Des sites web piégés ont été utilisés par des hackers pour infecter les personnes qui les visitaient.
Les chercheurs de Google ont découvert une opération de piratage sophistiquée qui exploitait les vulnérabilités de Chrome et Windows pour installer des logiciels malveillants sur les appareils Android et Windows.
Tout d’abord, qu’est-ce qu’une faille zero-day ?
On appelle « faille zero-day » toute vulnérabilité d’un logiciel ou d’un système d’exploitation pour lequel aucun correctif n’a encore été publié. Ces failles non corrigées sont une véritable aubaine pour les hackers car elles permettent d’accéder aux ordinateurs (et donc aux données personnelles) très facilement.
Cette faille non corrigée va être utilisée par les hackers via un logiciel dit « exploit ». Le grand public ou les développeurs n’étant pas au courant de cette faille, les hackers peuvent prendre par surprise les utilisateurs, et ainsi les voler plus facilement.
La recherche de vulnérabilités zero-day nécessite des compétences de haut niveau en informatique. La découverte d’une faille peut se vendre très cher (entre 5000 et 250 000€), en fonction de la popularité du logiciel concerné et de l’importance de la faille découverte. Tellement lucrative d’ailleurs que des entreprises en ont fait leur métier comme par exemple Zerodium.
Comment reconnaître une faille zero-day ?
Reconnaître rapidement une faille zero-day est primordiale, car les hackers, comptant sur l’effet de surprise, agissent vite. Il faut donc réagir tout aussi vite.
C’est aussi pour cette raison que la plupart des failles ne seront pas utilisées pour attaquer les ordinateurs des victimes, mais plutôt pour être vendues par celui qui l’a découverte.
Ces failles visant souvent de grands logiciels prestigieux très répandus comme les logiciels Microsoft, la suite Adobe, WordPress ou Joomla, ceux-ci sont prêts à débourser de grosses sommes d’argent pour trouver ces failles et les solutionner.
Comme nous le disions, ces failles n’ont pas l’attaque comme objectif, mais la marchandisation de l’information : le hacker vendra sa découverte au plus offrant, ce qui sera très lucratif s’il est le premier à identifier cette faille.
Des hackers ont utilisé 4 failles zero-day pour infecter des appareils Andoid et Windows
En début d’année 2020 ont été découvertes des attaques de ce genre : certains des exploits étaient des failles zero-day, ce qui signifie que des hackers ciblaient des vulnérabilités qui à l’époque étaient inconnues de Google, Microsoft et la plupart des chercheurs externes (les failles de sécurité ont, depuis, été corrigées).
Les pirates ont livré les exploits via des attaques watering hole (ou attaque de point d’eau), qui compromettent les sites fréquentés par les cibles et les lient avec du code qui installe des logiciels malveillants sur les appareils des visiteurs. Les sites piégés utilisaient deux serveurs d’exploitation, l’un pour les utilisateurs de Windows et l’autre pour les utilisateurs d’Android.
Des hackers extrêmement expérimentés
L’utilisation d’infrastructures complexes et de failles zero-day ne sont pas en soi un signe de d’attaques très sophistiquées, mais cela montre des compétences supérieures à la moyenne : c’est certainement l’œuvre d’une équipe professionnelle de pirates informatiques. Combinée à la robustesse du code d’attaque – qui a enchaîné plusieurs exploits de manière efficace – la campagne démontre qu’elle a été menée par un hacker de haut vol.
Un chercheur de l’équipe de recherche Project Zero de Google sur les exploits a affirmé « qu’il s’agit d’un code complexe bien conçu avec une variété de méthodes d’exploitation novatrices, une exploitation mature, des techniques de post-exploitation sophistiquées et calculées et des volumes élevés de contrôles anti-analyse et de ciblage. Nous pensons que des équipes d’experts ont conçu et développé ces chaînes d’exploit. »
Les 4 failles zero-day exploitées étaient:
- CVE-2020-6418 – Vulnérabilité de Chrome dans TurboFan (corrigée en février 2020)
- CVE-2020-0938 – Vulnérabilité des polices sous Windows (corrigée en avril 2020)
- CVE-2020-1020 – Vulnérabilité des polices sous Windows (corrigée en avril 2020)
- CVE-2020-1027 – Vulnérabilité Windows CSRSS (corrigée en avril 2020)
Les hackers ont obtenu l’exécution de code à distance en exploitant la faille zero-day de Chrome et plusieurs vulnérabilités Chrome récemment corrigées.
Toutes les failles zer-day ont été utilisées contre les utilisateurs de Windows.
Aucune des chaînes d’attaque ciblant les appareils Android n’exploitait le zero-day, mais les chercheurs du Project Zero ont déclaré qu’il était probable que les hackers disposaient d’Android zero-day.
En tout, Project Zero a publié six versements détaillant les exploits et les charges utiles post-exploit découverts par les chercheurs.
Leur intention est d’aider la communauté de la sécurité dans son ensemble à lutter plus efficacement contre les opérations de logiciels malveillants complexes.
Comment rester protégé des failles zero-day ?
Par définition, une faille zero-day est impossible à détecter ou à anticiper
Cependant, on peut réagir très vite une fois la faille découverte. Dès leur identification, des correctifs sont publiés : ce sont les seules solutions efficaces.
Vous pouvez tout de même adopter quelques bonnes pratiques pour vous en prémunir :
- Mettez toujours à jour les applications que vous utilisez
- Privilégiez les logiciels dont les développeurs sont actifs. Ceci vous garantit que, si une faille zero-day est trouvée sur ce logiciel, elle sera corrigée rapidement. Des logiciels laissés à l’abandon par leurs développeurs n’offrent pas cette garantie.
- Utilisez un logiciel de sécurité informatique capable de détecter un comportement anormal de votre ordinateur.