Wendy Zamora 
Exploits : ce ne sont pas les cybermenaces de ta maman. À un moment donné dans un passé pas si lointain, les exploits étaient responsables de la livraison de 80% des logiciels malveillants aux systèmes des gens. Mais les exploits semblent connaître une accalmie aujourd’hui. Cela signifie-t-il qu’ils sont partis pour de bon et que nous pouvons tous baisser la garde? Ou est-ce simplement le calme avant la tempête? Décomposons cette menace furtive afin que vous puissiez non seulement connaître votre ennemi, mais aussi être préparé de manière appropriée si les attaques d’exploit reviennent.
Qu’est-ce qu’un exploit ?
Un exploit est un programme ou un morceau de code qui détecte et exploite une faille de sécurité dans une application ou un système afin que les cybercriminels puissent l’utiliser à leur avantage, c’est-à-dire l’exploiter.
Les cybercriminels livrent fréquemment des exploits à des ordinateurs dans le cadre d’un kit, ou d’une collection d’exploits, hébergés sur des sites Web ou cachés sur des pages de destination invisibles. Lorsque vous atterrissez sur l’un de ces sites, le kit d’exploitation détecte automatiquement votre ordinateur pour voir quel système d’exploitation vous utilisez, quels programmes et vous avez en cours d’exécution, et surtout, si l’un d’entre eux présente des failles de sécurité, appelées vulnérabilités. Il s’agit essentiellement de rechercher sur votre ordinateur des faiblesses à exploiter — un peu comme les chevaux de Troie l’ont fait avec le talon d’Achille.
Après avoir découvert des vulnérabilités, le kit d’exploit utilise son code pré-construit pour forcer l’ouverture des lacunes et fournir des logiciels malveillants, contournant de nombreux programmes de sécurité.
Les exploits sont-ils donc une forme de malware? Techniquement, non. Les exploits ne sont pas des logiciels malveillants en eux-mêmes, mais plutôt des méthodes de diffusion des logiciels malveillants. Un kit d’exploit n’infecte pas votre ordinateur. Mais cela ouvre la porte pour laisser entrer le malware.
Comment les exploits attaquent-ils ?
Les gens rencontrent le plus souvent des kits d’exploits provenant de sites Web piégés à fort trafic. Les cybercriminels choisissent généralement des sites populaires et réputés afin de récolter le meilleur retour sur investissement. Cela signifie que les sites d’actualités que vous lisez, le site Web que vous utilisez pour parcourir l’immobilier ou la boutique en ligne où vous achetez vos livres sont tous des candidats possibles. Des sites tels que yahoo.com , nytimes.com , et msn.com ont été compromis dans le passé.
Donc, vous naviguez sur le Web, vous arrêtez sur un site Web que vous aimez, et le site compromis vous redirige en arrière-plan, sans ouvrir de nouvelles fenêtres de navigateur ni vous alerter d’une autre manière afin que vous puissiez être analysé pour l’aptitude à l’infection. Sur cette base, vous êtes soit sélectionné pour l’exploitation, soit rejeté.
Comment votre site web préféré est-il compromis ? De deux façons : 1. Un morceau de code malveillant est caché à la vue du site Web (via un bon piratage à l’ancienne) 2. Une publicité affichée sur le site Web a été infectée. Ces publicités malveillantes, appelées malvertising, sont particulièrement dangereuses, car les utilisateurs n’ont même pas besoin de cliquer sur l’annonce pour être exposés à la menace. Les deux méthodes, sites piratés ou malvertising, vous redirigent immédiatement (pointez votre navigateur Web) vers une page de destination invisible hébergeant le kit d’exploit. Une fois sur place, si vous avez des vulnérabilités sur votre ordinateur, la partie est terminée.
Le kit d’exploit identifie les vulnérabilités et lance les exploits appropriés afin de larguer des charges utiles malveillantes. Ces charges utiles (les logiciels malveillants) peuvent ensuite s’exécuter et infecter votre ordinateur avec toutes sortes de mauvais juju. Ransomware est une charge utile préférée de kits d’exploit ces jours-ci.
Quel logiciel est vulnérable ?
En théorie, avec suffisamment de temps, chaque logiciel est potentiellement vulnérable. Les équipes criminelles spécialisées passent beaucoup de temps à séparer les programmes afin qu’ils puissent trouver des vulnérabilités. Cependant, ils se concentrent généralement sur les applications ayant la base d’utilisateurs la plus élevée, car ils présentent les cibles les plus riches. Comme pour toutes les formes de cybercriminalité, c’est un jeu de chiffres. Les principales cibles applicatives incluent Internet Explorer, Flash, Java, Adobe Reader et Microsoft Office.
Comment les responsables de la sécurité la combattent
Les éditeurs de logiciels comprennent que les programmes qu’ils développent peuvent contenir des vulnérabilités. Au fur et à mesure que des mises à jour incrémentielles sont apportées aux programmes afin d’améliorer les fonctionnalités, l’apparence et l’expérience, des correctifs de sécurité sont également apportés pour éliminer les vulnérabilités. Ces correctifs sont appelés correctifs, et ils sont souvent publiés selon un calendrier régulier. Par exemple, Microsoft publie un groupe de correctifs pour ses programmes le deuxième mardi de chaque mois, connu sous le nom de Patch Tuesday.
Les entreprises peuvent également publier des correctifs pour leurs programmes ad hoc lorsqu’une vulnérabilité critique est découverte. Ces patchs cousent essentiellement le trou afin que les kits d’exploitation ne puissent pas se frayer un chemin et déposer leurs paquets malveillants.
Le problème avec les correctifs est qu’ils ne sont souvent pas publiés immédiatement après la découverte d’une vulnérabilité, de sorte que les criminels ont le temps d’agir et d’exploiter. L’autre problème est qu’ils comptent sur les utilisateurs téléchargeant ces mises à jour « ennuyeuses » dès leur sortie. La plupart des kits d’exploitation ciblent les vulnérabilités qui ont déjà été corrigées depuis longtemps, car ils savent que la plupart des gens ne se mettent pas à jour régulièrement.
Pour les vulnérabilités logicielles qui n’ont pas encore été corrigées par l’entreprise qui les fabrique, il existe des technologies et des programmes développés par des entreprises de cybersécurité qui protègent les programmes et systèmes connus pour être des favoris pour l’exploitation. Ces technologies agissent essentiellement comme des barrières contre les programmes vulnérables et arrêtent les exploits à plusieurs étapes de l’attaque, de cette façon, elles n’ont jamais la chance de déposer leur charge utile malveillante.
Types d’exploits
Les exploits peuvent être regroupés en deux catégories : connus et inconnus, également appelés exploits zero-day.
Les exploits connus sont des exploits que les chercheurs en sécurité ont déjà découverts et documentés. Ces exploits tirent parti des vulnérabilités connues des logiciels et des systèmes (que les utilisateurs n’ont peut-être pas mis à jour depuis longtemps). Les professionnels de la sécurité et les développeurs de logiciels ont déjà créé des correctifs pour ces vulnérabilités, mais il peut être difficile de suivre tous les correctifs requis pour chaque logiciel — d’où le succès de ces exploits connus.
Les exploits inconnus, ou jours zéro, sont utilisés sur les vulnérabilités qui n’ont pas encore été signalées au grand public. Cela signifie que les cybercriminels ont soit repéré la faille avant que les développeurs ne la remarquent, soit créé un exploit avant que les développeurs n’aient la possibilité de corriger la faille. Dans certains cas, les développeurs peuvent même ne pas trouver la vulnérabilité dans leur programme qui a conduit à un exploit pendant des mois, voire des années! Les jours zéro sont particulièrement dangereux car même si les utilisateurs ont leur logiciel entièrement mis à jour, ils peuvent toujours être exploités et leur sécurité peut être violée.
Les plus grands auteurs d’exploit
Les trois kits d’exploit les plus actifs dans la nature à l’heure actuelle sont nommés RIG, Neutrino et Magnitude. RIG reste le kit le plus populaire, et il est utilisé dans les campagnes de malvertising et de compromission de sites Web pour infecter les machines des gens avec des ransomwares. Neutrino est un kit de fabrication russe qui a été utilisé dans des campagnes de publicité malveillante contre les principaux éditeurs, et il s’attaque aux vulnérabilités de Flash et d’Internet Explorer (également pour fournir des ransomwares). Magnitude utilise également le malvertising pour lancer ses attaques, bien qu’il soit strictement axé sur les pays d’Asie.
Deux campagnes d’exploit moins connues, Pseudo-Darkleech et EITest, sont actuellement les véhicules de redirection les plus populaires utilisant des sites Web compromis. Ces délinquants injectent du code dans des sites tels que WordPress, Joomla ou Drupal et redirigent automatiquement les visiteurs vers une page de destination de kit d’exploit.
Comme pour toutes les formes de cybermenaces, les exploits, leurs méthodes de diffusion et les logiciels malveillants qu’ils déposent sont en constante évolution. C’est une bonne idée de rester au fait des formulaires les plus courants pour s’assurer que les programmes qu’ils ciblent sont correctifs sur votre ordinateur.
Paysage actuel du kit d’exploit
À l’heure actuelle, la scène des exploits est assez sombre, ce qui est une bonne chose pour ceux de l’industrie de la sécurité et, essentiellement, pour quiconque utilise un ordinateur. En effet, en juin 2016, Angler, un kit d’exploit sophistiqué responsable de près de 60% de toutes les attaques d’exploit l’année précédente, a été arrêté. Il n’y a pas eu d’autre kit d’exploit qui a accumulé le même niveau de part de marché depuis.
Les acteurs de la menace ont été un peu timides à l’idée de revenir pour exploiter des kits, de peur d’un autre pêcheur à la ligne. Une fois que Angler a été démantelé, les cybercriminels se sont tournés vers certaines formes d’attaque plus traditionnelles, notamment le phishing et les e-mails contenant des pièces jointes malveillantes (malspam). Mais rassurez-vous, ils seront de retour une fois qu’un nouveau kit d’exploit plus fiable s’avérera efficace sur le marché noir.
Comment se protéger contre les exploits
L’instinct peut être de prendre peu ou pas de mesures pour se protéger contre les exploits, car il n’y a pas beaucoup d’activités cybercriminelles liées aux exploits en ce moment. Mais ce serait comme choisir de ne pas verrouiller vos portes puisqu’il n’y a pas eu de vol dans votre quartier depuis un an. Quelques pratiques de sécurité simples peuvent vous aider à garder une longueur d’avance.
Tout d’abord, assurez-vous de garder vos programmes logiciels, plugins et systèmes d’exploitation à jour en tout temps. Cela se fait en suivant simplement les instructions lorsque ces programmes leur rappellent que les mises à jour sont prêtes. Vous pouvez également vérifier les paramètres de temps en temps pour voir s’il y a des notifications de correctifs qui peuvent être tombées de votre radar.
Deuxièmement, investissez dans la cybersécurité qui protège contre les exploits connus et inconnus. Plusieurs entreprises de cybersécurité de nouvelle génération, dont Malwarebytes, ont commencé à intégrer la technologie anti-exploit dans leurs produits.
Vous pouvez donc vous détendre et prier pour que nous ayons vu le dernier des exploits. Ou, vous pouvez garder vos boucliers en mettant à jour régulièrement vos programmes et systèmes d’exploitation et en utilisant des programmes de sécurité anti-exploit de premier ordre. L’argent intelligent dit que les exploits seront de retour. Et quand ils reviendront, vous n’aurez pas un talon faible à leur exposer.