{"id":22838,"date":"2025-06-06T15:33:27","date_gmt":"2025-06-06T13:33:27","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22838"},"modified":"2025-06-06T15:33:27","modified_gmt":"2025-06-06T13:33:27","slug":"trojan-password-manager-keepass-lessons","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/trojan-password-manager-keepass-lessons\/22838\/","title":{"rendered":"Trojan dans KeePass : les le\u00e7ons \u00e0 tirer"},"content":{"rendered":"

Un utilisateur voulait prot\u00e9ger ses mots de passe, mais il a involontairement permis \u00e0 des pirates d\u2019entrer dans son organisation. Ce r\u00e9sultat<\/a> inattendu a \u00e9t\u00e9 document\u00e9 dans une enqu\u00eate r\u00e9cente sur une attaque de ransomware, un incident qui a commenc\u00e9 lorsqu\u2019un employ\u00e9 a d\u00e9cid\u00e9 de t\u00e9l\u00e9charger le c\u00e9l\u00e8bre gestionnaire de mots de passe KeePass. Un d\u00e9tail important, cependant, est que l\u2019employ\u00e9 a visit\u00e9 un faux site. KeePass \u00e9tant un projet open-source, les pirates n\u2019ont eu aucun mal \u00e0 le copier, \u00e0 le modifier et \u00e0 y ajouter des fonctionnalit\u00e9s malveillantes. Ils ont ensuite recompil\u00e9 l\u2019application et l\u2019ont distribu\u00e9e par l\u2019interm\u00e9diaire de faux sites Internet, qu\u2019ils ont promus via des syst\u00e8mes l\u00e9gaux de publicit\u00e9 en ligne<\/a>.<\/p>\n

En quoi consistait la fausse version de KeePass<\/h2>\n

La campagne<\/a> malveillante a dur\u00e9 au moins huit mois, \u00e0 partir de la mi-2024. Les pirates ont cr\u00e9\u00e9 de faux sites imitant le site officiel de KeePass et ont utilis\u00e9 des publicit\u00e9s malveillantes<\/a> pour rediriger les utilisateurs qui recherchaient cette solution vers des domaines portant des noms trompeurs tels que keeppaswrd, keebass<\/em> et KeePass-download<\/em>.<\/p>\n

Si la victime t\u00e9l\u00e9chargeait KeePass \u00e0 partir d\u2019un faux site, le gestionnaire de mots de passe fonctionnait normalement, mais enregistrait aussi tous les mots de passe de la base de donn\u00e9es ouverte dans un fichier texte non chiffr\u00e9, tout en installant une balise Cobalt Strike<\/a> sur le syst\u00e8me. Il s\u2019agit d\u2019un outil qui peut \u00eatre utilis\u00e9 \u00e0 la fois pour \u00e9valuer la s\u00e9curit\u00e9 d\u2019une organisation et pour mener de v\u00e9ritables cyberattaques.<\/p>\n

Avec Cobalt Strike, les attaquants ont pu non seulement voler les mots de passe export\u00e9s, mais aussi les utiliser pour compromettre d\u2019autres syst\u00e8mes et finalement chiffrer les serveurs ESXi de l\u2019organisation.<\/p>\n

En recherchant des traces de cette attaque en ligne, les chercheurs ont d\u00e9couvert cinq modifications diff\u00e9rentes de KeePass sous forme de chevaux de Troie. Certaines d\u2019entre elles \u00e9taient plus simples\u00a0: elles t\u00e9l\u00e9chargeaient imm\u00e9diatement les mots de passe vol\u00e9s sur le serveur des pirates informatiques.<\/p>\n

Programme malveillant ultra-furtif<\/h2>\n

Il n\u2019y a rien de r\u00e9volutionnaire \u00e0 transmettre un programme malveillant \u00e0 une victime en m\u00eame temps qu\u2019un logiciel l\u00e9gitime<\/a>. En g\u00e9n\u00e9ral, les pirates ajoutent simplement des fichiers malveillants au paquet d\u2019installation, si bien que les solutions de s\u00e9curit\u00e9 (si elles sont pr\u00e9sentes) sur l\u2019ordinateur les d\u00e9tectent facilement. La fausse attaque KeePass a \u00e9t\u00e9 beaucoup plus soigneusement planifi\u00e9e et mieux dissimul\u00e9e aux yeux des outils de s\u00e9curit\u00e9.<\/p>\n

Tous les faux paquets d\u2019installation de KeePass \u00e9taient sign\u00e9s avec une signature num\u00e9rique valide, ce qui n\u2019a pas g\u00e9n\u00e9r\u00e9 d\u2019avertissements importants sous Windows. Les cinq distributions nouvellement d\u00e9couvertes disposaient de certificats \u00e9mis par quatre \u00e9diteurs de logiciels diff\u00e9rentes. Le certificat KeePass authentique est sign\u00e9 avec un autre certificat, mais peu de gens prennent la peine de v\u00e9rifier ce que stipule la ligne Publisher<\/em> dans les avertissements de Windows.<\/p>\n

Les fonctions du cheval de Troie \u00e9taient dissimul\u00e9es dans la logique centrale de l\u2019application et ne s\u2019ex\u00e9cutaient que lorsque l\u2019utilisateur ouvrait une base de donn\u00e9es de mots de passe. Autrement dit, l\u2019application d\u00e9marrait d\u2019abord comme d\u2019habitude, invitait l\u2019utilisateur \u00e0 s\u00e9lectionner une base de donn\u00e9es et \u00e0 saisir son mot de passe principal, puis commen\u00e7ait \u00e0 effectuer des actions que les m\u00e9canismes de s\u00e9curit\u00e9 pouvaient consid\u00e9rer comme suspectes. Il est donc plus difficile pour les sandbox et autres outils d\u2019analyse qui d\u00e9tectent le comportement anormal d\u2019une application de rep\u00e9rer l\u2019attaque.<\/p>\n

KeePass n\u2019est pas le seul outil concern\u00e9<\/h2>\n

En examinant des sites malveillants distribuant des versions de KeePass infect\u00e9es par des chevaux de Troie, les chercheurs ont d\u00e9couvert des sites connexes h\u00e9berg\u00e9s sur le m\u00eame domaine. Les sites proposaient d\u2019autres logiciels reconnus, notamment le gestionnaire de fichiers s\u00e9curis\u00e9 WinSCP et plusieurs outils li\u00e9s aux cryptomonnaies. Ces derniers \u00e9taient modifi\u00e9s moins en profondeur et installaient simplement un programme malveillant connu, appel\u00e9 Nitrogen Loader, sur les appareils des victimes.<\/p>\n

Ce r\u00e9sultat indique que la version de KeePass contenant un cheval de Troie a \u00e9t\u00e9 cr\u00e9\u00e9e par des courtiers en acc\u00e8s initial. Ces criminels volent des mots de passe et d\u2019autres informations confidentielles pour trouver des points d\u2019entr\u00e9e dans les r\u00e9seaux informatiques des entreprises et vendent ensuite les acc\u00e8s \u00e0 d\u2019autres acteurs malveillants, g\u00e9n\u00e9ralement des bandes sp\u00e9cialis\u00e9es dans les ransomwares.<\/p>\n

Une menace pour tous<\/h2>\n

Les diffuseurs de programmes malveillants de vol de mot de passe ciblent sans distinction les utilisateurs qui ne se doutent de rien. Les criminels analysent les mots de passe, les donn\u00e9es financi\u00e8res et les autres renseignements pr\u00e9cieux qu\u2019ils parviennent \u00e0 voler, les classent par cat\u00e9gories et vendent tout ce qui est n\u00e9cessaire \u00e0 d\u2019autres cybercriminels pour leurs op\u00e9rations clandestines. Les op\u00e9rateurs de ransomware ach\u00e8tent des identifiants permettant d\u2019acc\u00e9der \u00e0 des r\u00e9seaux d\u2019entreprise, les escrocs ach\u00e8tent des donn\u00e9es personnelles et des num\u00e9ros de cartes bancaires, et les spammeurs se procurent des identifiants de connexion \u00e0 des comptes de r\u00e9seaux sociaux ou de jeux.<\/p>\n

C\u2019est pourquoi le mod\u00e8le commercial des distributeurs de logiciels vol\u00e9s consiste \u00e0 s\u2019emparer de tout ce qui leur tombe sous la main et \u00e0 utiliser toutes sortes d\u2019app\u00e2ts pour diffuser leurs programmes malveillants. Les chevaux de Troie peuvent \u00eatre dissimul\u00e9s dans n\u2019importe quel type de logiciel, qu\u2019il s\u2019agisse de jeux, de gestionnaires de mots de passe ou d\u2019applications sp\u00e9cialis\u00e9es pour les comptables ou les architectes.<\/p>\n

Comment prot\u00e9ger votre ordinateur<\/h2>\n

T\u00e9l\u00e9chargez les applications uniquement \u00e0 partir du site Internet officiel du vendeur ou des principales boutiques d\u2019applications.<\/p>\n

Faites attention aux signatures num\u00e9riques. Lorsque vous lancez un programme que vous n\u2019avez jamais t\u00e9l\u00e9charg\u00e9 auparavant, Windows affiche un avertissement avec le nom du propri\u00e9taire de la signature num\u00e9rique dans le champ \u00c9diteur<\/em>. Assurez-vous que ces informations correspondent \u00e0 celles du d\u00e9veloppeur r\u00e9el. En cas de doute, v\u00e9rifiez les informations sur le site officiel.<\/p>\n

M\u00e9fiez-vous des annonces de recherche. Lorsque vous recherchez le nom d\u2019une application, examinez attentivement les quatre ou cinq premiers r\u00e9sultats, mais ignorez les annonces. Le site officiel du d\u00e9veloppeur figure g\u00e9n\u00e9ralement parmi ces r\u00e9sultats. Si vous n\u2019\u00eates pas s\u00fbr du r\u00e9sultat qui m\u00e8ne au site officiel, il est pr\u00e9f\u00e9rable de v\u00e9rifier l\u2019adresse via les principales boutiques d\u2019applications ou m\u00eame sur Wikip\u00e9dia.<\/p>\n

Veillez \u00e0 utiliser un logiciel de s\u00e9curit\u00e9 complet, comme Kaspersky Premium<\/a>, sur l\u2019ensemble de vos ordinateurs et smartphones. Vous \u00e9viterez ainsi d\u2019\u00eatre infect\u00e9 par la plupart des types de programmes malveillants et de visiter des sites dangereux.<\/p>\n

Ne d\u00e9laissez pas les gestionnaires de mots de passe ! Bien qu\u2019un gestionnaire de mots de passe populaire ait \u00e9t\u00e9 utilis\u00e9 dans une attaque sophistiqu\u00e9e, l\u2019id\u00e9e de stocker en toute s\u00e9curit\u00e9 les donn\u00e9es importantes sous forme chiffr\u00e9e est plus pertinente que jamais. Les abonnements \u00e0 Kaspersky Plus<\/a> et \u00e0 Kaspersky Premium<\/a> incluent Kaspersky Password Manager<\/a>, qui vous permet de stocker vos identifiants en toute s\u00e9curit\u00e9.<\/p>\n

Comment prot\u00e9ger votre organisation contre les voleurs d\u2019informations et les courtiers en acc\u00e8s initial\u00a0?<\/h2>\n

L\u2019utilisation d\u2019identifiants valides lors d\u2019attaques est l\u2019une des tactiques les plus populaires utilis\u00e9es par les cybercriminels. Pour rendre plus difficile le vol et l\u2019utilisation des comptes d\u2019entreprise, suivez les conseils donn\u00e9s aux organisations pour lutter contre les voleurs d\u2019informations<\/a>.<\/p>\n

Pour repousser les logiciels contenant des chevaux de Troie qui peuvent donner aux pirates un acc\u00e8s direct \u00e0 votre r\u00e9seau, nous vous recommandons en outre de prendre les mesures suivantes\u00a0:<\/p>\n