, il est fort probable que nous assisterons à une explosion des variantes de logiciels malveillants AutoHotKey, en particulier les keyloggers qui sont conçus pour voler les mots de passe.
Les logiciels obsolètes sont probablement la faille de sécurité la plus répandue dans le monde. Les cybercriminels ne sont pas différents des utilisateurs des entreprises en termes d’évolutivité et d’efficacité.
Les entreprises continuent de migrer leurs services et applications vers le cloud afin de servir leurs utilisateurs dispersés dans le monde entier, avec un degré d’évolutivité et d’efficacité qui ne peut être atteint que par le cloud computing.
De même, les pirates cherchent constamment de nouvelles façons d’optimiser leurs attaques. En ciblant l’entreprise d’un fournisseur de cloud computing très populaire, par exemple, un attaquant pourrait obtenir l’accès à tout ou partie de données de ses clients.
Lorsqu’un groupe de pirates informatiques bien connu a compromis un fournisseur de services de soins de santé dans le cloud, les dossiers des patients de certains de leurs plus gros clients ont été volés grâce à des connexions VPN qui n’offraient aucun niveau de sécurité fiable.
Et si vous pouviez simplement infiltrer un seul réseau et laisser un nombre incalculable d’autres entreprises télécharger facilement votre virus malveillant, et ce, sans aucun soupçon ? Cela peut sembler invraisemblable, mais détrompez-vous.
Plus tôt cette année, le très populaire logiciel de nettoyage de système, CCleaner, a été infecté par une attaque malveillante de la chaîne d’approvisionnement. Pendant six mois, les pirates informatiques ont pu infiltrer le réseau et finalement accéder à des serveurs clés.
Les attaquants ont d’abord obtenu l’accès au site via un poste de travail d’un développeur qu’ils ont ensuite utilisé pour compromettre l’application TeamViewer installée sur son ordinateur. De là, ils ont installé des keyloggers (enregistreurs de frappe) dans tout le réseau qui leur ont permis de voler les informations d’identification et d’obtenir des privilèges administratifs pour les serveurs clés utilisant le protocole RDP (Remote Desktop Protocol).
Ils ont ensuite remplacé la version authentique du logiciel par une version malveillante qui a finalement été téléchargée par 2,3 millions d’utilisateurs.
Ce n’est qu’un mois après l’installation du malware que les chercheurs de Cisco Talos ont détecté la version malveillante du logiciel et en ont informé la société mère, Avast. Le malware a été conçu pour fonctionner en deux étapes.
La première consistait à recueillir des informations sur les ordinateurs ayant téléchargé le code, comme le nom de l’ordinateur, la version du système d’exploitation, l’adresse MAC et les processus actifs.
Heureusement, le malware a été découvert avant que la deuxième étape n’ait pu être mise en œuvre, bien que son intention n’ait pas été claire. Considérant qu’il y a eu plus de deux milliards de téléchargements de CCleaner depuis sa création, les conséquences possibles auraient pu être terribles.
Attaque de malwares de la chaîne d’approvisionnement
Ce n’est pas la première fois que les pirates informatiques tirent parti d’une attaque malveillante de la chaîne d’approvisionnement.
Il y a deux mois, des chercheurs en sécurité informatique de plusieurs organisations ont publié une analyse complète de la façon dont les pirates ont infiltré la société ukrainienne de logiciels de comptabilité Medoc.
Cette attaque a permis d’injecter un code malveillant dans les futures mises à jour logicielles de la société et qui étaient en attente de distribution. Les clients du Médoc, qui représentent environ 80 % des entreprises ukrainiennes, ont ensuite téléchargé ces mises à jour.
Quelques mois plus tard, le code téléchargé a été utilisé pour lancer l’attaque NotPetya, laquelle a perturbé les entreprises de services publics et les entreprises publiques ukrainiennes, avant de se propager dans le monde.
L’année dernière, Kaspersky Labs a publié sur Wired Magazine deux autres exemples dans lesquels des malwares ont été largement diffusés par le biais de mises à jour logicielles, incluant une société de logiciels financiers ainsi qu’un fabricant de logiciels pour ATM.
Dès 2012, une souche de malwares de cyberespionnage appelée Flame a exploité une faille de l’autorité de certification des services terminaux de l’entreprise.
Armées de faux certificats, les machines infectées dans un réseau ciblé pourraient tromper les PC Windows et les amener à accepter un fichier malveillant comme une mise à jour de Microsoft.
Manipulation de systèmes pour la livraison de malwares
L’ironie de ce type de piratage est troublante, car de nombreuses attaques peuvent actuellement profiter des ordinateurs, serveurs et périphériques réseau qui ne sont pas correctement mis à jour.
Les professionnels de la cybersécurité continuent de souligner l’importance de maintenir tous les dispositifs à jour comme l’un des principaux moyens de renforcer la sécurité. Par conséquent, de nombreux utilisateurs et administrateurs configurent leurs appareils pour une mise à jour automatique.
Si le public commençait à perdre confiance vis-à-vis des mises à jour logicielles, de plus en plus de machines pourraient rester vulnérables. En fin de compte, c’est peut-être le véritable objectif de la communauté des hackers.
Plus tôt cet été, l’American Civil Liberties Union (ACLU) a publié un rapport intitulé « How Malicious Software Updates Endanger Everyone ? ». Le rapport résume la façon dont les agents gouvernementaux peuvent tenter de forcer les développeurs de logiciels à créer ou à installer du code malveillant dans les mises à jour de logiciels pour des applications légitimes.
Selon cette organisation, il est probable que les acteurs gouvernementaux tentent de forcer les fabricants de logiciels à mettre à jour leurs logiciels, en considérant les malwares conçus pour obtenir des données à partir d’appareils ciblés, car de plus en plus d’entreprises sécurisent les données de leurs utilisateurs par chiffrement.
Par exemple, Apple a récemment comblé une lacune technique que les organismes d’application de la loi utilisaient couramment pour extraire les données de l’iPhone. Après avoir refusé d’aider le FBI à ouvrir un iPhone verrouillé pour faciliter l’enquête sur un tueur en série, le FBI a trouvé une alternative en accédant à l’appareil par son port de chargement et de données. Apple a comblé cette lacune en exigeant le mot de passe de l’utilisateur pour accéder au port et pour transférer les données.
La question est de savoir si le gouvernement, disposant des droits d’accès aux appareils personnels, est à nouveau sous les feux de la rampe. À mesure que les entreprises supprimeront d’autres échappatoires technologiques, les forces de l’ordre seront de plus en plus soumises à des pressions pour trouver d’autres vulnérabilités à exploiter.
Il existe un risque réel que la confiance du public à l’égard des mises à jour logicielles soit perdue et que les systèmes soient mis à jour moins fréquemment en raison de l’exploitation par des pirates.
Enfin, la méthode la plus simple pour éviter le téléchargement de malwares lors de la mise à jour de vos programmes est d’éviter les options de mises à jour automatiques. Au lieu de cela, vous devriez les activer pour qu’elles puissent vous avertir lorsqu’une mise à jour est disponible.
Et lorsque vous devez le faire, il est recommandé de télécharger uniquement la mise à jour proposée par le développeur du logiciel.
