cheval de troie
Plus tôt en octobre, les experts de Kaspersky ont publié un rapport détaillé sur une menace qu’ils ont appelée OnionPoison. Ils ont découvert que ce code malveillant était distribué via des vidéos sur YouTube. La vidéo en question était une publicité du navigateur Tor qui promeut la navigation privée.
Ce navigateur est une version modifiée du navigateur Firefox, avec des paramètres de confidentialité maximums. Pourtant, sa caractéristique la plus importante est qu’il peut rediriger toutes les données utilisateur en passant par un réseau de routage en oignon (The Onion Router en anglais, d’où l’acronyme Tor). Les données sont chiffrées et passent par plusieurs couches du serveur (d’où l’image de l’oignon) puis sont mélangées avec les données d’autres utilisateurs du réseau. Cette méthode garantit la confidentialité des données : les sites ne voient que l’adresse du dernier serveur dans le réseau Tor, appelé nœud de sortie, et n’ont pas accès à la véritable adresse IP de l’utilisateur.
Ce n’est pas tout. Le réseau Tor peut aussi être utilisé pour contourner les restrictions d’accès à certains sites. Par exemple, en Chine de nombreuses ressources Internet « occidentales » sont bloquées et les utilisateurs doivent trouver d’autres solutions, comme Tor, pour y accéder. D’ailleurs, YouTube est officiellement indisponible en Chine. Par définition, la vidéo se dirige aux personnes qui souhaitent contourner les restrictions. Cette méthode n’était sûrement pas la seule utilisée pour distribuer le programme malveillant OnionPoison, et d’autres liens ont certainement été placés dans d’autres ressources en Chine.
Normalement, un utilisateur peut télécharger le navigateur Tor depuis le site officiel du projet. Pourtant, ce site est également bloqué en Chine. Il n’est donc pas surprenant que les utilisateurs recherchent d’autres sources pour le télécharger. La vidéo YouTube explique comment cacher son activité en ligne en utilisant Tor, et un lien figure dans la description. Ce dernier ouvre un service chinois d’hébergement de fichiers sur le Cloud. Malheureusement, la version du navigateur Tor disponible est infectée par le logiciel espion OnionPoison. Ainsi, au lieu de garantir la confidentialité de ses données, l’utilisateur obtient le contraire : toutes ses données sont divulguées.
Capture d’écran de la vidéo YouTube qui distribue une version infectée du navigateur Tor. Source
Quelles informations la version infectée du navigateur Tor obtient-elle ?
La version infectée du navigateur Tor n’a pas de signature numérique, ce qui devrait immédiatement attirer l’attention des utilisateurs qui s’inquiètent de leur sécurité. En installant ce programme, le système d’exploitation Windows affiche un message d’avertissement à ce sujet. Évidemment, la version officielle du navigateur Tor a une signature numérique. La distribution des contenus du pack infecté n’est guère différente du pack original. Pourtant, même si ces différences sont minimes, elles sont importantes.
Pour commencer, certains paramètres importants du navigateur infecté ont été modifiés par rapport à l’original. Contrairement au vrai navigateur Tor, la version malveillante se souvient de l’historique de navigation, stocke des copies temporaires des sites sur l’ordinateur et sauvegarde automatiquement les identifiants de connexion et toutes les données saisies sur des formulaires. Ces fonctionnalités nuisent à la confidentialité des données mais les choses empirent…
Page qui permet de télécharger la version infectée par le logiciel espion OnionPoison du navigateur Tor. Source.
Une des clés des bibliothèques Tor/Firefox a été remplacée par un code malveillant. Cette action appelle la bibliothèque originale, au besoin, afin que le navigateur n’arrête pas de fonctionner. Au démarrage, le code s’adresse aussi au serveur C&C d’où il télécharge et exécute un autre programme malveillant. De plus, cette étape suivante de l’attaque n’a lieu que si la véritable adresse IP de l’utilisateur le localise en Chine.
Cette « seconde étape » de l’attaque permet aux cybercriminels d’avoir autant d’informations que possible sur l’utilisateur :
- Données relatives à l’ordinateur et aux programmes installés.
- Historique du navigateur. Du navigateur Tor mais aussi de tous les autres navigateurs installés, comme Google Chrome ou Microsoft Edge.
- Identifiants du réseau Wi-Fi auquel l’utilisateur est connecté.
- Données des comptes des applications de messagerie utilisées en Chine, dont QQ et WeChat.
Ces renseignements peuvent être utilisés pour associer une activité en ligne avec un utilisateur en particulier. Les données du réseau Wi-Fi peuvent aussi permettre de connaître l’emplacement exact de l’utilisateur.
Les dangers en termes de confidentialité
OnionPoison s’appelle de cette façon parce qu’il détruit l’intimité qu’offre le routage par oignon du navigateur Tor. Les conséquences sont évidentes : tout ce que l’utilisateur fera pour essayer de cacher son activité en ligne va, au contraire, tout révéler aux cybercriminels. Bizarrement, contrairement à la plupart des programmes malveillants similaires, OnionPoison n’essaie pas de voler les mots de passe de l’utilisateur. Il est évident que les personnes à l’origine de cette attaque n’en ont pas besoin : l’objectif principal est la surveillance.
Même si vous n’avez pas besoin d’utiliser le navigateur Tor pour protéger votre vie privée, notamment parce qu’une application VPN est généralement suffisante, nous pouvons tirer deux conclusions de cette étude sur OnionPoison quant à la protection contre les activités malveillantes. Tout d’abord, les logiciels ne doivent être téléchargés qu’à partir des sites officiels. Les utilisateurs qui veulent une vérification supplémentaire doivent savoir que de nombreux développeurs de programmes publient des sommes de contrôle. Il s’agit d’un genre d’identifiant du « vrai » programme d’installation. Vous pouvez calculer la somme de contrôle de la distribution que vous avez téléchargée afin de vérifier qu’elle correspond à celle du programme original.
Dans le cas d’OnionPoison, les utilisateurs devaient télécharger le navigateur Tor depuis des sources non officielles puisque le site officiel était bloqué. La vérification de la somme de contrôle est particulièrement utile dans ce cas. Comme nous l’avons dit auparavant, la distribution a un autre signal d’alarme : l’absence d’une signature électronique légitime. Si Windows affiche un avertissement, il vaut mieux tout vérifier plusieurs fois avant d’exécuter le programme. L’idéal est de ne pas l’utiliser.
Le site hébergé sur le serveur de commande et de contrôle d’OnionPoison est visuellement identique à l’authentique www.torproject.org. Source.
La deuxième conclusion que nous pouvons en tirer découle de la première. Ne téléchargez jamais les programmes à partir des liens partagés sur YouTube ! On pourrait croire que le programme malveillant OnionPoison ne menace que les personnes qui se trouvent en Chine et que les utilisateurs d’autres pays ne sont pas concernés. Pourtant, ce n’est pas la seule attaque qui se sert des réseaux sociaux comme appât pour leurrer les utilisateurs. Une autre étude récente de Kaspersky a révélé comment les cybercriminels infectent les dispositifs des amateurs de jeux vidéo et volent leurs données. Dans ce cas, les cybercriminels distribuaient un programme malveillant sur YouTube. De plus, le programme portait préjudice à la chaîne YouTube de la victime puisque la vidéo, avec le lien malveillant en description, était publiée sur son compte.
Les attaques basées sur YouTube sont partiellement aidées par Google qui donne la priorité aux vidéos dans les résultats de recherche. Les attaques de ce genre sont un autre exemple qui illustre comment des ressources ordinaires et soi-disant sûres peuvent être détournées. Même un utilisateur expérimenté ne peut pas toujours faire la différence entre un lien authentique et un autre malveillant. Ces « inconvénients » de la vie numérique sont le meilleur argument pour justifier l’installation d’une solution de sécurité de qualité. Même si vous êtes prudent lorsque vous êtes en ligne, vous pouvez commettre une erreur. Dans ce cas, le logiciel de sécurité identifie et bloque rapidement la menace.
Conseils