Souvent perçus comme un rempart historique contre les cyber-menaces, les antivirus n’en sont pas moins vulnérables. Et l’actualité montre que ces solutions de protection sont devenues des cibles particulièrement intéressantes pour les cyber-criminels. Explications.
On ne sait jamais d’où va venir une cyberattaque. Mais l’intrusion dont a été la cible Mitsubishi Electric en 2019 peut surprendre : les cyber-criminels ont en effet exploité une faille dans son... antivirus. Plus précisément, ils ont détourné l’antivirus pour s’octroyer des privilèges élevés leur permettant d’étendre leur emprise sur les machines infectées. Et cela n’a rien d’anodin : un antivirus détourné n’empêchera pas la cyberattaque. Pire encore, dans certains cas, c’est sa présence sur le poste qui permettra une attaque. Cette nouvelle façon d’opérer en dit long sur l’évolution des cyberattaques et les réponses à apporter.
Pourquoi attaquer un antivirus ?
Cela peut sembler contre-intuitif : en ciblant un antivirus, les cyber-criminels ne prennent-ils pas le risque de faire sonner toutes les alarmes ? « Pendant longtemps, les attaquants ont cherché à se dissimuler des solutions de sécurité pour faire leurs opérations, rappelle Adrien Brochot, Product Manager Stormshield. Mais les antivirus étant de plus en plus sophistiqués, c’est devenu plus difficile pour eux. Du coup, une des techniques actuelles consiste à désactiver l’antivirus avant de réaliser une opération malveillante. Voire de passer par l’antivirus pour augmenter ses privilèges sur la machine. »
Une des techniques actuelles consiste à désactiver l’antivirus avant de réaliser une opération malveillante. Voire de passer par l’antivirus pour augmenter ses privilèges sur la machine
Adrien Brochot, Product Manager Stormshield
Car l’élévation de privilèges demeure le Graal des cyber-criminels. « Dans un exemple classique d’attaque, on commence par prendre le contrôle d’un service exposé avec un niveau de privilège faible, détaille Sébastien Viou, Directeur Cybersécurité Produit et Cyber-Évangéliste chez Stormshield. Mais à travers une autre vulnérabilité, on va prendre la main sur un processus de niveau supérieur qui permet d’exécuter du code ou une commande. Et là, on va pouvoir étendre son périmètre d’action. » Cette démarche est « assez simple à mettre en place, selon Sébastien. Ce qui est difficile, c’est de trouver les vulnérabilités. » Une recherche qui peut prendre du temps, mais qui finit toujours par porter ses fruits, y compris dans les solutions de protection. En parvenant à compromettre l’anti-virus, les cyber-criminels peuvent même espérer accéder à des droits d’administrateur d’un poste puis d’administrateur du domaine. Ou comment l’antivirus est devenu une cible de choix des cyber-criminels…
Enlarge your surface d’attaque
Un antivirus est un logiciel. Et qui dit logiciel, dit lignes de code et possibles bugs, qui peuvent se transformer en vulnérabilité. « Quand on code, on a statistiquement environ 1 bug pour 1 000 lignes de code. Et dans un logiciel, il y a des centaines de milliers de lignes de code. Donc, lorsque l’on ajoute un logiciel sur un équipement, on augmente forcément la surface d’attaque », souligne Sébastien Viou. C’est ce qu’on appelle le risque de la mesure : au risque résiduel s’ajoute le risque de la mesure que l’on met en place. Y compris lorsqu’il s’agit d’une mesure de protection.
Ainsi, une étude récente de CyberArk a révélé d’importantes failles dans la plupart des logiciels de protection. Une douzaine de vulnérabilités ont été identifiées par les chercheurs en cybersécurité de CyberArk, y compris dans les antivirus leaders sur le marché. Du pain béni pour les cyber-criminels.
Une attaque en trois temps
Pour détourner un antivirus, un exemple de vulnérabilité très utilisée concerne les liens symboliques de fichier. L’objectif de cette approche est de rediriger l’attention de l’antivirus vers un autre fichier que celui contentant le malware – souvent un des fichiers de l’antivirus lui-même, pour entraîner sa désactivation. Comme le rôle de l’antivirus est de scanner tous les fichiers qui arrivent sur le poste, il va forcément scanner le fichier malveillant et tenter de le supprimer. Mais à cause du lien symbolique, il va supprimer à la place le fichier ‘légitime’. « Cette technique permet de détourner l’exécution de service. C’est l’exploitation la plus simple à faire, elle se fait en quelques lignes de commande », note Sébastien Viou. C’est la première étape d’une cyberattaque, celle qui permet au cyber-criminel de mettre un pied dans le système.
Une fois que l’on a la main comme administrateur sur une machine, c’est relativement facile de prendre la main sur d’autres machines du parc, voire tout le système
Sébastien Viou, Directeur Cybersécurité Produit et Cyber-Évangéliste Stormshield
La deuxième étape consiste à augmenter son niveau de privilège. Par exemple, une application ne contrôlant pas convenablement ses ressources peut charger une bibliothèque de liens dynamiques (DLL – Dynamic Link Library) contrôlée par l’attaquant au lieu de la sienne, permettant ainsi à l’attaquant d’exécuter du code dans le contexte de l’application ayant des privilèges élevés. Cette faille suffit ensuite à enclencher la fameuse réaction en chaîne. « La solution de sécurité a tout pouvoir sur le poste. Elle a les droits les plus élevés pour pouvoir bloquer toutes les applications nécessaires. Si on en prend le contrôle, on s’octroie tous les droits sur la machine, explique Adrien Brochot. Et comme les antivirus sont généralement installés sur tous les postes de l’entreprise, trouver une faille exploitable sur un poste signifie que l’on pourra l’exploiter sur tout le reste du parc. »
« Une fois que l’on a la main comme administrateur sur une machine, c’est relativement facile de prendre la main sur d’autres machines du parc, voire tout le système. C’est pour cela que l’AD est visé dans les rebonds. », prévient Sébastien Viou. C’est la troisième étape de l’attaque : le lancement de la partie malveillante. « Les attaquants essaient d’être discrets dans les premières étapes pour infecter un maximum de machines avant de déclencher véritablement la dimension malveillante : vol de données, blocage de postes, perturbation de production…, analyse Adrien Brochot. C’est généralement là que l’on se rend compte que l’on est attaqué : on commence à être jeté hors du système, on n’a plus accès à ce que l’on veut... Et là, les admins peuvent commencer à paniquer, parce que c’est déjà trop tard. » Avec des conséquences souvent très graves, comme l’arrêt de la production.
Comment construire une cybersécurité robuste ?
Et les antivirus ne sont pas les seuls concernés ici, puisque les solutions de cybersécurité dans leur globalité n’échappent pas à cette menace. Jeter un rapide coup d’œil sur la liste des CVE concernant des éditeurs suffit à donner le tournis… Ces vulnérabilités sont nombreuses et documentées – sans parler des backdoors, délibérément implémentées dans certains systèmes et solutions.
Mais alors comment faire face à ces menaces quand les outils censés nous protéger basculent du côté obscur de la Force ? Une question complexe qui appelle une première réponse simple : il convient de les rendre plus robustes. Et donc plus sûrs. Et c’est aux éditeurs de solution de sécurité – comme Stormshield – de s’appliquer à introduire toutes les meilleures pratiques et tous les outils pour y parvenir dans leurs cycles de développement, en appliquant le concept de Security By Design.
Dès la conception de ces outils, il est impératif de prévoir l’ensemble des exigences de sécurité applicables et de réaliser une analyse de risque. Ainsi, le choix d’une architecture logicielle de type micro-services par exemple offrira une résilience supérieure à une solution monolithique. Cette micro-segmentation consiste à segmenter les droits et isoler le workflow de chaque service, comme l’explique Adrien Brochot : « on éclate toutes les fonctionnalités d’une solution en plusieurs services différents. Chacun a le minimum de droits requis pour effectuer ses opérations et n’a le droit de communiquer qu’avec certains autres services déterminés ». C’est l’application du principe du moindre privilège, recommandé par l’ANSSI. Objectif : réduire la surface d’attaque au minimum et limiter la propagation du malware. En phase de développement ensuite, il faut utiliser des outils de contrôle de code et faire appel à des sociétés extérieures spécialisées – à grand renfort de bug bounty par exemple. Enfin, avant la mise sur le marché, les solutions ainsi que leur code source peuvent être décortiqués par des tiers souverains afin de garantir l’absence de backdoor et de failles structurelles. Simple question de confiance.
Malgré toutes ces précautions, aucune solution de sécurité ne garantira jamais l’absence de bug. Mais il est cependant possible d’exiger un gage de robustesse de la solution ainsi que d’une capacité à se protéger elle-même, voire de s’auto-réparer, pour minimiser l’impact d’une éventuelle corruption. C’est pourquoi, la meilleure des solutions à adopter est de privilégier des technologies de confiance, pour garantir un niveau de sécurité global et optimal du système à protéger.
