Ces dernières années ont vu l’explosion d’outils de gestion de la sécurité des identités visant à protéger les utilisateurs contre tout un arsenal de techniques d’identification et de vol de mots de passe, notamment les méthodes par force brute ou bien les outils permettant l’enregistrement des frappes au clavier (« keylogging »). Malgré l’indéniable valeur ajoutée de telles solutions, les experts en sécurité sont unanimes : elles ne suffisent pas à assurer une protection complète. Il existe en effet une technique relativement simple pour obtenir un accès non autorisé sans identifiants et sans risque de déclencher une demande d’authentification multi-facteurs (MFA) : le détournement de sessions web par vol de cookies.
Par Ketty Cassamajor, Directrice Avant-Vente Europe du Sud chez CyberArk
Le vol de cookies : comment et à quelles fins ?
Les logiciels voleurs d’informations (« infostealers ») fonctionnent selon différents principes. Les techniques les plus souvent observées ne visent généralement pas une personne en particulier, mais plutôt un large public. Les trois principales méthodes d’infection sont le phishing, le malvertising (c’est-à-dire la diffusion via des publicités malveillantes sur des sites populaires comme Google et Facebook) ou encore la dissimulation dans des logiciels illégaux, tels que les programmes crackés ou des applications permettant de tricher à certains jeux.
Le logiciel malveillant s’active dès que l’utilisateur ouvre la pièce jointe à l’e-mail de phishing ou exécute le programme téléchargé. Les hackers ciblent généralement diverses données de connexion et de session en fonction des applications. Il faut savoir que l’accès à la plupart des données d’application ne nécessite pas de privilèges élevés, ce qui permet le vol d’éléments tels que les cookies sans qu’une exécution en mode administrateur ne soit nécessaire. Une fois toutes les données collectées, elles sont envoyées à un serveur de commande et de contrôle (C&C) que les hackers peuvent consulter et utiliser comme bon leur semble. Le plus souvent, les données volées sont exportées du serveur afin d’être vendues sur divers forums ou sur le Dark Web.
Un infostealer peut avoir un impact très variable. Pour les entreprises, l’aspect le plus préoccupant de ce type d’attaque est la revente d’identifiants à des groupes malveillants qui pourront ainsi lancer des opérations plus ciblées et plus difficiles à contrer. Les pires cas sont ceux où des hackers accèdent à la base de code d’une entreprise ou à son service client, puis s’en servent pour lancer des attaques contre la chaîne d’approvisionnement, avec des effets en cascade sur de nombreux partenaires.
Par ailleurs, les cookies volés peuvent servir de points d’accès initiaux pour les opérateurs de rançongiciels. Les entreprises verront alors certaines données volées divulguées sur le Dark Web, tandis que leur activité sera paralysée par le chiffrement d’autres données au niveau de leur propre réseau.
Enfin, un vol de fonds peut aussi se produire lorsque les hackers obtiennent l’accès à des systèmes de paiement ou à des applications de cryptomonnaie. De nombreux attaquants exploitent également l’accès à des comptes de réseaux sociaux réputés pour diffuser des escroqueries basées sur des cryptomonnaies.
Quid de la détection des logiciels voleurs d’informations ?
Le nombre de victimes ciblées par les groupes spécialisés dans les rançongiciels est relativement facile à mesurer car ces groupes créent généralement des sites pour y divulguer les données résultant de leurs opérations. Ce recensement est plus difficile à réaliser pour les victimes des logiciels voleurs d’informations car leurs auteurs sont bien plus discrets. Au lieu de publier des données volées sur un site, ces derniers utilisent divers forums pour mettre en vente les journaux sur lesquels ils ont réussi à mettre la main. Mais l’analyse de ces journaux soulève plusieurs difficultés : d’une part, la plupart ne contiennent aucune information sur le logiciel utilisé pour les voler, et d’autre part, l’accès à ces journaux volés peut engendrer des implications légales problématiques.
Pour toutes ces raisons, la majorité des experts a recours à la télémétrie de détection pour identifier les logiciels voleurs d’informations les plus efficaces. Malheureusement, cette méthode n’est pas toujours optimale. Dans la mesure où il est beaucoup plus facile d’identifier le profil d’action d’un logiciel voleur d’informations que de déterminer le logiciel spécifique utilisé, la plupart des moteurs de détection identifient le logiciel malveillant comme un « voleur générique » ou soulignent une identification à la fiabilité douteuse.
On pourrait croire que les logiciels malveillants les plus performants ne sont jamais détectés. Mais la réalité relève souvent du jeu du chat et de la souris. Chaque fois que le nombre de détections est élevé pour un malware, ses développeurs le remplacent par une version modifiée. Or la disparition de l’ancienne version, sitôt observée, conduit les éditeurs de solutions de sécurité à mettre à jour leur logique de détection. Le nombre d’éditeurs qui détectent un logiciel malveillant en particulier peut donc varier, mais les chiffres moyens pour les différentes familles de malwares restent globalement homogènes. Par conséquent, un logiciel malveillant spécifique efficace sera souvent détecté plus fréquemment à travers le monde.
Quelles sont les informations les plus ciblées ?
Outre les cookies, les logiciels voleurs d’informations accèdent souvent à plusieurs autres fichiers importants du navigateur, tel que le fichier « Local State ».
Les cookies et autres données de navigation étant considérés comme des informations sensibles, le navigateur chiffre une grande partie de leur contenu. Seul problème : le navigateur doit également stocker la clé de chiffrement pour accéder à ces données. Or, cette clé est conservée dans le fichier « Local State », ce qui en fait une cible de choix pour les nombreux cybercriminels capables de déjouer le mécanisme Windows DPAPI censé en assurer la protection.
Un autre fichier essentiel est le « Login Data ». Comme son nom l’indique, il contient les données de connexion stockées par le navigateur. Ces dernières comprennent généralement des éléments tels que les noms d’utilisateur et les mots de passe, ce qui signifie que les hackers peuvent obtenir un accès même en l’absence de cookies partout où la MFA est désactivée.
Outre les données du navigateur, les logiciels voleurs d’information ciblent souvent certaines applications d’ordinateurs de bureau, telles que Telegram, Discord et Steam. Enfin, certains logiciels peuvent également être configurés pour cibler n’importe quel dossier sur les machines des victimes en vue d’accéder à d’autres documents sensibles.
Comment se prémunir ?
La plupart des logiciels voleurs d’informations se propage par interaction avec des utilisateurs. Il est donc essentiel de sensibiliser ces derniers à ce risque. De nombreuses entreprises organisent régulièrement des simulations d’hameçonnage pour renforcer la vigilance de leurs salariés dans leurs pratiques en matière d’e-mails, ce qui est déjà un bon début. Mais il est également conseillé de communiquer sur les risques liés au téléchargement de logiciels à partir de publicités, aux logiciels piratés et aux applications permettant de tricher à certains jeux. Il serait judicieux de mettre en place une politique empêchant les salariés d’utiliser leur messagerie e-mail personnelle sur les postes de l’entreprise, puisque cette pratique peut permettre à des attaquants ayant accès à des comptes personnels de s’introduire dans les services de l’entreprise, comme cela s’est produit lors de l’incident récent subi par Okta. Des solutions de type EDR et EPM peuvent aussi être déployées pour empêcher les logiciels malveillants de s’exécuter et d’accéder aux cookies en premier lieu.
A l’heure où plus personne n’ignore l’importance de protéger ses identités numériques, les logiciels malveillants disposent toujours d’une méthode accessible pour contourner la plupart des types de protection. On peut désormais tout se procurer sur les marketplaces de la cybercriminalité, des kits de phishing aux logiciels voleurs d’informations. Il est donc très facile à n’importe quel hacker d’acquérir un outil correspondant à l’une des étapes du processus pour être en mesure de causer d’énormes dégâts à une entreprise. Il convient donc de rester vigilants et de veiller à faire observer les bonnes pratiques de sécurité pour se protéger contre le vol d’identifiants et de cookies.
