Analyse

Le maliciel : un outil de déstabilisation

Le 3 janvier 2023 par Ronan Le Goascogne

Les entreprises ne sont jamais à l’abri d’une cyberattaque. Exploitant une erreur humaine, c’est grâce à des maliciels que le cyberattaquant pénètre dans le système informatique. Cependant, les maliciels ne sont pas uniquement utilisés à des fins malveillantes, bien au contraire. Tout réside en réalité dans l’intention de l’utilisateur.

Le mot français maliciel est le résultat de la contraction des mots « malveillant» et « logiciel » (issu de l’anglais malware venant lui-même de malicious software). Le logiciel malveillant est conçu pour infiltrer et/ou endommager un système informatique comme un appareil mobile. La majorité du temps, le maliciel permet au cybercriminel de s’emparer de données personnelles ou de données d’entreprise. Néanmoins, ce dernier peut aussi utiliser ce logiciel afin de mener d’autres activités criminelles (prise de contrôle d’un appareil, de logiciels, d’applications, etc...).

Les maliciels les plus courants sont les virus informatiques, les vers, les chevaux de Troie, les logiciels espions et les logiciels publicitaires. Le fait d’apparaître crédible est le point clé de ces derniers pour attirer leurs cibles. Ainsi, le lanceur de maliciel est un expert dans la contrefaçon de fichiers ou de programmes, par exemple d’un logiciel antivirus. Tous ne vont pas infecter directement : certains redirigent discrètement et automatiquement vers un site web infecté lorsqu’une recherche est lancée afin de pénétrer un système.

La quasi-totalité des attaques qui visent les particuliers proviennent ainsi de fichiers qui sont téléchargés à l’insu ou non de l’utilisateur. Beaucoup proviennent d’un mail, d’un lien contenu dans un mail ou dans un message texte sur lequel l’utilisateur a cliqué. De plus, certaines publicités ou liens sur un site internet peuvent aussi emmener sur une page corrompue, ouvrant la porte au malware. Pour être plus précis, certains sites webs utilisent des failles dans les navigateurs leur permettant d’exécuter du code (ce qui revient tout de même à faire télécharger un fichier, puis à l’exécuter). Pour finir, certains maliciels lancent des attaques « zéro fichier » (fileless malware). D’apparence légitime, le maliciel infecte un ordinateur mais il ne repose sur aucun fichier, ne laissant donc aucune empreinte. Il est ainsi extrêmement difficile à détecter et à supprimer.

 

Les maliciels les plus répandus

Quelques grands types de maliciels ont été nommés précédemment mais il est important de connaître le fonctionnement des plus répandus afin de pouvoir s’en protéger. Tout d’abord, le cheval de Troie est un logiciel qui peut parfois être légitime en apparence, et qui est destiné à effectuer une fonction précise. Une fois installé sur l’ordinateur, il se maintient sur le système et permet d’intercepter des informations ou de télécharger des données, voire des logiciels, sur l’appareil cible. À titre d’exemple, dès août 2020, le célèbre cheval de Troie Emotet avait pénétré de nombreux systèmes d’institutions publiques, comme la messagerie d’Orléans Métropole ou celles de certaines académies de l’Éducation nationale et d’entreprises comme Airbus. C’est notamment par le détournement d’adresse e-mails et l’envoi massif d’un e-mail générique qu’il s’est autant étendu. 

Le logiciel espion récolte des informations à l’insu de l’utilisateur. Il surveille également régulièrement les sites internet que visite l’utilisateur et les produits qu’il achète en ligne. L’exemple le plus connu est le logiciel Pegasus développé depuis 2011 par la société israélienne privée NSO Group. Censé lutter contre le terrorisme et le crime organisé, Pegasus a infesté les téléphones portables de hauts responsables politiques (des hauts fonctionnaires de l’Union européenne ont été ciblés) et y a mené des attaques « zéro clic ». Ce dernier passe ainsi automatiquement au travers de messageries sécurisées (comme Signal) et peut même activer/désactiver la caméra ainsi que le micro. 

Le scareware (alarmiciel en français, aussi connu sous les noms de rogue ou de logiciel de sécurité non autorisé) est un programme malveillant dont le but est de vous amener à visiter un site web infesté de programmes malveillants. Ces derniers font notamment usage de l’ingénierie sociale pour convaincre la victime de cliquer afin d’aller sur un site web infecté : c’est ce que l’on appelle l’« arnaque aux faux supports techniques » (tech support scam). La victime est alors convaincue de payer un pseudo dépannage informatique et/ou un logiciel de protection. Le but recherché ici est évident : l’argent. 

Sur cet aspect financier, il est important de rappeler l’existence de rançongiciel (ransomware), logiciel qui prend en otage et chiffre des données personnelles, qu’il est ensuite possible de déchiffrer par une clé vendue à différents prix (si elle est envoyée après paiement). Ce sont les attaques les plus courantes et la plus connue reste à ce jour celle de Colonial Pipeline en mai 2021. L’entreprise, qui alimente le sud-est des États-Unis en essence et en kérosène, a été forcée par le ransomware à fermer le système informatique gérant la pipeline. Cela a eu pour effet de ralentir grandement le fonctionnement de la société civile, et l’entreprise s’est résignée à payer 4,4 millions de dollars afin de pouvoir rétablir son activité.     

 

Déstabilisation du banditisme : le maliciel Anom et l’opération « Bouclier de Troie »

Le maliciel, par son nom, apparaît comme foncièrement mauvais. Néanmoins, il peut aussi être utilisé pour le bien commun. C’est ainsi que le mardi 08 juin 2021, est tombé un communiqué du FBI indiquant que de nombreuses arrestations avaient eu lieu dans 18 pays dans le monde la veille et le matin même. Ces personnes étaient principalement des membres de la pègre. Ainsi, en Australie, ce n’est pas moins de 224 personnes qui furent arrêtées dans une opération impliquant plus de 4 000 policiers (selon l’AFP, l’Australian Federal Police). L’opération, nommée Operation Ironside, se fit grâce à un malware appelé Anom, incorporé dans une application de messagerie chiffrée très utilisée par les criminels. Les forces de l’ordre ont pu, grâce au maliciel, décrypter, sur trois ans, des messages parlant de complots, d’assassinats, de trafics de drogue de masse et de distribution d’armes à feu.

 

L’idée de l’opération serait née d’une discussion entre l’AFP et le FBI vers 2018. Les forces de l’ordre venaient d’arrêter les développeurs de l’application, et avaient mis la main sur quelques appareils mobiles modifiés. C’est là qu’elles eurent l’idée de se servir du matériel capturé. À l’application Anom est ajouté un programme, une « porte dérobée », soit un agent logiciel qui contourne l’authentification d’accès normal et qui permet l’accès à distance d’informations privées dans une application sans que le « propriétaire » de l’information en soit informé. Ainsi, les forces de l’ordre pouvaient décrypter en continu les messages envoyés.

Cependant, une fois le logiciel développé, il fallait bien le populariser au sein de la pègre. Anom tombait bien. Depuis la fin de « Phantom Secure », un autre système de communications cryptées, et le démantèlement retentissant d’un troisième, « Sky Global », le marché de la messagerie chiffrée était vide d’offres. Le FBI a donc pu combler la demande. Les agents infiltrés parmi la pègre ont permis à l’application de se faire une première renommée dans le milieu du banditisme, puis les appareils mobiles préchargés avec Anom ont été vendus pour 2 000 dollars sur le marché noir. Ces téléphones étaient loin d’être aussi polyvalents que les smartphones actuels, puisqu’ils ne pouvaient qu’envoyer et recevoir des messages, passer des appels vocaux déformés ainsi qu’enregistrer des vidéos. Pour accéder au service de messagerie, il fallait taper un code sur l’application calculatrice, code transmis par un autre utilisateur d’Anom. Ainsi, « un criminel devait connaître un autre criminel pour obtenir ce matériel ». Enfin, les messages ne pouvaient être envoyés que d’un utilisateur d’Anom à un autre, expliquant pourquoi l’application se popularisa si vite.

Ce service marcha si bien qu’on comptabilise entre 25 à 27 millions de messages cryptés écoutés et déchiffrés durant les trois années de fonctionnement d’Anom. Cette collecte se fit grâce aux 12 000 terminaux appartenant à pas loin de 300 réseaux criminels répartis dans plus de 100 pays. Cette popularité bien visible est aussi due à la confiance dans la légitimité de l’application, légitimité instaurée par l’utilisation de l’application par de grandes figures du crime organisé, qui se portaient d’ailleurs garantes de son intégrité. Dans le même temps, des rumeurs sur la prétendue vulnérabilité d’un système concurrent baptisé « Ciphr » étaient lancées par les forces de l’ordre, poussant de plus en plus d’utilisateurs vers Anom. Au total, ce sont 11 800 appareils qui ont été distribués, et ce, sur tous les continents. Les pays qui en ont reçu le plus étaient l’Australie, l’Espagne, l’Allemagne et les Pays-Bas.

 

On pourrait croire que le plan se déroula sans accroc. Or, l’une des principales difficultés pour les forces de l’ordre fut de faire correspondre les conversations à l’identité de ceux conversant car Anom était achetée de manière anonyme et payée en Bitcoin. Les transactions, sécurisées, ne pouvaient donc être tracées. Cela explique la durée de l’opération, trois années étant nécessaires pour permettre d’identifier les auteurs des messages et d’avoir les preuves nécessaires pour les futurs procès. En mars 2021, un blogueur écrivit en détails sur les failles de sécurité d’Anom, présentant l’application comme un dispositif lié à l’Australie, aux États-Unis et aux autres membres de l’alliance de renseignements des Five Eyes (alliance des services de renseignement de l’Australie, du Canada, de la Nouvelle-Zélande, du Royaume-Uni et des États-Unis). Ce post fut alors supprimé dans l’urgence afin qu’il n’entrave pas l’opération.

C’est bien là que réside toute la complexité de cette opération : le FBI et l’AFP sont certes les deux principaux participants de l’opération mais cette dernière prit vite des proportions internationales. En témoigne les différents noms de l’opération : Trojan Shield aux États-Unis, « Bouclier de Troie » en France, Greenlight en Europe ou encore IronSide en Australie. Ces trois années permirent la saisie de 8 tonnes de cocaïne, 8 tonnes de drogues de synthèse (amphétamine et méthamphétamine) avec les composés utilisés dans leur fabrication, 22 tonnes de cannabis ainsi que de 250 armes à feu, 55 véhicules de luxe et plus de 48 millions de dollars (sous la forme de diverses devises et crypto-monnaies).

À travers le globe, les polices du monde ne tarissent pas d’éloges à propos de cette opération dite « historique », « exceptionnelle », « jamais vue » ou encore « la plus sophistiquée ». Ce sont au total 800 criminels qui furent arrêtés le lundi 08 juin et le mardi 09 juin 2021. Rien qu’en Australie, 224 personnes ont été inculpées pour plus de 500 chefs d’accusation. Au passage, six laboratoires de fabrication de drogue ont été fermés, beaucoup d’armes et 45 millions de dollars australiens (soit 29 millions d’euros) en liquide ont été saisis. En Europe, la Suède a déclaré avoir arrêté 155 personnes et la Finlande 100, et ce notamment grâce à la participation d’Europol à l’opération.

 

Les chiffres de l’opération sont astronomiques : 18 pays impliqués, des millions de messages analysés depuis 2018. Certaines informations et images sont même disponibles au grand public. Ces messages recueillis ont permis, en plus d’arrêter de grands noms de la pègre, d’avoir les preuves nécessaires pour les inculper. Nul doute que cette opération a porté un coup dur au monde criminel mondial. Pour couronner le tout, plus de 100 menaces mortelles furent aussi déjouées selon le FBI, le maliciel Anom sauvant ainsi de nombreuses vies.


 

Se protéger des maliciels demande surtout de surveiller ce que l’on télécharge, et de quelles plateformes le téléchargement est fait. En cas d’attaque par un maliciel, il est possible, sur cybermalveillance.gouv.fr, de lancer un diagnostic et consulter des fiches explicatives afin de mieux se protéger et savoir comment réagir. Il est aussi recommandé de visiter le site de l’ANSSI afin de savoir comment appréhender au mieux les différentes menaces pesant sur ses données personnelles et son système informatique. Les entreprises doivent aussi accroître leur sécurité, puisque la moitié des PME cyberattaquées font faillite au bout de six mois (souvent après avoir payé une rançon). 

Finalement, le plus important dans une situation de pénétration du système est de garder son sang-froid, de bien analyser la situation, se renseigner sur le type de maliciel que l’on affronte, et enfin comment l’arrêter et s’en protéger au mieux.

 

Ronan Le Goascogne

 

Pour aller plus loin :