#Microsoft a neutralisé une plateforme qui rendait les virus presque invisibles

Quand on imagine un virus informatique, on pense souvent à un programme bizarre rempli d’alertes rouges, un PC qui ralentit brutalement ou un antivirus qui se met soudainement à paniquer.

Mais aujourd’hui, les cyberattaques modernes fonctionnent rarement comme ça.

Les menaces les plus dangereuses sont souvent celles qu’on ne remarque même pas.

Et cette semaine, Microsoft, accompagné d’Europol et du FBI, a annoncé avoir neutralisé une plateforme utilisée par des cybercriminels pour rendre leurs malwares beaucoup plus difficiles à détecter.

Le nom de cette infrastructure :

Fox Tempest.

Et honnêtement, son fonctionnement est assez inquiétant.

#Des virus qui semblaient presque “officiels”

Le principe utilisé par les pirates était particulièrement intelligent.

Au lieu de créer des virus facilement repérables, certains groupes utilisaient des certificats numériques capables de faire apparaître leurs logiciels comme légitimes.

Pour simplifier :

les hackers faisaient passer leurs virus pour des logiciels presque officiels.

Aux yeux de Windows, le fichier pouvait parfois sembler fiable ou “normal”.

En pratique :

  • le malware paraissait signé ;
  • Windows le considérait comme plus crédible ;
  • certains antivirus avaient plus de mal à l’identifier ;
  • et les victimes avaient beaucoup moins de raisons de se méfier.

Le plus fou dans l’histoire ?

Beaucoup d’utilisateurs n’auraient probablement jamais remarqué quoi que ce soit.

#Pourquoi ces signatures sont aussi importantes

Aujourd’hui, énormément de logiciels utilisent des signatures numériques.

Quand un programme est signé correctement :

  • Windows peut vérifier son authenticité ;
  • l’éditeur du logiciel est identifié ;
  • le système considère généralement le fichier comme plus fiable.

C’est ce qui explique les messages du type :

“Éditeur vérifié”.

Et la plupart du temps, on clique presque automatiquement sur “Oui” sans vraiment réfléchir.

Le problème, c’est que si des cybercriminels arrivent à détourner ou exploiter ce système de confiance, les protections deviennent beaucoup moins rassurantes.

Et c’est précisément ce qui inquiétait les autorités.

#Les cyberattaques modernes deviennent presque invisibles

Le cliché du hacker qui détruit brutalement un ordinateur devient de moins en moins représentatif de la réalité.

Aujourd’hui, beaucoup d’attaques cherchent surtout à :

  • rester discrètes ;
  • voler des données ;
  • récupérer des accès ;
  • espionner silencieusement ;
  • ou préparer une attaque plus importante plus tard.

Et pour ça, les cybercriminels utilisent souvent :

  • des outils légitimes ;
  • des services cloud connus ;
  • des certificats authentiques ;
  • des plateformes parfaitement normales en apparence.

Le but n’est plus forcément de tout casser immédiatement.

Le vrai objectif est souvent :

passer sous le radar le plus longtemps possible.

Et parfois, cela fonctionne pendant plusieurs jours… voire plusieurs semaines.

#Microsoft, Europol et le FBI ont fini par intervenir

Face à l’ampleur du problème, Microsoft a travaillé avec plusieurs agences internationales pour démanteler cette infrastructure.

Selon les informations publiées :

  • des serveurs ont été saisis ;
  • des certificats ont été révoqués ;
  • plusieurs outils utilisés par les pirates ont été neutralisés.

L’objectif était surtout de casser le système qui permettait de rendre certains malwares beaucoup plus crédibles.

Parce qu’une fois qu’un virus semble “normal”, beaucoup d’utilisateurs baissent naturellement leur vigilance.

Et honnêtement ?

C’est assez humain.

La plupart des gens font confiance à ce que Windows affiche à l’écran.

#Le vrai problème : la confiance numérique

Cette affaire montre surtout une chose :

la cybersécurité moderne repose énormément sur la confiance.

Quand vous installez un logiciel, vous faites confiance :

  • à Windows ;
  • aux certificats ;
  • aux signatures ;
  • aux plateformes de téléchargement ;
  • aux messages affichés par le système.

Mais si des cybercriminels arrivent à manipuler ces mécanismes, tout devient beaucoup plus flou.

Et c’est probablement ce qui inquiète le plus les experts aujourd’hui.

Parce qu’au final, même les utilisateurs prudents peuvent parfois se faire piéger.

#“J’ai un antivirus, donc je suis protégé”

Beaucoup de gens pensent encore :

“J’ai un antivirus, donc je suis tranquille.”

Malheureusement, ce n’est plus aussi simple aujourd’hui.

Les nouvelles attaques utilisent souvent :

  • des outils légitimes ;
  • des scripts très discrets ;
  • des certificats valides ;
  • des techniques qui ressemblent à des comportements normaux.

Résultat :

certains virus peuvent passer plusieurs jours sans être détectés.

Et c’est précisément ce type d’attaque qui progresse le plus actuellement.

#Les utilisateurs ordinaires restent les premières victimes

Même si cette affaire semble très technique, elle concerne aussi le grand public.

Parce qu’au final, les attaques ciblent souvent :

  • les mots de passe ;
  • les comptes bancaires ;
  • les navigateurs ;
  • les mails ;
  • les documents personnels ;
  • les sessions connectées (La fameuse case “Se souvenir de moi”).

Et dans énormément de cas, une simple installation douteuse ou un faux téléchargement suffit encore à infecter une machine.

Le plus inquiétant ?

Dans beaucoup de situations, les victimes continuent simplement d’utiliser leur ordinateur normalement... sans se rendre compte que quelque chose tourne déjà discrètement en arrière-plan.

#Une cybercriminalité de plus en plus professionnelle

Ce que cette affaire montre surtout, c’est que les cyberattaques modernes deviennent extrêmement professionnelles.

On est très loin du cliché du “petit hacker dans sa chambre”.

Aujourd’hui, certains groupes utilisent :

  • des infrastructures complexes ;
  • des services cloud ;
  • des certificats numériques ;
  • des outils avancés ;
  • et parfois même des technologies normalement conçues pour protéger les utilisateurs.

Et c’est probablement ça le plus perturbant.

Les outils utilisés pour sécuriser Internet peuvent parfois être détournés pour faire exactement l’inverse.

#Une réalité qui devient quotidienne

Ce type d’affaire risque malheureusement de devenir de plus en plus fréquent.

Parce que les cybercriminels évoluent constamment :

  • plus organisés ;
  • plus discrets ;
  • plus professionnels ;
  • et souvent beaucoup mieux préparés qu’avant.

Le problème aujourd’hui n’est plus uniquement le “virus visible”.

Le vrai danger moderne, c’est souvent celui qui semble parfaitement normal.

Et c’est probablement ce qui rend la cybersécurité actuelle aussi compliquée.

#Sources

01net

BleepingComputer

Microsoft Security Blog