Malwares 101 : les implants comme méthode d’infection

L’erreur humaine est à l’origine de la majorité des malwares lorsqu’il s’agit d’accéder à un appareil ou à un réseau. Que ce soit sous la forme d’un utilisateur trompé par un cheval de Troie ou d’un développeur de logiciels introduisant accidentellement un bug qui finit par être exploité. Cependant, ce n’est pas la seule façon dont les malwares peuvent s’infiltrer, ce qui nous amène à la troisième méthode d’infection : les implants.

Les implants ne sont pas des erreurs, mais plutôt des infections intentionnelles de la part des pirates. Ces derniers tirent parti de l’accès obtenu aux systèmes pour déployer délibérément des malwares. Cet accès peut se faire par des moyens numériques ou physiques.

Comment fonctionnent les implants

Les exploits ne sont peut-être pas le moyen le plus courant pour les malwares d’accéder à un système, mais ils constituent le moyen le plus courant pour un pirate d’accéder à un réseau. Les vulnérabilités de toute partie du périmètre réseau ou de tout système capable de se connecter en dehors de ce périmètre peuvent être exploitées pour infiltrer un réseau ainsi que pour élever les privilèges et/ou se déplacer latéralement au sein du réseau pour accéder à d’autres systèmes. Une fois qu’un pirate a accès à un réseau, il peut y implanter des malwares qui l’aideront à atteindre ses objectifs. Même lorsque les malwares ont déjà été exploités pour l’accès initial, de nombreux types tels que les bots resteront dans le réseau et pourraient implanter d’autres malwares ultérieurement.

La sécurité physique constitue également le périmètre réseau et doit être protégée au moyen du contrôle et de la surveillance des accès. Les firewalls sont conçus pour créer une barrière afin d’empêcher les pirates d’entrer, mais tous les systèmes d’un réseau se trouvent déjà derrière cette barrière. L’accès physique à un système peut permettre à un pirate d’implanter un malware simplement en insérant un périphérique USB. Bien qu’il existe de nombreuses options de protection et de surveillance disponibles au sein du réseau, les enjeux sont toujours plus élevés une fois que la menace a franchi le mur destiné à empêcher les pirates d’entrer.

Comme le montrent les chevaux de Troie, les vulnérabilités ne prennent pas toujours une forme numérique. Les personnes peuvent également constituer une vulnérabilité, qu’il s’agisse d’un utilisateur qui tombe par inadvertance dans le piège d’un cheval de Troie ou qui divulgue ses identifiants sur un site de phishing, ou d’un acteur malveillant en interne qui implante un malware ou vole des données pour d’innombrables raisons. Il pourrait, par exemple, vouloir vendre des données de l’entreprise pour gagner de l’argent, avoir été contacté par un pirate et s’être vu offrir de l’argent pour accéder au réseau, se sentir offensé par son entreprise et vouloir se venger. Il peut aussi s’agir d’une personne jalouse qui installe un logiciel espion sur le téléphone de son/sa conjoint(e). Un individu peut aussi devenir un acteur malveillant malgré lui, par exemple si un pirate le piège pour qu’il lui fournisse un accès ou des informations.

L’impact potentiel des implants

La puissance de l’accès est limitée à ce à quoi il donne accès (ou à ce qu’il permet de faire). Si l’accès à un seul compte utilisateur non administrateur n’a pas un impact énorme, l’accès à une chaîne logistique peut avoir des conséquences dramatiques. C’est pourquoi les attaques contre les chaînes logistiques logicielles se sont multipliées ces dernières années.

Accéder à la chaîne logistique revient à obtenir un accès administrateur non pas à un, mais à tous les comptes utilisés par la chaîne logistique compromise. Si une bibliothèque de codes est utilisée par 100 logiciels, l’implantation d’un malware dans cette bibliothèque peut avoir des répercussions sur les 100 projets qui l’utilisent. Bien qu’il ne s’agisse pas de la première, l’une des compromissions les plus connues de la chaîne logistique impliquait un logiciel de gestion de réseau créé par SolarWinds. Parce que le logiciel infecté avait naturellement un accès important au réseau et que certains clients de premier plan, dont le gouvernement américain, ont été touchés, cette attaque a eu un énorme impact. C’est un exemple frappant des dangers des attaques de la chaîne logistique.

Quels que soient le motif et la situation, le point commun entre toutes les implantations de malware est que la personne déploie le malware de manière intentionnelle. L’accès aux appareils et/ou aux réseaux est exploité à cette fin. Parfois, l’accès est obtenu par un pirate, et parfois l’accès lui est accordé, par exemple quand les acteurs internes malveillants agissent pour le compte d’un pirate.

Selon le niveau et la nature de cet accès, l’impact peut varier considérablement et, en cas de compromission de la chaîne logistique, être très important. S’ils sont moins courants que les autres méthodes d’infection, les implants peuvent être plus difficiles à prévenir, car ils peuvent contourner de nombreuses mesures de sécurité préventives classiques. C’est pourquoi il est important de surveiller et de détecter les implants ou l’accès obtenu pour les implanter.