Une porte dérobée désigne toute technique permettant de contourner les mécanismes d’authentification ou de chiffrement habituels d’un dispositif. Il est crucial de comprendre comment se prémunir contre les attaques de virus utilisant ces portes dérobées.
Une porte dérobée établit un accès alternatif à un appareil, un réseau ou un logiciel, offrant un accès à distance à des ressources comme des bases de données et des serveurs de fichiers.
Les pirates scrutent le web à la recherche d’applications vulnérables qu’ils exploitent pour implanter des virus de type porte dérobée. Une fois inséré dans votre appareil, un tel virus peut s’avérer difficile à repérer, car les fichiers concernés sont souvent dissimulés.
La présence d’une porte dérobée sur votre appareil donne aux cybercriminels la possibilité d’effectuer à distance diverses actions malveillantes telles que :
- Surveillance
- Piratage de l’appareil
- Installation de logiciels nuisibles
- Vol de données financières
- Usurpation d’identité
Comment les attaques de virus par porte dérobée sont-elles menées ?
Une porte dérobée peut être introduite de manière légitime par les concepteurs de logiciels et de matériel, afin de faciliter l’accès à leurs applications pour des fonctions telles que la correction de problèmes techniques.
Cependant, la plupart du temps, les portes dérobées sont installées par des cybercriminels dans le but d’obtenir un accès illégal à un appareil, un réseau ou une application.
Pour parvenir à installer un virus de porte dérobée sur votre appareil, les cybercriminels doivent d’abord repérer une faille (vulnérabilité du système) ou une application compromise.
Parmi les vulnérabilités courantes du système, on trouve :
- Logiciels non mis à jour
- Ports réseau ouverts
- Mots de passe faibles
- Pare-feu inefficaces
Les vulnérabilités peuvent également être créées par des logiciels malveillants, tels que les chevaux de Troie. Les pirates exploitent les chevaux de Troie présents sur un appareil pour créer des portes dérobées.
Un cheval de Troie est un type de logiciel malveillant qui se présente souvent sous l’apparence d’un logiciel légitime, dans le but de dérober des données ou d’installer une porte dérobée. En utilisant des techniques d’ingénierie sociale, il incite les utilisateurs à télécharger et à ouvrir ce programme malveillant sur leurs appareils.
Une fois activé, un cheval de Troie de porte dérobée permet aux pirates de prendre le contrôle à distance de l’appareil infecté. Ils peuvent ainsi effectuer des actions nuisibles variées, notamment le vol, la réception et la suppression de fichiers, le redémarrage de l’appareil et l’installation d’autres logiciels malveillants.
Après avoir compromis votre ordinateur via une infection par porte dérobée, les cybercriminels chercheront à s’assurer de pouvoir y accéder de nouveau facilement – que ce soit pour subtiliser vos informations, installer un logiciel de minage de cryptomonnaie, détourner votre appareil ou saboter votre entreprise.
Les pirates savent qu’il peut être compliqué de compromettre à plusieurs reprises un appareil, surtout si la vulnérabilité est corrigée. C’est pourquoi ils installent un code, appelé porte dérobée, sur l’appareil cible. Ainsi, même si la vulnérabilité est corrigée, la porte dérobée reste active et leur permet d’accéder de nouveau à l’appareil.
Comment les pirates utilisent-ils les attaques de virus par portes dérobées aujourd’hui ?
Les pirates accèdent à votre appareil grâce à diverses méthodes d’intrusion par porte dérobée, telles que la liaison de port, la méthode de reconnexion, l’exploitation de la disponibilité de connexion et la méthode de protocole de service standard – des techniques souvent complexes qui consistent à manipuler votre appareil, votre pare-feu et votre réseau.
Une fois le virus de la porte dérobée installé, les pirates peuvent mettre en œuvre des actions malveillantes, telles que :
- Logiciels de rançon : il s’agit de logiciels malveillants qui infectent votre appareil et vous empêchent d’accéder à vos fichiers personnels tant que vous n’avez pas versé une rançon, souvent en bitcoins.
- Attaques DDoS (Déni de Service Distribué) : il s’agit de tentatives malveillantes visant à perturber et à rendre un site Web ou un service en ligne inaccessible en le submergeant de trafic, provoquant ainsi son dysfonctionnement. Ce trafic peut comprendre des demandes de connexion, des faux paquets et des messages entrants.
- Les logiciels espions s’infiltrent dans votre appareil, collectant diverses données, notamment vos informations personnelles, telles que vos données bancaires, vos habitudes de navigation, vos noms d’utilisateur et vos mots de passe.
- Cryptojacking, aussi appelé minage de cryptomonnaie malveillant, est une menace en ligne qui se cache dans votre ordinateur ou votre téléphone et utilise ses ressources à votre insu pour extraire des devises numériques comme le bitcoin au profit d’une autre personne.
Exemples concrets d’attaques par portes dérobées réussies
#1. Piratage de la chaîne YouTube de MarcoStyle
En 2019, un Youtubeur nommé MarcoStyle a été victime d’un piratage après avoir répondu à un courriel d’une entreprise souhaitant faire de la publicité sur sa chaîne. L’entreprise paraissait légitime, mais en cliquant sur un lien inclus dans l’e-mail, Marco a permis à un installateur de s’introduire dans son ordinateur. Il s’est rendu compte que quelque chose n’allait pas avec son PC presque immédiatement et a coupé l’alimentation, a procédé à une nouvelle installation de Windows et a changé ses informations de connexion.
Malheureusement, les pirates avaient déjà accédé à son compte Google et ont retiré sa chaîne YouTube, forte de plus de 350 000 abonnés, de son Gmail.
Marco a alerté YouTube, mais sa chaîne a été vendue sur un site Web russe spécialisé dans les chaînes YouTube piratées. Les pirates ont modifié sa photo de profil et son nom, en le remplaçant par « Brad Garlinghouse », et ont supprimé toutes ses vidéos. Cinq jours plus tard, ils ont lancé une diffusion en direct au cours de laquelle ils ont dérobé environ 15 000 $ aux spectateurs de Marco.
Ils ont même réussi à obtenir la vérification de YouTube, ce que Marco avait tenté à plusieurs reprises sans succès. Il a fallu onze jours après le piratage pour que YouTube récupère la chaîne de Marco.
Cet incident illustre la manière dont les pirates utilisent les liens malveillants comme méthode courante pour installer des virus de porte dérobée sur les appareils.
#2. L’attaque du rançongiciel WannaCry
L’attaque de rançongiciel WannaCry de 2017 est probablement le meilleur exemple de la manière dont les pirates peuvent lancer une attaque de virus par porte dérobée sur une entreprise lorsque les correctifs ne sont pas appliqués.
L’attaque, qui a touché plus de 230 000 ordinateurs dans 150 pays, s’est propagée via EternalBlue, un exploit développé par la NSA pour les anciennes versions de Windows. Un groupe de pirates connu sous le nom de Shadow Brokers a dérobé EternalBlue, a installé la porte dérobée DoublePulsar, puis a chiffré les données et a exigé une rançon de 600 $ en bitcoins.
Microsoft avait publié un correctif pour protéger les utilisateurs contre cet exploit plusieurs mois auparavant, mais de nombreuses entreprises affectées, dont l’hôpital NHS, ne l’avaient pas appliqué. En quelques jours, des milliers d’opérations chirurgicales dans les hôpitaux du NHS au Royaume-Uni ont été interrompues, et des ambulances ont été redirigées, laissant des patients dans un état critique sans surveillance.
À la suite de l’attaque, 19 000 rendez-vous ont été annulés, entraînant un coût de 92 millions de livres sterling pour le NHS. On estime que l’attaque Wannacry a causé des pertes s’élevant à 4 milliards de dollars à travers le monde.
Quelques entreprises ayant payé la rançon ont récupéré leurs données, mais les études montrent que la plupart n’y sont pas parvenues.
#3. Attaque de porte dérobée SolarWinds Sunburst
Le 14 décembre 2020, des portes dérobées malveillantes, connues sous les noms de Sunburst et Supernova, ont été découvertes dans SolarWinds. SolarWinds est une importante entreprise de technologies de l’information basée aux États-Unis qui crée des logiciels pour aider les entreprises à gérer leurs réseaux, leurs systèmes et leur infrastructure informatique.
Des cybercriminels ont piraté les systèmes de SolarWinds basés au Texas et ont ajouté un code malveillant dans le logiciel Orion de l’entreprise, un système largement utilisé par les entreprises pour gérer les ressources informatiques.
Sans le savoir, SolarWinds a envoyé à ses clients des mises à jour logicielles Orion contenant du code malveillant. Lorsque les clients téléchargeaient les mises à jour, le code malveillant s’installait et créait une porte dérobée sur leurs appareils, que les pirates utilisaient pour les espionner.
SolarWinds a révélé que 18 000 de ses 300 000 clients ont été touchés par le logiciel Orion compromis. Les pertes assurées dues à l’attaque ont été estimées à 90 000 000 $, ce qui en fait l’une des attaques de cybersécurité les plus importantes de tous les temps.
#4. Portes dérobées découvertes sur des iPhones
Selon une étude menée en 2020 par l’Ohio State University, l’université de New York et le Helmholtz Center of Information Security, des milliers d’applications Android contiennent une porte dérobée. Sur les 150 000 applications testées, 12 705 présentaient un comportement suspect, révélant la présence d’une porte dérobée.
Les types de portes dérobées découverts incluaient des clés d’accès et des mots de passe principaux qui pourraient permettre le déverrouillage à distance de l’application et la réinitialisation du mot de passe de l’utilisateur. Certaines applications ont également été trouvées avec la capacité d’exécuter des commandes secrètes à distance.
Les portes dérobées dans les téléphones permettent aux cybercriminels et aux gouvernements de vous espionner facilement. Elles peuvent entraîner une perte totale de données et des dommages irréversibles au système.
Êtes-vous vulnérable aux attaques de virus par porte dérobée ?
Malheureusement, de nombreuses personnes présentent des faiblesses sur leurs comptes en ligne, leurs réseaux, voire sur leurs appareils Internet des objets (IoT), les rendant vulnérables aux attaques de virus par porte dérobée.
Voici différentes techniques que les pirates exploitent pour installer des portes dérobées sur les appareils des utilisateurs.
#1. Portes dérobées cachées/légitimes
Il arrive que les développeurs de logiciels installent délibérément des portes dérobées cachées afin d’avoir un accès à distance leur permettant d’effectuer des tâches légitimes, telles que le support client ou la correction de bugs logiciels. Les pirates sont à l’affût de ces portes dérobées pour obtenir un accès illégal au logiciel.
#2. Ports réseau ouverts
Les pirates recherchent les ports réseau ouverts, car ils peuvent accepter du trafic provenant de sites distants. Une fois qu’ils ont accédé à votre appareil via un port ouvert, ils laissent des portes dérobées qui leur permettent d’y accéder à plusieurs reprises sans être détectés.
Il est essentiel d’identifier les ports que vous souhaitez utiliser sur votre serveur, de les restreindre et de fermer ou de bloquer les ports qui ne sont pas utilisés, afin d’éviter qu’ils ne soient exposés sur Internet.
#3. Téléchargements de fichiers illimités
La plupart des serveurs web permettent de télécharger des images ou des fichiers PDF. Une vulnérabilité de porte dérobée apparaît lorsque vous n’imposez pas de restriction quant au type de fichier téléchargé.
Cela crée une porte dérobée qui permet aux cybercriminels de télécharger un code arbitraire sur le serveur Web, afin de pouvoir revenir à tout moment et exécuter la commande de leur choix. Le meilleur moyen de corriger cette vulnérabilité est de vérifier le type de fichier qu’un utilisateur peut télécharger avant de l’accepter.
#4. Injections de commande
L’injection de commande est une autre forme de vulnérabilité susceptible d’entraîner une attaque de virus par porte dérobée. Dans ce type d’attaque, le pirate vise à exécuter une commande sur l’appareil cible en exploitant une application Web vulnérable. Ce type d’infection par porte dérobée est difficile à détecter, car il n’est pas aisé de savoir lorsqu’un utilisateur malveillant tente d’attaquer un appareil.
Le moyen le plus efficace d’empêcher les vulnérabilités d’injection de commande est de mettre en place une validation rigoureuse des entrées utilisateur, afin d’empêcher les données malformées d’atteindre un système.
#5. Mots de passe faibles
Les mots de passe simples, comme votre date d’anniversaire ou le nom de votre premier animal de compagnie, sont faciles à déchiffrer pour les pirates. Pire encore, la plupart des gens utilisent le même mot de passe pour tous leurs comptes en ligne, ce qui signifie que si les pirates parviennent à obtenir le mot de passe d’un compte, il leur sera plus aisé de prendre le contrôle de tous vos autres comptes.
Les mots de passe faibles ou par défaut de vos appareils IoT sont également une cible facile pour les cybercriminels. S’ils parviennent à prendre le contrôle, par exemple, d’un routeur, ils peuvent récupérer le mot de passe Wi-Fi stocké sur l’appareil, ce qui peut avoir des conséquences graves, pouvant souvent conduire à des attaques DDoS.
Prenez le temps de mettre à jour le mot de passe par défaut de votre routeur et du Wi-Fi PSK et de modifier le mot de passe administrateur pour tous les appareils IoT de votre réseau.
Autres moyens de prévenir les attaques par porte dérobée
Une attaque de virus par porte dérobée peut passer inaperçue pendant une période prolongée, car elle est difficile à détecter – c’est ainsi que les pirates les conçoivent. Cependant, il est possible de prendre des mesures simples pour protéger votre appareil contre les attaques de virus par porte dérobée.
#1. Utiliser un antivirus
Un logiciel antivirus performant peut aider à détecter et à prévenir un grand nombre de logiciels malveillants, notamment les chevaux de Troie, les pirates informatiques, les logiciels espions et les rootkits, souvent utilisés par les cybercriminels pour lancer des attaques par porte dérobée.
Un bon antivirus comprend des fonctionnalités telles que la surveillance du Wi-Fi, un pare-feu perfectionné, la protection Web et la surveillance de la confidentialité du microphone et de la webcam, afin de garantir une protection maximale en ligne.
Votre logiciel antivirus pourra ainsi détecter et neutraliser une infection par porte dérobée avant qu’elle ne puisse infecter votre ordinateur.
#2. Télécharger avec prudence
Lors du téléchargement de logiciels, de fichiers ou d’applications, soyez attentif aux demandes d’autorisation d’installation d’applications groupées supplémentaires (gratuites). Il s’agit des PUA (Applications potentiellement indésirables) – des logiciels, fichiers et applications gratuits qui semblent légitimes, mais qui ne le sont pas. Ces applications sont souvent accompagnées d’un type de logiciel malveillant, y compris des virus de porte dérobée.
Envisagez d’installer un logiciel de sécurité en ligne avec détection de logiciels malveillants en temps réel et téléchargez toujours à partir de sites Web officiels, en évitant de cliquer sur des sites de téléchargement tiers (pirates).
#3. Utiliser des pare-feu
La plupart des logiciels antivirus sont équipés d’un pare-feu, qui peut aider à se protéger contre des attaques telles que les virus de porte dérobée.
Les pare-feu sont conçus pour surveiller tout le trafic entrant et sortant de votre réseau, afin de pouvoir filtrer les menaces.
Par exemple, un pare-feu peut détecter lorsqu’un utilisateur autorisé tente d’accéder à votre réseau ou à votre appareil et l’en empêcher. Les pare-feu peuvent également être configurés pour bloquer toute application sur votre appareil qui tente d’envoyer vos données sensibles vers un emplacement réseau inconnu.
#4. Utiliser un gestionnaire de mots de passe
Un gestionnaire de mots de passe peut vous aider à générer et à enregistrer les informations de connexion pour tous vos comptes, et à vous y connecter automatiquement.
Les gestionnaires de mots de passe utilisent un mot de passe principal pour chiffrer votre base de données de mots de passe, ce qui vous évite de saisir votre mot de passe, votre adresse électronique ou votre nom d’utilisateur à chaque fois. Il vous suffit d’enregistrer vos mots de passe dans le gestionnaire de mots de passe, puis de créer un mot de passe principal.
Lorsque vous vous connectez à l’un de vos comptes, il vous suffit de saisir le mot de passe principal, qui remplira automatiquement les données. De plus, la plupart des gestionnaires de mots de passe comportent une fonctionnalité qui vous avertit lorsque vos données ont été compromises et lorsque le mot de passe que vous utilisez a été trouvé dans une base de données d’informations d’utilisateur volées.
#5. Effectuer régulièrement les mises à jour/correctifs de sécurité
Les pirates profitent des failles ou des faiblesses connues d’un appareil ou d’un logiciel. Ces faiblesses peuvent être liées à un manque de mises à jour. Les statistiques montrent qu’une violation sur trois est causée par des vulnérabilités qui auraient déjà pu être corrigées.
Une autre étude révèle que 34 % (un professionnel de l’informatique sur trois) en Europe a déclaré que son entreprise avait subi une violation en raison d’une vulnérabilité non corrigée.
Heureusement, les développeurs de logiciels publient régulièrement de nouveaux correctifs pour combler les failles de leurs logiciels et incluent des paramètres de mise à jour automatique ou des notifications relatives aux mises à jour.
Activez les mises à jour automatiques, car il est essentiel de maintenir votre système d’exploitation à jour, les portes dérobées exploitant les vulnérabilités de votre système d’exploitation.
#6. Utiliser l’authentification multifacteur (AMF)
L’authentification multifacteur a pour objectif d’améliorer la sécurité en empêchant tout accès non autorisé.
Elle vous oblige à confirmer votre identité de plusieurs manières lorsque vous accédez à une application, un site Web ou un logiciel.
L’AMF utilise trois éléments essentiels pour prouver votre identité :
- Quelque chose que vous seul connaissez, comme un mot de passe ou un code PIN
- Quelque chose que vous seul possédez, comme un jeton ou votre smartphone
- Quelque chose qui est uniquement lié à vous, comme votre empreinte digitale, votre voix ou les traits de votre visage
Par exemple, lorsque vous vous connectez à un compte avec un mot de passe, vous pouvez recevoir une notification sur votre téléphone vous demandant d’appuyer sur votre écran pour valider la requête.
Vous pouvez également être amené à utiliser votre mot de passe et votre empreinte digitale ou l’iris de votre œil lors de la connexion à vos comptes.
Conclusion 👩🏫
Une fois installés sur votre appareil, les virus de porte dérobée peuvent s’avérer difficiles à détecter, car les fichiers concernés sont souvent dissimulés. De plus, ils permettent aux cybercriminels d’accéder à vos informations sensibles et d’installer d’autres formes de logiciels malveillants.
Heureusement, il existe des moyens de se protéger contre les attaques de virus par porte dérobée.
Par exemple, vous pouvez utiliser une solution anti-malware efficace, surveiller l’activité de votre réseau afin de détecter toute augmentation anormale de données causée par un intrus tentant de pirater votre appareil à l’aide d’une porte dérobée. Vous pouvez également utiliser des pare-feu pour bloquer toute connexion non autorisée à votre réseau.