SlideShare une entreprise Scribd logo

Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité

Télécharger en tant que DOCX, PDF
ITrust - Cybersecurity as a Service
ITrust - Cybersecurity as a Service

Chaque jour, plus de 400,000 nouveaux types de cyber-malveillances sont répertoriées par des analystes de sécurité. Cela veut dire que chaque minute, plus de 250 nouvelles armes sont lancées dans le cyber-espace. Parfois les modes opératoires utilisés par les pirates se ressemblent énormément les unes aux autres. D’autres fois, les blackhats font plus preuve d’originalité dans leur quête des territoires inconnus…

Logiciels
1  sur  2
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité Chaque jour, plus de 400,000 nouveaux types de cyber-malveillances sont répertoriées par des analystes de sécurité. Cela veut dire que chaque minute, plus de 250 nouvelles armes sont lancées dans le cyber-espace. Parfois les modes opératoires utilisés par les pirates se ressemblent énormément les unes aux autres. D’autres fois, les blackhats font plus preuve d’originalité dans leur quête des territoires inconnus… Un tel exemple est le malware Double Agent qui repose sur le mimétisme pour poursuivre son attaque. Ce maliciel suit parfaitement le dicton « si vous ne pouvez pas les vaincre, joignez-vous à eux » en se faisant passer pour un antivirus. Imaginez-vous le scénario suivant : vous êtes en train d’installer un antivirus afin de renforcer le niveau de sécurité de votre ordinateur. Ce que vous ne le savez pas encore est que cet outil soi- disant « de protection » ouvre une nouvelle porte aux pirates. En effet, les créateurs de Double Agent ne fuient pas les antivirus comme les autres pirates, bien au contraire ils s’en servent plutôt comme vecteur d’attaque. Découvert par une équipe de chercheurs de Cybellum, le maliciel réussit à manipuler les antivirus les plus connus sur l’ensemble des systèmes d’exploitation Windows (à partir de Windows XP jusqu’à au Windows 10 inclusivement). Sur la liste, vous trouverez des noms comme Avast, AVG, Avira, Bitdefender, Trend Micro, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Norton – pratiquement la plupart des antivirus existants sur le marché. Le maliciel a pu passer inaperçu pour la majorité des logiciels de sécurité grâce à une vulnérabilité critique découverte à peine il y a trois mois qui permet aux cyber-délinquants de prendre le contrôle total d’un ordinateur à distance. Un zero-day avec tolérance zéro Pour toute nouvelle application que nous souhaitons utiliser, une procédure de vérification est réalisée par le système Windows avant tout lancement proprement-dit de l’application. Ceci est le rôle de l’outil « Application Verifier » (AP). L’AP sert également aux développeurs pour identifier ou mettre à jour des applications défectueuses. La procédure commence d’abord par charger une DLL (Dynamic Link Library ; en français « bibliothèque de liens dynamiques ») fournie par Microsoft. Une fois enregistré sur la machine, Windows Loader intègre de manière automatique la DLL dans tous les processus concernés. À partir de ce moment, le système d’exploitation requiert le chargement automatique de la bibliothèque avant tout démarrage des applications qui en font appel. Mais que se passerait-il si quelqu’un arrive à remplacer une DLL officielle par une DLL malicieuse ? Dans ce cas, elle sera intégrée directement dans tous les processus dépendants de cette bibliothèque sans se faire détecter par le système. Il ne reste qu’un pas pour prendre le contrôle de l’application et la rendre malicieuse (voir le PoC de l’attaque Double Agent sur GitHub ici). En plus de détourner le bon fonctionnement des antivirus, cette technique donne la possibilité d’installer une porte dérobée sur le système cible et d’extraire même les données personnelles de l’utilisateur.
Comment réagir face à la neutralisation de votre antivirus Alors que les résultats trouvés par les analystes de sécurité sont sans doute effrayants, il faut souligner que l’exploit nécessiterait des privilèges d’administrateurs pour mener l’attaque. C’est probablement pourquoi ce vecteur est fortement surestimé par les géants fournisseurs d’antivirus. En effet, nous pouvons toujours restreindre les privilèges locaux sur la machine, en utilisant le système d’exploitation avec un compte d’utilisateur standard plutôt que d’administrateur. C’est une stratégie qui devrait atténuer ou rendre extrêmement difficile l’exploitation réussie. Cependant, une attaque de type Double Agent restera toujours possible, même si trop peu probable. Pourquoi s’intéresser au sujet dans ce cas ? La réponse nous semble évidente : car il est de notre devoir de considérer sérieusement même les situations les plus improbables. En un mot, il faudra peut-être arrêter de croire aveuglément dans les capacités des solutions de sécurité traditionnelles. Comme cela s’observe, même votre propre antivirus peut devenir d’un jour au lendemain un malware féroce. Pour éviter cet effet indésirable, il faudra faire appel à des outils et à des procédures complémentaires d’analyse (lire ici notre précédent article sur « Comment gérer les effets secondaires des antivirus »). Liens : https://www.reveelium.com/fr/double-agent-tricks-antivirus/ https://www.itrust.fr/double-agent-zero-day/

Recommandé

Rapport Threat Intelligence Check Point du 20 juin 2016
Rapport Threat Intelligence Check Point du 20 juin 2016Rapport Threat Intelligence Check Point du 20 juin 2016
Rapport Threat Intelligence Check Point du 20 juin 2016Blandine Delaporte
 
Pourquoi les antivirus ne sont pas vos amis
Pourquoi les antivirus ne sont pas vos amisPourquoi les antivirus ne sont pas vos amis
Pourquoi les antivirus ne sont pas vos amisPrénom Nom de famille
 
Annexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les HoneyclientsAnnexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les HoneyclientsMohamed Ben Bouzid
 
Comment gérer les effets secondaires des antivirus
Comment gérer les effets secondaires des antivirusComment gérer les effets secondaires des antivirus
Comment gérer les effets secondaires des antivirusITrust - Cybersecurity as a Service
 
Fortinet mathieu nantel
Fortinet mathieu nantelFortinet mathieu nantel
Fortinet mathieu nantelColloqueRISQ
 
Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016Blandine Delaporte
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012jedjenderedjian
 

Recommandé

Rapport Threat Intelligence Check Point du 20 juin 2016
Rapport Threat Intelligence Check Point du 20 juin 2016Rapport Threat Intelligence Check Point du 20 juin 2016
Rapport Threat Intelligence Check Point du 20 juin 2016Blandine Delaporte
 
Pourquoi les antivirus ne sont pas vos amis
Pourquoi les antivirus ne sont pas vos amisPourquoi les antivirus ne sont pas vos amis
Pourquoi les antivirus ne sont pas vos amisPrénom Nom de famille
 
Annexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les HoneyclientsAnnexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les HoneyclientsMohamed Ben Bouzid
 
Comment gérer les effets secondaires des antivirus
Comment gérer les effets secondaires des antivirusComment gérer les effets secondaires des antivirus
Comment gérer les effets secondaires des antivirusITrust - Cybersecurity as a Service
 
Fortinet mathieu nantel
Fortinet mathieu nantelFortinet mathieu nantel
Fortinet mathieu nantelColloqueRISQ
 
Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016Blandine Delaporte
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012Soutenance de fin d’étude promotion srs 2012
Soutenance de fin d’étude promotion srs 2012jedjenderedjian
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatifLeClubQualiteLogicielle
 
Sandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentesSandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentese-Xpert Solutions SA
 
IKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRITrust - Cybersecurity as a Service
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
 
Ubuntu est il un système sécuritairement sain PDF
Ubuntu est il un système sécuritairement sain PDFUbuntu est il un système sécuritairement sain PDF
Ubuntu est il un système sécuritairement sain PDFMohamed Ben Bouzid
 
APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?ITrust - Cybersecurity as a Service
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Profasser
 
Sensibilisation à la sécurité
Sensibilisation à la sécurité Sensibilisation à la sécurité
Sensibilisation à la sécurité Thibault Tim
 
L'antivirus ne fait pas partie des meubles
L'antivirus ne fait pas partie des meublesL'antivirus ne fait pas partie des meubles
L'antivirus ne fait pas partie des meublesNRC
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptxBahaty1
 
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientITrust - Cybersecurity as a Service
 
Guide Ransomware 2018
Guide Ransomware 2018Guide Ransomware 2018
Guide Ransomware 2018Zyxel France
 
Geek handbook
Geek handbookGeek handbook
Geek handbookSamuel Beaurepaire
 
Sécurité2011
Sécurité2011Sécurité2011
Sécurité2011mesminlieg
 
Passer de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menacesPasser de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menacesITrust - Cybersecurity as a Service
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10michelcusin
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational_France
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreNRC
 
Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.pptNatijTDI
 
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...RECOVEO
 

Contenu connexe

Tendances

20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatifLeClubQualiteLogicielle
 
Sandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentesSandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentese-Xpert Solutions SA
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
 
Ubuntu est il un système sécuritairement sain PDF
Ubuntu est il un système sécuritairement sain PDFUbuntu est il un système sécuritairement sain PDF
Ubuntu est il un système sécuritairement sain PDFMohamed Ben Bouzid
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Profasser
 
Sensibilisation à la sécurité
Sensibilisation à la sécurité Sensibilisation à la sécurité
Sensibilisation à la sécurité Thibault Tim
 

Tendances (9)

20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif
 
Sandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentesSandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentes
 
IKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FR
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
 
Ubuntu est il un système sécuritairement sain PDF
Ubuntu est il un système sécuritairement sain PDFUbuntu est il un système sécuritairement sain PDF
Ubuntu est il un système sécuritairement sain PDF
 
APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Internet et sécurité version 2014 01
Internet et sécurité version 2014 01
 
Sensibilisation à la sécurité
Sensibilisation à la sécurité Sensibilisation à la sécurité
Sensibilisation à la sécurité
 

Similaire à Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité

L'antivirus ne fait pas partie des meubles
L'antivirus ne fait pas partie des meublesL'antivirus ne fait pas partie des meubles
L'antivirus ne fait pas partie des meublesNRC
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptxBahaty1
 
Guide Ransomware 2018
Guide Ransomware 2018Guide Ransomware 2018
Guide Ransomware 2018Zyxel France
 
Sécurité2011
Sécurité2011Sécurité2011
Sécurité2011mesminlieg
 
Passer de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menacesPasser de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menacesITrust - Cybersecurity as a Service
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10michelcusin
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational_France
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreNRC
 
Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.pptNatijTDI
 
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...RECOVEO
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfssuser384b72
 
Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...
Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...
Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...RECOVEO
 
Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...
Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...
Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...RECOVEO
 
Présentation ransomware - Ivanti Interchange 2017
Présentation ransomware - Ivanti Interchange 2017Présentation ransomware - Ivanti Interchange 2017
Présentation ransomware - Ivanti Interchange 2017Bastien Bobe
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017NRC
 

Similaire à Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité (20)

L'antivirus ne fait pas partie des meubles
L'antivirus ne fait pas partie des meublesL'antivirus ne fait pas partie des meubles
L'antivirus ne fait pas partie des meubles
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptx
 
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
 
Guide Ransomware 2018
Guide Ransomware 2018Guide Ransomware 2018
Guide Ransomware 2018
 
Geek handbook
Geek handbookGeek handbook
Geek handbook
 
Sécurité2011
Sécurité2011Sécurité2011
Sécurité2011
 
Passer de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menacesPasser de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menaces
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travailRational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
 
Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.ppt
 
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdf
 
Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...
Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...
Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...
 
Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...
Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...
Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...
 
Présentation ransomware - Ivanti Interchange 2017
Présentation ransomware - Ivanti Interchange 2017Présentation ransomware - Ivanti Interchange 2017
Présentation ransomware - Ivanti Interchange 2017
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
L’IoT et le soulèvement des machines
L’IoT et le soulèvement des machinesL’IoT et le soulèvement des machines
L’IoT et le soulèvement des machines
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
 

Plus de ITrust - Cybersecurity as a Service

L’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
L’Intelligence Artificielle : un ‘booster’ pour la cybersécuritéL’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
L’Intelligence Artificielle : un ‘booster’ pour la cybersécuritéITrust - Cybersecurity as a Service
 
Artificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changersArtificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changersITrust - Cybersecurity as a Service
 
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...ITrust - Cybersecurity as a Service
 

Plus de ITrust - Cybersecurity as a Service (20)

IT security : a five-legged sheep
IT security : a five-legged sheepIT security : a five-legged sheep
IT security : a five-legged sheep
 
Petya, pire que WannaCry ?
Petya, pire que WannaCry ?Petya, pire que WannaCry ?
Petya, pire que WannaCry ?
 
L’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
L’Intelligence Artificielle : un ‘booster’ pour la cybersécuritéL’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
L’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
Advanced persistent threats, entre mythe et réalité
Advanced persistent threats, entre mythe et réalitéAdvanced persistent threats, entre mythe et réalité
Advanced persistent threats, entre mythe et réalité
 
Artificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changersArtificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changers
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
 
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
 
L’étrange histoire d’un piratage en Angleterre
L’étrange histoire d’un piratage en AngleterreL’étrange histoire d’un piratage en Angleterre
L’étrange histoire d’un piratage en Angleterre
 
Ignorance is bliss, but not for MongoDB
Ignorance is bliss, but not for MongoDBIgnorance is bliss, but not for MongoDB
Ignorance is bliss, but not for MongoDB
 
Cisco WebEx vulnerability: it’s a kind of magic
Cisco WebEx vulnerability: it’s a kind of magicCisco WebEx vulnerability: it’s a kind of magic
Cisco WebEx vulnerability: it’s a kind of magic
 
ITrust Company Overview FR
ITrust Company Overview FRITrust Company Overview FR
ITrust Company Overview FR
 
ITrust Company Overview EN
ITrust Company Overview ENITrust Company Overview EN
ITrust Company Overview EN
 
SOC OEM - Datasheet FR
SOC OEM - Datasheet FRSOC OEM - Datasheet FR
SOC OEM - Datasheet FR
 
SOC OEM - Datasheet EN
SOC OEM - Datasheet ENSOC OEM - Datasheet EN
SOC OEM - Datasheet EN
 
Reveelium Technical Overview - Datasheet FR
Reveelium Technical Overview - Datasheet FRReveelium Technical Overview - Datasheet FR
Reveelium Technical Overview - Datasheet FR
 
Reveelium Technical Overview - Datasheet EN
Reveelium Technical Overview - Datasheet ENReveelium Technical Overview - Datasheet EN
Reveelium Technical Overview - Datasheet EN
 

Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité

  • 1. Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité Chaque jour, plus de 400,000 nouveaux types de cyber-malveillances sont répertoriées par des analystes de sécurité. Cela veut dire que chaque minute, plus de 250 nouvelles armes sont lancées dans le cyber-espace. Parfois les modes opératoires utilisés par les pirates se ressemblent énormément les unes aux autres. D’autres fois, les blackhats font plus preuve d’originalité dans leur quête des territoires inconnus… Un tel exemple est le malware Double Agent qui repose sur le mimétisme pour poursuivre son attaque. Ce maliciel suit parfaitement le dicton « si vous ne pouvez pas les vaincre, joignez-vous à eux » en se faisant passer pour un antivirus. Imaginez-vous le scénario suivant : vous êtes en train d’installer un antivirus afin de renforcer le niveau de sécurité de votre ordinateur. Ce que vous ne le savez pas encore est que cet outil soi- disant « de protection » ouvre une nouvelle porte aux pirates. En effet, les créateurs de Double Agent ne fuient pas les antivirus comme les autres pirates, bien au contraire ils s’en servent plutôt comme vecteur d’attaque. Découvert par une équipe de chercheurs de Cybellum, le maliciel réussit à manipuler les antivirus les plus connus sur l’ensemble des systèmes d’exploitation Windows (à partir de Windows XP jusqu’à au Windows 10 inclusivement). Sur la liste, vous trouverez des noms comme Avast, AVG, Avira, Bitdefender, Trend Micro, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Norton – pratiquement la plupart des antivirus existants sur le marché. Le maliciel a pu passer inaperçu pour la majorité des logiciels de sécurité grâce à une vulnérabilité critique découverte à peine il y a trois mois qui permet aux cyber-délinquants de prendre le contrôle total d’un ordinateur à distance. Un zero-day avec tolérance zéro Pour toute nouvelle application que nous souhaitons utiliser, une procédure de vérification est réalisée par le système Windows avant tout lancement proprement-dit de l’application. Ceci est le rôle de l’outil « Application Verifier » (AP). L’AP sert également aux développeurs pour identifier ou mettre à jour des applications défectueuses. La procédure commence d’abord par charger une DLL (Dynamic Link Library ; en français « bibliothèque de liens dynamiques ») fournie par Microsoft. Une fois enregistré sur la machine, Windows Loader intègre de manière automatique la DLL dans tous les processus concernés. À partir de ce moment, le système d’exploitation requiert le chargement automatique de la bibliothèque avant tout démarrage des applications qui en font appel. Mais que se passerait-il si quelqu’un arrive à remplacer une DLL officielle par une DLL malicieuse ? Dans ce cas, elle sera intégrée directement dans tous les processus dépendants de cette bibliothèque sans se faire détecter par le système. Il ne reste qu’un pas pour prendre le contrôle de l’application et la rendre malicieuse (voir le PoC de l’attaque Double Agent sur GitHub ici). En plus de détourner le bon fonctionnement des antivirus, cette technique donne la possibilité d’installer une porte dérobée sur le système cible et d’extraire même les données personnelles de l’utilisateur.
  • 2. Comment réagir face à la neutralisation de votre antivirus Alors que les résultats trouvés par les analystes de sécurité sont sans doute effrayants, il faut souligner que l’exploit nécessiterait des privilèges d’administrateurs pour mener l’attaque. C’est probablement pourquoi ce vecteur est fortement surestimé par les géants fournisseurs d’antivirus. En effet, nous pouvons toujours restreindre les privilèges locaux sur la machine, en utilisant le système d’exploitation avec un compte d’utilisateur standard plutôt que d’administrateur. C’est une stratégie qui devrait atténuer ou rendre extrêmement difficile l’exploitation réussie. Cependant, une attaque de type Double Agent restera toujours possible, même si trop peu probable. Pourquoi s’intéresser au sujet dans ce cas ? La réponse nous semble évidente : car il est de notre devoir de considérer sérieusement même les situations les plus improbables. En un mot, il faudra peut-être arrêter de croire aveuglément dans les capacités des solutions de sécurité traditionnelles. Comme cela s’observe, même votre propre antivirus peut devenir d’un jour au lendemain un malware féroce. Pour éviter cet effet indésirable, il faudra faire appel à des outils et à des procédures complémentaires d’analyse (lire ici notre précédent article sur « Comment gérer les effets secondaires des antivirus »). Liens : https://www.reveelium.com/fr/double-agent-tricks-antivirus/ https://www.itrust.fr/double-agent-zero-day/