{"id":205949,"date":"2020-12-28T08:18:58","date_gmt":"2020-12-28T07:18:58","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=205949"},"modified":"2023-06-23T13:25:19","modified_gmt":"2023-06-23T12:25:19","slug":"et-si-votre-antivirus-origine-une-cyberattaque","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/fr\/actus\/et-si-votre-antivirus-origine-une-cyberattaque\/","title":{"rendered":"Et si votre antivirus \u00e9tait \u00e0 l\u2019origine d\u2019une cyberattaque ?"},"content":{"rendered":"

\"Et<\/p>\n

Souvent per\u00e7us comme un rempart historique contre les cyber-menaces, les antivirus n\u2019en sont pas moins vuln\u00e9rables. Et l\u2019actualit\u00e9 montre que ces solutions de protection sont devenues des cibles particuli\u00e8rement int\u00e9ressantes pour les cyber-criminels. Explications.<\/strong><\/p>\n

 <\/p>\n

On ne sait jamais d\u2019o\u00f9 va venir une cyberattaque. Mais l\u2019intrusion dont a \u00e9t\u00e9 la cible Mitsubishi Electric<\/a> en 2019 peut surprendre\u00a0: les cyber-criminels ont en effet exploit\u00e9 une faille dans son... antivirus. Plus pr\u00e9cis\u00e9ment, ils ont d\u00e9tourn\u00e9 l\u2019antivirus pour s\u2019octroyer des privil\u00e8ges \u00e9lev\u00e9s leur permettant d\u2019\u00e9tendre leur emprise sur les machines infect\u00e9es. Et cela n\u2019a rien d\u2019anodin\u00a0: un antivirus d\u00e9tourn\u00e9 n\u2019emp\u00eachera pas la cyberattaque. Pire encore, dans certains cas, c\u2019est sa pr\u00e9sence sur le poste qui permettra une attaque<\/strong>. Cette nouvelle fa\u00e7on d\u2019op\u00e9rer en dit long sur l\u2019\u00e9volution des cyberattaques et les r\u00e9ponses \u00e0 apporter.<\/p>\n

 <\/p>\n

Pourquoi attaquer un antivirus\u00a0?<\/h2>\n

Cela peut sembler contre-intuitif\u00a0: en ciblant un antivirus, les cyber-criminels ne prennent-ils pas le risque de faire sonner toutes les alarmes\u00a0? \u00ab\u00a0Pendant longtemps, les attaquants ont cherch\u00e9 \u00e0 se dissimuler des solutions de s\u00e9curit\u00e9 pour faire leurs op\u00e9rations<\/em>, rappelle Adrien Brochot<\/strong>, Product Manager Stormshield. Mais les antivirus<\/a> \u00e9tant de plus en plus sophistiqu\u00e9s, c\u2019est devenu plus difficile pour eux. Du coup, une des techniques actuelles consiste \u00e0 d\u00e9sactiver l\u2019antivirus avant de r\u00e9aliser une op\u00e9ration malveillante. Voire de passer par l\u2019antivirus pour augmenter ses privil\u00e8ges sur la machine.<\/em>\u00a0\u00bb<\/p>\n

Une des techniques actuelles consiste \u00e0 d\u00e9sactiver l\u2019antivirus avant de r\u00e9aliser une op\u00e9ration malveillante. Voire de passer par l\u2019antivirus pour augmenter ses privil\u00e8ges sur la machine<\/em><\/p>\n

Adrien Brochot<\/strong>, Product Manager Stormshield<\/pre>\n<\/blockquote>\n
Car l\u2019\u00e9l\u00e9vation de privil\u00e8ges demeure le Graal des cyber-criminels. \u00ab\u00a0Dans un exemple classique d\u2019attaque, on commence par prendre le contr\u00f4le d\u2019un service expos\u00e9 avec un niveau de privil\u00e8ge faible<\/em>, d\u00e9taille S\u00e9bastien Viou<\/strong>, Directeur Cybers\u00e9curit\u00e9 Produit et Cyber-\u00c9vang\u00e9liste chez Stormshield. Mais \u00e0 travers une autre vuln\u00e9rabilit\u00e9, on va prendre la main sur un processus de niveau sup\u00e9rieur qui permet d\u2019ex\u00e9cuter du code ou une commande. Et l\u00e0, on va pouvoir \u00e9tendre son p\u00e9rim\u00e8tre d\u2019action.<\/em>\u00a0\u00bb Cette d\u00e9marche est \u00ab\u00a0assez simple \u00e0 mettre en place<\/em>, selon S\u00e9bastien. Ce qui est difficile, c\u2019est de trouver les vuln\u00e9rabilit\u00e9s.<\/em>\u00a0\u00bb Une recherche qui peut prendre du temps, mais qui finit toujours par porter ses fruits, y compris dans les solutions de protection. En parvenant \u00e0 compromettre l\u2019anti-virus, les cyber-criminels peuvent m\u00eame esp\u00e9rer acc\u00e9der \u00e0 des droits d\u2019administrateur d\u2019un poste puis d\u2019administrateur du domaine. Ou comment l\u2019antivirus est devenu une cible de choix des cyber-criminels\u2026<\/p>\n
 <\/p>\n
Enlarge your surface d\u2019attaque<\/em><\/h2>\n
Un antivirus est un logiciel. Et qui dit logiciel, dit lignes de code et possibles bugs, qui peuvent se transformer en vuln\u00e9rabilit\u00e9. \u00ab\u00a0Quand on code, on a statistiquement environ 1 bug pour 1\u00a0000 lignes de code. Et dans un logiciel, il y a des centaines de milliers de lignes de code. Donc, lorsque l\u2019on ajoute un logiciel sur un \u00e9quipement, on augmente forc\u00e9ment la surface d\u2019attaque<\/em>\u00a0\u00bb, souligne S\u00e9bastien Viou. C\u2019est ce qu\u2019on appelle le risque de la mesure\u00a0: au risque r\u00e9siduel s\u2019ajoute le risque de la mesure que l\u2019on met en place<\/strong>. Y compris <\/u>lorsqu\u2019il s\u2019agit d\u2019une mesure de protection.<\/p>\n