Porte dérobée

Une porte dérobée est une méthode utilisée pour passer outre une authentification ou un cryptage et créer un accès secret à un ordinateur afin de le contrôler à l'insu de l'utilisateur.

Porte dérobée : De quoi s'agit-il ?

Il s'agit d'un système qui peut parfois être installé volontairement pour donner l'accès à des utilisateurs distants. Mais lorsque ce terme s'applique aux logiciels malveillants, il s'agit de virus que les pirates utilisent pour accéder aux fonctions d'un ordinateur sans être détectés. Ces virus sont en fait un ensemble de menaces de sécurité dont certaines peuvent être contrôlées à distance.

 

Comment se diffusent-elles ?

Les portes dérobées s'introduisent souvent dans les systèmes par le biais d'autres programmes nuisibles tels que des chevaux de Troie, virus o incluso logiciels espions. Elles font en sorte d'obtenir un accès à l'insu des administrateurs puis infectent les sessions de tous les utilisateurs du réseau compromis. Certaines menaces sont parfois installées par des utilisateurs privilégiés pour leur permettre de profiter d'un accès à une date ultérieure.

Certaines portes dérobées sont intégrées à des applications spécifiques. Des programmes légitimes peuvent avoir des vulnérabilités non documentées qui autorisent un accès à distance. Les attaquants ont alors besoin d'un moyen pour contacter l'ordinateur compromis afin d'obtenir un accès non autorisé au système.

Les utilisateurs eux-mêmes peuvent installer par inadvertance des portes dérobées sur leurs ordinateurs. Un virus de porte dérobée peut être joint à une application de partage de fichiers ou à un e-mail. Des techniques similaires à celles des logiciels alarmants et des logiciels de rançon.

Certaines portes dérobées exploitent des vulnérabilités spécifiques de systèmes distants, sur des ordinateurs ou dans le réseau.v

 

Quel mal peuvent-elles causer ?

Les virus qui pénètrent par des portes dérobées ont souvent des capacités de destruction supplémentaires, comme l'enregistrement de captures d'écran ou de saisies et le cryptage de fichiers. Une porte dérobée permet à un intrus de créer, supprimer, renommer, modifier ou copier un fichier, exécuter des commandes, modifier des paramètres système, supprimer des données du Registre Windows, lancer, contrôler et mettre fin à des applications, ou installer de nouveaux logiciels malveillants.

Elles peuvent aussi permettre aux attaquants de prendre le contrôle d'équipements matériels, de modifier les paramètres associés, de redémarrer ou d'arrêter un ordinateur sans permission et de dérober des données confidentielles, des mots de passe, des données de connexion, des informations personnelles et d'autres documents importants.

Certaines attaques de portes dérobées profitent de l'enregistrement des actions des utilisateurs sur le Web et de l'analyse de leurs habitudes ou de l'infection de fichiers pour endommager le système et altérer des applications.

 

Exemples d'attaques de portes dérobées

Un ejemplo es Sticky Attacks, détecté par PandaLabs en 2017, en constitue un exemple. Dans ce cas, les attaquants avaient perpétré une attaque de force brute contre un serveur sur lequel RDP (Remote Desktop Protocol) était activé et avaient réussi à obtenir les informations de connexion pour accéder à l'ordinateur. Les cybercriminels s'étaient ensuite servi de scripts et d'outils du système d'exploitation pour faire en sorte de ne pas être détectés et installer une porte dérobée simple.

Même si les victimes réalisaient qu'elles avaient été compromises et changeaient les mots de passe du bureau à distance, les attaquants pouvaient quand même se servir des Sticky Keys pour accéder à l'ordinateur sans avoir à ressaisir les informations de connexion.

DoublePulsar en est un autre exemple récent. Il s'agit d'un outil pour la mise en place de portes dérobées développé par la NSA (National Security Agency) américaine, révélé et utilisé par le groupe de pirates Shadow Brokers début 2017. Il semble que cet outil ait infecté plus de 200 000 ordinateurs sous Microsoft Windows en quelques semaines seulement et qu'il ait été utilisé avec EternalBlue dans l'attaque WannaCry de mai 2017.