Attention aux pièces jointes malveillantes !

Envoyer des e-mails avec des pièces jointes malveillantes est l’une des méthodes les plus répandues et les plus efficaces pour diffuser des malwares et infecter les machines des utilisateurs. Qu’un

Envoyer des e-mails avec des pièces jointes malveillantes est l’une des méthodes les plus répandues et les plus efficaces pour diffuser des malwares et infecter les machines des utilisateurs.

Qu’un pirate essaie d’ajouter des machines à un botnet, d’accéder à des réseaux corporatifs grâce à l’hameçonnage, ou de pirater votre compte bancaire en ligne avec un cheval de Troie, cela fait des années que les documents malveillants sont une arme de choix pour les pirates informatiques. Les utilisateurs sont plus que jamais conscients des dangers de ces pièces jointes étranges (et qui peuvent parfois sembler inoffensives), qu’il s’agisse de documents Word, de fichiers PDF, de photos, ou de tout autre type de document. De plus, l’industrie anti-malware, les fournisseurs de services de messagerie et les développeurs de navigateurs créent et mettent en place de nouvelles technologies conçues pour empêcher les infections via pièces jointes. Tout cela s’ajoute à un environnement dans lequel les vendeurs de logiciels gèrent la correction des vulnérabilités d’une manière plus efficace que jamais.

Malgré cela, chaque jour, de nombreuses machines sont infectées par des malwares provenant de documents malveillants. Mais, comment se fait-il que les efforts fournis par les personnes les plus brillantes de l’industrie des technologies ne soient pas suffisants pour combattre des nuées de pirates désorganisés ?

En gros, la raison à cela est très simple, les pirates, qui travaillent souvent seuls ou en petits groupes avec des outils conçus sur mesure, peuvent bouger rapidement. Les développeurs de navigateurs, les fournisseurs de messagerie, les géants des technologies réagissent aux nouvelles menaces comme ils le peuvent mais – comme c’est le cas pour toutes les grandes organisations – ils sont ralentis par la bureaucratie et autres inerties.

Nous ne pouvons pas uniquement accuser l’industrie : la plupart des utilisateurs refuse d’installer les mises à jour et de nombreux utilisateurs ouvrent des pièces jointes qu’ils ne devraient pas ouvrir.

Les pirates ne sont pas bêtes. Ils surveillent la façon dont les entreprises réagissent à leurs méthodes d’attaque et s’y adaptent. Ils réunissent des informations sur les personnes qu’ils ciblent en surveillant leurs réseaux sociaux et autres activités visibles afin que les e-mails et les pièces jointes malveillantes qu’ils contiennent paraissent plus convaincants. Je pensais avant qu’un pirate devrait se lever de bonne heure pour me faire mordre à l’hameçon. Kurt Baumgartner, expert en sécurité chez Kaspersky Lab, m’a fait changé d’avis en m’expliquant que n’importe qui (peu importe son intelligence) est susceptible d’ouvrir une pièce jointe semblant provenir de quelqu’un de confiance. Cette réalité nécessite donc des systèmes de défense automatiques, basés sur des comportements mesurables plutôt que sur l’intuition humaine.

Les pirates ne sont pas bêtes. Ils surveillent la façon dont les entreprises réagissent à leurs méthodes d’attaque et s’y adaptent.

Par exemple, le dernier « Patch Tuesday » de Microsoft a permis de corriger une vulnérabilité d’Internet Explorer mais n’a pas réussi à réparer un deuxième  zero-day de Microsoft Office (une vulnérabilité découverte récemment). À cause de cela, les pirates qui ont repéré la vulnérabilité peuvent l’exploiter pour envoyer des documents malveillants afin d’infecter les utilisateurs (en gros, n’importe qui disposant de Microsoft Office). Bien évidemment, si le pirate utilise un malware qui est reconnu par le moteur de détection de votre logiciel antivirus, alors vous êtes protégé. Les pirates disposent néanmoins de méthodes relativement simples pour altérer le code ou les domaines de leur malware afin qu’il ne soit pas détecté.

Mon intention n’est pas de couvrir d’éloges les pirates ici. En fin de compte, les gentils sont souvent les plus intelligents, bien qu’ils réagissent un peu plus lentement. Ils sont bien payés, ils ont des avantages, et ils n’ont normalement pas peur de finir en prison. Ils regardent les criminels et apprennent de leurs méthodes tout comme les criminels apprennent d’eux.

C’est le cas de nos développeurs chez Kaspersky Lab. Les chercheurs ont surveillé la manière dont les pirates ont évolué au fil des années. Avant, les produits anti-malware étaient seulement capables de rechercher les signatures de malware, mais il est devenu clair ces dernières années que la détection des signatures n’est pas suffisante. C’est pour cette raison qu’ils ont développé des technologies telles que AEP (Automatic Exploit Prevention), qui scanne le système des utilisateurs à la recherche de vulnérabilités et autres comportements malveillants connus. Quand AEP détecte qu’une application utilise un code étrange ou qu’elle semble exploiter un défaut au sein d’un logiciel vulnérable, la technologie réagit afin de bloquer toute action malveillante. Ainsi, les utilisateurs sont protégés de presque toutes les menaces, y compris des menaces zero-day mentionnées précédemment.

Conseils