Nouvelle campagne de spam via Excel Web Query pour diffuser des malwares

Nouvelle campagne de spam via Excel Web Query pour diffuser des malwares

Une nouvelle campagne de spam a été identifiée. Elle utilise des fichiers Excel Web Query pour envoyer des malwares.

Dans ce cas, les fichiers avec une extension IQY (.iqy) sont utilisés pour lancer des scripts PowerShell, donnant aux attaquants l’accès root à un périphérique.

Les fichiers .iqy ne sont généralement pas bloqués par des filtres antispam, ce qui rend la technique efficace pour la diffusion silencieuse de malwares.

Les spams sont envoyés via le botnet Necurs. Barkly a détecté trois campagnes de spam utilisant ces pièces jointes, mais il est fort probable que d’autres campagnes seront lancées.

Les fichiers Excel Web Query obtiennent des données d’une source externe et les chargent dans Excel. Dans ce cas, les données externes se présentent comme une formule exécutable dans Excel.

La formule est utilisée pour exécuter des scripts PowerShell qui, dans au moins une campagne, téléchargent un Cheval de Troie d’accès distant (RAT) appelé FlawedAmmyyy Admin.

Comment fonctionne cette nouvelle campagne de spam via des fichiers Excel Web Query

Il s’agit d’un outil d’administration à distance légitime (AMMYY Admin) modifié qui permet à l’attaquant de contrôler complètement un ordinateur et d’installer de nombreux programmes malveillants.

Dans bien des cas, les emails se font passer pour des bons de commande, des factures impayées et des documents scannés.

Ce sont des thèmes courants utilisés dans les emails non sollicités pour livrer des malwares. Les campagnes de spam utilisent souvent des documents Word avec des macros malveillantes.

Les macros sont généralement désactivées par défaut. Grâce à une formation de sensibilisation à la sécurité, les utilisateurs finaux peuvent être avisés de ne pas activer les macros sur les documents provenant d’expéditeurs inconnus.

Ceci permet d’empêcher le téléchargement de malwares.

Cependant, la plupart des utilisateurs finaux ne seront pas habitués à recevoir des fichiers .iqy, ces pièces jointes devraient donc éveiller les soupçons.

Microsoft a déjà intégré des avertissements pour empêcher ces fichiers d’être exécutés par les utilisateurs finaux.

Ainsi, si un utilisateur final tente d’en ouvrir un, cela déclenche un avertissement, prévenant que le fichier peut ne pas être sûr, car il permet une connexion externe.

L’utilisateur devra cliquer sur « enable » avant que la connexion ne soit établie et que les données ne soient extraites dans Excel. Un deuxième message d’avertissement s’afficherait alors, nécessitant encore une fois une autorisation.

Le script ne pourra donc s’exécuter et télécharger la charge utile malveillante que si l’utilisateur ignore ces deux avertissements.

Vous pouvez prendre deux mesures pour protéger vos terminaux et vos réseaux contre ce type d’attaque.

La première est de configurer votre filtre antispam pour mettre en quarantaine tous les emails contenant des pièces jointes avec une extension IQY.

SpamTitan permet de bloquer certains types de pièces jointes comme les fichiers exécutables et les fichiers .iqy. Grâce à cette solution, vous pouvez définir la politique de quarantaine, de rejet ou de suppression des emails.

Etant donné que ces types de fichiers ne sont généralement pas envoyés via la messagerie électronique, le rejet ou la suppression des messages est donc l’option la plus sûre.

Vous devriez également intégrer la façon d’utiliser ces fichiers dans vos séances de formation de sensibilisation à la sécurité et envisager d’envoyer une alerte par email aux utilisateurs finaux pour les avertir de la menace.

Contactez l’équipe de TitanHQ pour protéger vos messageries électroniques des malwares

Vous trouverez de plus amples informations sur les mesures que vous pouvez prendre afin de prévenir la propagation d’infections par des malwares via la messagerie électronique sur notre page de conseils antispam.

Si vous voulez en savoir plus sur les capacités de SpamTitan, vous pouvez appeler notre équipe de vente :

USA : +1 5859735070

Royaume-Uni/UE : +44 (0)2476993640

Irlande : +353 91 545555

Moyen-Orient : +971 4 3886998

Des documents word malveillants utilisés pour livrer le malware Cobalt

Des documents word malveillants utilisés pour livrer le malware Cobalt

Une campagne de diffusion de malwares a été identifiée. Elle utilise des e-mails de phishing et des macros malveillantes (PowerShell) et la stéganographie pour diffuser un script Cobalt Strike malveillant.

Les premiers e-mails de phishing contiennent une pièce jointe Word (.doc) avec une macro malveillante qui télécharge un script PowerShell de GitHub si elle est autorisée à s’exécuter. Ce script télécharge à son tour un fichier image PNG à partir du service de partage d’images légitime Imgur. L’image contient un code caché dans ses pixels qui peut être exécuté avec une seule commande pour exécuter la charge utile. Dans ce cas, il s’agit d’un script Cobalt Strike.

Cobalt Strike est un outil de test de pénétration couramment utilisé. S’il est utilisé par les professionnels de la sécurité à des fins de sécurité légitimes, il est également utile aux pirates informatiques. L’outil permet d’ajouter des balises aux dispositifs compromis, qui peuvent ensuite être utilisées pour exécuter des scripts PowerShell, créer des shells web ; augmenter les privilèges et fournir un accès à distance à certains dispositifs. Dans cette campagne, le fait de cacher le code dans l’image et d’utiliser des services légitimes tels que Imgur et GitHub ont aidé les attaquants à éviter la détection.

Le masquage du code dans les fichiers image est connu sous le nom de stéganographie et est utilisé depuis de nombreuses années comme moyen de dissimuler du code malveillant, généralement dans des fichiers PNG pour éviter que le code ne soit détecté. Lors de cette campagne, la tromperie ne s’est pas arrêtée là. Le script Cobalt Strike comprenait une chaîne EICAR destinée à tromper les solutions de sécurité et les équipes de sécurité en classant le code malveillant comme une charge utile antivirus, sauf si un contact est établi avec le serveur de commande et de contrôle de l’attaquant et que des instructions sont reçues.

Cette campagne a été identifiée par le chercheur ArkBird qui l’a comparée à celle menée par un groupe de pirates, connu sous le nom de Muddywater, qui a émergé vers 2017. Le groupe, Static kitten/Seedworm/Mercury, mène principalement des attaques sur des pays du Moyen-Orient, généralement l’Arabie Saoudite et l’Irak, bien qu’il soit connu pour mener des attaques sur d’autres cibles européennes et américaines. Cependant, il n’est pas certain que c’est ce groupe qui est le responsable de la campagne.

Naturellement, l’un des meilleurs moyens de bloquer ce type d’attaques est d’empêcher que des e-mails malveillants arrivent dans les boîtes de réception des utilisateurs finaux. Un filtre antispam tel que SpamTitan – qui intègre un système de sandboxing permettant d’analyser les pièces jointes en toute sécurité – permettra de s’assurer que ces messages n’arrivent pas dans les boîtes de réception de vos employés. Il est également recommandé de former les utilisateurs finaux afin que ces derniers soient conscients qu’ils ne doivent jamais activer les macros dans les documents Word envoyés par courrier électronique.

Une solution de filtrage web est également utile. Les filtres web tels que WebTitan peuvent être configurés pour donner aux équipes informatiques le contrôle sur le contenu web auquel les employés peuvent accéder. Étant donné que GitHub est couramment utilisé par les professionnels de l’informatique et d’autres employés à des fins légitimes, il n’est pas recommandé de bloquer le site à l’échelle de l’organisation. À la place, un blocage sélectif peut être placé pour des groupes d’employés ou des départements qui empêche GitHub et d’autres sites de partage de code potentiellement risqués (tels que PasteBin) d’être accessibles, délibérément ou non. Cette solution fournit un niveau de protection supplémentaire pour votre organisation.

Une nouvelle technique d’injection expose les donnees en pdf

Une nouvelle technique d’injection expose les donnees en pdf

Les pirates informatiques ont ciblé les utilisateurs de PDF avec une nouvelle technique d’injection. Les pièces jointes au format PDF ont été couramment utilisées comme cheval de Troie qui télécharge des malwares ou des ransomwares sur les appareils des utilisateurs de courrier électronique sans méfiance.

Cependant, les pirates ciblent maintenant les fichiers PDF eux-mêmes en utilisant des techniques d’injection de code. L’une de ces attaques, découverte au début du mois, permet aux pirates d’injecter du code qui lance des attaques de type « cross-site scripting » (XSS) dans le document PDF lui-même. L’objectif final de ces attaques est d’extraire des données sensibles des fichiers PDF.

Qu’est-ce qu’une attaque XSS ?

Selon l’OWASP (Open Web Application Security Project), les attaques XSS sont couramment utilisées pour injecter des scripts malveillants dans des sites web bénins et fiables. L’OWASP a classé les attaques XSS dans son Top 10 des menaces pour la sécurité des applications web depuis qu’il a commencé à publier cette célèbre liste il y a près de 20 ans.

Lorsqu’il est utilisé au sein d’applications web, le navigateur de l’utilisateur final n’a aucun moyen de savoir que le script malveillant ne doit pas être fiable et l’exécute. Une fois le script exécuté, l’attaquant peut accéder à des cookies, des jetons de session ou d’autres informations sensibles conservées par le navigateur de l’utilisateur lors d’une session web. Les exploits XSS peuvent être mis en œuvre n’importe où avec une application web.

Pourquoi les attaques par injection de PDF constituent-elles une menace ?

Les pirates n’utilisent pas d’attaques par injection pour accéder aux fichiers PDF ordinaires des bureaux. La véritable cible est constituée par les fichiers PDF générés côté serveur qui sont créés en permanence dans le monde numérique actuel. Ils se présentent sous la forme de billets électroniques, de reçus, de cartes d’embarquement, de factures, de fiches de paie, etc. Si des pirates informatiques parviennent à accéder à ces documents et à influencer la structure du PDF lui-même, ils peuvent injecter du code et capturer les données incluses.

Par exemple, si un pirate peut contrôler une partie d’un PDF qui contient des coordonnées bancaires, ces coordonnées peuvent être exfiltrées et téléchargées vers un site malveillant. Quand on sait la quantité de fichiers PDF avec lesquels nous travaillons tous, on comprend pourquoi les pirates les ciblent avec autant de vigueur.

Comment fonctionne l’attaque par injection de PDF ?

La menace d’injection de PDF récemment découverte fonctionne de la même manière que la méthode traditionnelle d’attaque des applications web. Dans le cas des fichiers PDF, les pirates profitent de ce que l’on appelle les caractères d’échappement, en particulier les barres obliques inverses et les parenthèses. Ces caractères d’échappement sont généralement utilisés pour accepter les entrées de l’utilisateur dans les flux de texte ou les URL d’annotation. Cela ouvre la porte à un pirate informatique qui peut ainsi injecter ses propres URL ou code JavaScript.

En injectant leurs propres caractères d’échappement, les pirates peuvent injecter leur propre code. L’injection d’un simple lien peut facilement compromettre l’ensemble du contenu d’un PDF, selon l’un des chercheurs qui ont découvert la méthodologie d’attaque. Cette méthodologie d’attaque a été démontrée lors d’une récente conférence en ligne de Black Hat en Europe ce mois-ci, montrant à quel point il était facile de télécharger des données exfiltrées sur un serveur distant en utilisant un simple lien injecté. Les présentateurs ont également révélé le fait que certaines des plus grandes bibliothèques PDF du monde sont vulnérables aux attaques par injection.

Comment éviter une telle attaque ?

Ce qui rend les attaques XSS possibles, c’est un codage bâclé. De la même manière que les utilisateurs ordinaires prennent des raccourcis lorsqu’il s’agit de créer un mot de passe, les développeurs de code prennent souvent des raccourcis lorsqu’ils écrivent du code Web 2.0. Dans le cas des injections de fichiers PDF, cela est dû au fait que les bibliothèques PDF ne parviennent pas à analyser correctement le code de ces types de caractères d’échappement dans les formats non protégés.

Dans le cas d’une vulnérabilité spécifique, Adobe a publié le 9 décembre une mise à jour de sécurité qui corrige cette faille de sécurité. Si votre organisation crée des PDF sous quelque forme que ce soit, il est fortement recommandé d’installer immédiatement la mise à jour.

TitanHQ peut vous aider à vous protéger contre les menaces liées aux PDF

Bien que TitanHQ ne puisse pas vous aider à analyser vos bibliothèques PDF, nous pouvons vous protéger des pièces jointes PDF infectées par des malwares. Notre solution avancée de sécurité des e-mails, appelée SpamTitan, est conçue pour découvrir et éradiquer les pièces jointes qui contiennent des virus et des codes malveillants. Pour ce faire, elle utilise une double protection antivirus et des techniques de sandboxing.

Prenez contact avec l’un des membres de l’équipe SpamTitan pour savoir comment mieux vous protéger contre les pièces jointes infectées par des malwares.

Un tour d’horizon autour du nouveau malware trickbot

Un tour d’horizon autour du nouveau malware trickbot

Le dernier malware Trickbot a démontré que les cybercriminels sont maîtres du développement de menaces cybercriminelles. Alors que les entreprises mettent à niveau leurs systèmes pour se protéger contre une menace, les pirates changent de tactique pour échapper à la détection.

De nouvelles techniques sont toujours utilisées pour déjouer les outils de détection. Les sites de phishing, par exemple, utilisent souvent des tactiques d’évasion pour éviter d’être détectés par les filtres web, les utilisateurs finaux et même les administrateurs réseau.

Les techniques varient et comprennent l’utilisation du HTTPS pour faire croire aux utilisateurs qu’un site est sûr ou l’utilisation d’images pour afficher du texte, ainsi que l’interdiction pour les administrateurs réseau de détecter un site de phishing.

Les malwares qui sont à la base de nombreuses campagnes de phishing font souvent l’objet d’une transformation. Cette fois-ci, il s’agit du tristement célèbre cheval de Troie bancaire appelé TrickBot.

Les astuces des pirates derrière le malware TrickBot

TrickBot est un cheval de Troie malveillant qui a été conçu à l’origine pour cibler les utilisateurs de l’Internet dans les banques. TrickBot est relativement nouveau dans le cycle de vie des malwares, ayant été repéré dans la nature pour la première fois en 2016. Depuis lors, il a infecté environ un million d’ordinateurs dans le monde entier.

TrickBot est conçu pour cibler à la fois les particuliers et les entreprises, en se concentrant sur le vol d’identifiants pour accéder à des comptes bancaires en ligne ou pour voler d’autres informations personnelles qui sont ensuite utilisées pour commettre des vols d’identité et d’autres fraudes. Plus récemment, TrickBot a été associé à la distribution de ransomwares, le malware agissant comme un facilitateur de l’infection.

TrickBot a de nombreuses astuces et il doit être considéré comme un système de malwares très polyvalent, et non seulement comme un exécutable malveillant à usage unique.

Le Federal Bureau of Investigation (FBI) et la Cybersecurity and Infrastructure Security Agency (CISA) ont récemment publié un avertissement concernant une attaque imminente contre les soins de santé. Ils ont affirmé que TrickBot était utilisé pour infecter un système, ce qui ouvre la porte à d’autres malwares, en créant un centre de « commande et de contrôle » utilisé par les pirates pour infecter un réseau.

Afin d’éviter que le malware TrickBot n’interrompe ou n’ait un impact sur les élections américaines, Microsoft a choisi de charger le système et a demandé une ordonnance du tribunal pour fermer les serveurs qui se trouvent derrière TrickBot. Dans un avis publié le 12 octobre 2020, Microsoft a déclaré qu’ils y étaient parvenus :

« …grâce à une ordonnance de la cour que nous avons obtenue ainsi qu’à une action technique que nous avons exécutée en partenariat avec des fournisseurs de télécommunications du monde entier, nous avons maintenant coupé les infrastructures clés, de sorte que ceux qui exploitent TrickBot ne pourront plus lancer de nouvelles infections ou activer des ransomwares déjà déposés dans les systèmes informatiques ».

Cependant, une fois que les élections sont terminées, TrickBot refait surface.

Autres astuces de TrickBot

Les développeurs de TrickBot sont rusés. Afin d’éviter d’autres démantèlements, ils ont intégré de nouvelles fonctionnalités dans la conception du malware. Les 3 et 18 novembre, respectivement, les versions 2000016 et 100003 de TrickBot ont été déployées ; la numérotation apparemment désynchronisée n’étant qu’une indication du passage à un système de version plus ancien.

Les chercheurs de Bitdefender ont trouvé une nouvelle vie dans les anciens malwares

Une nouvelle infrastructure de commandement et de contrôle (C2)

TrickBot utilise désormais des routeurs Mikrotik compromis comme base de ses communications C2. Une recherche effectuée par Shodan, un système qui recherche les appareils connectés, a trouvé 1,7 million de ces routeurs, dont beaucoup peuvent être compromis en utilisant des informations d’identification volées et d’autres vulnérabilités. La dernière version de TrickBot dispose également d’une option de repli si un serveur C&C ne fonctionne pas.

L’obfuscation

L’une des astuces utilisées par TrickBot et d’autres malwares consiste à se cacher des filtres web et même des administrateurs réseau en utilisant des techniques d’obscurcissement.

Une analyse de la dernière version de TrickBot par Huntress a révélé que les pirates derrière TrickBot ont obscurci un fichier de lot utilisé pour livrer la charge utile du malware en utilisant des lettres et d’autres caractères apparemment placés au hasard. L’équipe de Huntress pense que les pirates ont fait cela pour rendre difficile la détection des preuves du malware par les logiciels d’analyse automatisés. Elle poursuit en disant que, bien que le script utilisé pour délivrer le malware puisse sembler absurde, il ne l’est pas. Il y a suffisamment d’informations pour que le processeur de fichiers batch Windows cmd [.] exe puisse interpréter et exécuter le malware.

Selon l’analyste de Huntress : « Il est indéniable que la mise en place de l’automatisation améliore réellement la posture de sécurité et la défense d’une organisation… mais les outils automatisés, comme pour tout, ne devraient être qu’une couche de protection. »

TrickBot peut venir d’un appareil près de chez vous

Selon Bitdefender, la dernière version de TrickBot a été utilisée dans des attaques aux États-Unis, en Malaisie, en Roumanie, en Russie et à Malte. Avec l’amélioration de l’obscurcissement et le fonctionnement des serveurs de commande et de contrôle, ce malware continuera probablement à infecter des ordinateurs dans le monde entier.

Il convient de noter que les dernières techniques d’évasion de TrickBot montrent que la prévention de la cybersécurité n’est pas une question de marche ou d’arrêt. Au contraire, les initiatives de sécurité doivent utiliser plusieurs portes ; la première porte peut arrêter la grande majorité des cybermenaces, mais les portes suivantes, utilisant des techniques plus avancées, sont nécessaires pour arrêter les menaces qui échappent à la détection.

Des techniques avancées qui utilisent des technologies intelligentes, notamment l’apprentissage machine et l’analyse comportementale, sont nécessaires pour bloquer les malwares modernes.

La détection et la surveillance des menaces en temps réel basées sur l’apprentissage machine fournissent l’automatisation nécessaire pour découvrir de nombreuses menaces.

Associée à une sauvegarde supervisée par l’homme, cette puissante combinaison permet de repérer les malwares qui se font passer pour des objets légitimes ou cachés.

Cette approche intelligente et de défense en profondeur est de plus en plus nécessaire à mesure que les cybercriminels améliorent leurs tactiques.

Alors que 2020 se transforme en 2021, les hackers derrière TrickBot et d’autres malwares auront sans doute des plans pour lancer encore plus d’attaques. Mais votre entreprise peut renverser la situation pour les pirates en utilisant votre propre boîte à astuces sous la forme d’outils intelligents d’automatisation de la cybersécurité.

WebTitan Cloud est une solution de filtrage web basée sur le DNS qui offre une protection complète contre les menaces en ligne telles que les malwares, les ransomwares et les attaques de phishing.

Si vous recherchez une meilleure sécurité web pour votre organisation, contactez l’équipe de TitanHQ dès aujourd’hui pour plus d’informations et pour une démonstration de notre produit.

Emotet : une nouvelle campagne via des mises à jour Windows

Emotet : une nouvelle campagne via des mises à jour Windows

Emotet est l’une des principales menaces de malwares actuellement utilisées par les cybercriminels pour attaquer les entreprises.

Il est principalement diffusé par le biais des spams, en utilisant divers leurres pour convaincre les utilisateurs d’installer le cheval de Troie sur leurs ordinateurs.

Les spams sont générés par de nombreux ordinateurs infectés par le cheval de Troie.

Comment fonctionne Emotet : le nouveau leurre de mise à jour Windows

Emotet détourne le compte de messagerie de sa victime et l’utilise pour envoyer des spams à ses contacts professionnels.

Les e-mails distribuant Emotet ont tendance à avoir un thème commercial, puisque ce sont les utilisateurs professionnels qui sont les plus ciblés.

Les campagnes utilisent souvent des leurres de phishing éprouvés tels que de fausses factures, des bons de commande, des avis d’expédition et des CV, etc., et les messages contiennent souvent des informations limitées.

Le destinataire est tenu d’ouvrir la pièce jointe pour avoir des informations complémentaires.

En ce qui concerne les pièces jointes, les pirates utilisent souvent des documents Word mais pas exclusivement avec des macros malveillantes qui installent le cheval de Troie Emotet sur l’appareil de la victime.

Pour que les macros puissent s’exécuter, l’utilisateur doit « activer le contenu » lorsqu’il ouvre la pièce jointe. Pour inciter les utilisateurs à ouvrir les documents joints, les pirates utilisent diverses astuces.

Souvent, les documents indiquent que le document Word a été créé sur un appareil IoS ou un appareil mobile, et que le contenu doit être activé pour permettre la visualisation du contenu, ou que le contenu du document a été protégé et qu’il ne s’affichera pas si le contenu n’est pas activé.

Au début du mois d’octobre, un nouveau leurre a été utilisé par les pirates derrière Emotet.

Des spams ont été envoyés aux victimes pour expliquer qu’une mise à jour de Windows devait être installée pour mettre à jour les applications sur leurs appareils.

Enfaite, ils affirmaient que ces applications empêchaient Microsoft Word d’afficher le contenu du document joint aux e-mails malveillants.

Les utilisateurs ont reçu pour instruction d’activer l’édition (ce qui désactive l’affichage protégé) puis d’activer le contenu. Cependant, ceci permet à la macro malveillante de s’exécuter.

Emotet ne se contente pas d’une seule attaque

L’une des principales utilisations de ce cheval de Troie est de télécharger d’autres variantes de malwares sur les appareils infectés.

En réalité, les pirates sont payés par d’autres cybercriminels pour distribuer leurs charges utiles de malwares, comme le cheval de Troie TrickBot et le malware QBot.

Apparu en 2016, TrickBot était à l’origine un cheval de Troie bancaire, mais il a été régulièrement mis à jour au cours de l’année dernière pour ajouter de nouvelles fonctions.

TrickBot agit toujours comme un cheval de Troie bancaire, mais il est aussi devenu un voleur d’informations furtif et un téléchargeur de malwares, tout comme le logiciel malveillant QBot.

Comme pour Emotet, une fois que les pirates derrière ces chevaux de Troie ont atteint leurs objectifs, ils livrent une charge utile secondaire de malwares.

Par exemple, TrickBot a été largement utilisé pour livrer le logiciel Ryuk, l’une des plus grandes menaces de ransomware actuellement utilisé par les pirates.

QBot s’est également associé à d’autres types de menace et peut désormais distribuer le ransomware Conti. À partir d’un seul e-mail de phishing, une victime peut donc recevoir Emotet, TrickBot, QBot, et subir ensuite une attaque de ransomware.

Comment faire face à Emotet : le nouveau leurre de mise à jour Windows

Il est donc essentiel que les entreprises mettent en œuvre une solution antispam efficace pour bloquer les e-mails malveillants à la source et empêcher qu’ils ne soient envoyés dans les boîtes de réception de leurs employés.

Il est également important de dispenser une formation de sensibilisation à la sécurité aux employés pour les aider à identifier les messages malveillants comme les e-mails de phishing, au cas où un message malveillant ne serait pas bloqué et atteindrait leurs boîtes de réception.

Les organisations qui s’appuient sur les défenses antispam par défaut, fournies avec les licences Office 365, devraient envisager de mettre en œuvre une solution de filtrage du spam supplémentaire pour améliorer leur protection contre Emotet, les autres malwares et les campagnes de phishing.

Les e-mails de phishing échappent souvent aux défenses d’Office 365 et sont livrés dans les boîtes de réception des employés.

Ajoutez une solution puissante et avancée de filtrage des spams (telle que SpamTitan) aux protections antispam d’Office 365 pour mieux protéger vos employés.

Pour en savoir plus sur les fonctionnalités complètes de SpamTitan et sur la manière dont la solution protège votre entreprise contre les menaces de malwares, de ransomware, de phishing et de spear phishing, contactez notre équipe dès aujourd’hui.

Si vous le souhaitez, nous pouvons organiser une démonstration du produit et nous fournirons des réponses à vos questions ainsi qu’une assistance pour vous aider à mettre en place un essai gratuit.

De cette manière, vous pourrez évaluer la solution dans votre propre environnement.

Qu’est-ce que Tor et le dark web ?

Qu’est-ce que Tor et le dark web ?

On parle beaucoup du dark web de nos jours, notamment de la façon dont les cybercriminels l’utilisent souvent pour répandre des malwares, pour vendre des données volées et pour publier les informations d’identification des comptes utilisateurs.

Le dark web. Ce terme peut-être défini comme un réseau chiffré qui existe entre les serveurs Tor et leurs clients. Il est complètement séparé du Web, ou tout simplement d’internet. Tor, acronyme de « The Onion Router », permet aux utilisateurs de surfer sur Internet, de chatter et d’envoyer des messages instantanés de manière anonyme. En soi, elle n’est pas néfaste.

Voici comment les développeurs des serveurs Tor voient leur création sur https://www.torproject.org/. Selon eux, Tor est un logiciel libre et un réseau ouvert qui vous aide à vous défendre contre l’analyse du trafic, une forme de surveillance du réseau qui menace la liberté personnelle et la vie privée, les activités et les relations commerciales confidentielles et d’une manière plus générale, la sécurité de l’État.

Il y a eu un taux de croissance de 24% des sites sur le dark web entre 2014 et 2015. Selon une recherche menée par Flashpoint, l’utilisation de Tor a encore bondi au cours de l’année dernière depuis la révélation du programme de surveillance de l’Agence de sécurité nationale.

Un peu d’histoire : Tor et le Dark Web

Les stéréotypes négatifs sur le dark web abondent. En mars, une étude du CIGI (Centre for International Governance Innovation) montre que 7 personnes sur 10 veulent la fermeture de cette plateforme. Beaucoup de gens ont entendu parler de la dark web pour la première fois en 2013, lorsque le FBI a démantelé la « Route de la soie », le plus grand site de marché noir (à l’époque) de trafic d’armes et de drogues.

Mais le dark web n’a pas commencé comme refuge pour les criminels. Tor a été développé au milieu des années 1990 par des informaticiens et des agences gouvernementales américaines.

En 2006, le projet Tor a été créé en tant qu’organisation à but non lucratif pour maintenir Tor pour l’usage public.

Il y a de nombreuses raisons pour lesquelles les gens pourraient vouloir rendre anonyme leur activité web en utilisant Tor.

D’une part, dans les pays où de nombreux sites Web sont bloqués, Tor fournit un moyen d’accéder à ces sites. Par exemple, en Chine continentale, en septembre 2015, environ 3 000 sites Web étaient bloqués. Il s’agissait notamment de la plupart des comptes Google, Facebook, YouTube, Twitter et Instagram.

L’anonymat était essentiel lorsqu’il s’aentrgit de communiquer des renseignements de nature délicate ou de dénoncer des abus.

Aujourd’hui, des organes d’information comme « The Guardian », « The Intercept » et « The New Yorker » hébergent tous des sites dark web pour des conseils et des documents ayant fait l’objet de fuites anonymes.

Tout comme WikiLeaks, Tor et le dark web ont été utilisés pour mobiliser le « printemps arabe ». Certaines personnes utilisent même Tor pour empêcher les sites Web de les traquer à des fins publicitaires.

Qu’est-ce que Tor et comment ça fonctionne ?

Tor n’est pas le seul outil pour accéder au dark web. C’est simplement le plus populaire. D’autres systèmes incluent « Freenet » ou le réseau anonyme « Invisible Internet Project (I2P) ».

Fonctionnement de Tor

Tor transfère le trafic réseau depuis l’ordinateur de l’utilisateur et le mélange à travers une série aléatoire de relais pour atteindre sa destination. Chaque nœud (ou « routeur oignon ») du chemin connaît son prédécesseur et son successeur, mais aucun autre nœud du circuit.

Le trafic descendant le long du circuit est envoyé en paquets de taille fixe qui sont déballés par une clé symétrique à chaque nœud (comme les couches d’un oignon) et relayés en aval.

Ce processus rend anonyme l’emplacement de l’utilisateur et rend difficile la surveillance des activités de l’utilisateur.

Le cryptage Tor est effectué par les serveurs Tor, pas sur votre ordinateur de bureau. Le trafic entre deux nœuds Tor ne peut pas être tracé, mais le trafic entrant ou sortant des passerelles Tor vers (ou depuis l’Internet « normal ») l’est. A moins qu’un cryptage SSL ne soit en vigueur.

Tor n’est pas un mécanisme de chiffrement de bout en bout. Autrement dit, si la communication n’est pas chiffrée à l’aide d’un logiciel séparé avant d’entrer dans le réseau Tor, tout le monde peut la lire sur les passerelles.

Depuis que la « National Security Agency », un organisme gouvernemental du département de la Défense des États-Unis, était soupçonnée d’administrer un pourcentage élevé de toutes les passerelles de sortie Tor dans le monde, vous pouvez parier que tout trafic non chiffré est surveillé par la NSA.

Accéder au dark web en utilisant le réseau Tor

Pour accéder au dark web, il vous faudra un réseau de proxy anonyme. Les deux outils les plus populaires que les gens utilisent, ce sont Tor et I2P. Mais c’est Tor qui est le plus utilisé.

Les chiffres les plus récents publiés par metrics.torproject.org, révèlent que Tor compte actuellement plus de 2,5 millions d’utilisateurs chaque jour. Le site web de Facebook qui est consacré exclusivement à Tor attire à lui seul plus d’un million de visiteurs chaque mois.

La façon la plus simple d’utiliser Tor est de choisir son navigateur dédié. Il est disponible pour Windows, Linux et MacOS. Vous pouvez le lancer à partir d’une clé USB si vous ne voulez pas l’installer sur votre PC. En fait, le navigateur Tor est basé sur Firefox, mais vous devrez désactiver les plug-ins qui pourraient compromettre votre sécurité et votre vie privée.

Le navigateur Tor n’entre pas en conflit avec les autres logiciels que vous avez installés. Pourtant, vous devriez configurer votre pare-feu ou votre antivirus pour lui permettre d’accéder à Internet.

Notez qu’il existe aussi une application Tor pour Android. C’est l’Orbot, un système d’exploitation préconfiguré pour l’utilisation de ce service.

Sinon, vous pouvez toujours télécharger tout ce dont vous avez besoin pour démarrer avec Tor en vous rendant sur son site web. Ceci étant fait, vous devez juste cliquer sur Télécharger Tor et suivre quelques instructions.

Voilà, vous pouvez maintenant vous connecter à Tor.

La première fois que vous utiliserez ce service, vous serez confronté à un pop-up qui vous demandera de vous connecter ou de configurer le réseau Tor.

Vous allez également être invité à vous inscrire pour obtenir une adresse e-mail introuvable. Dans ce cas, n’utilisez pas un compte Gmail. Il vous faudra une adresse email qui vous permettra de vous inscrire à de nombreux sites avec le suffixe .onion.

Voici quelques comptes de messagerie que vous pouvez utiliser :

  • TORbox
  • Protonmail
  • Bitmessage
  • Lelantos (service payant)
  • RiseUp
  • Mail2Tor

Sachez que ces comptes de messagerie sont fournis avec des suffixes .onion et ils ne fonctionnent pas avec les navigateurs classiques tels que Chrome ou Firefox.

La plupart des internautes préfèrent cliquer sur « Connect » une fois qu’ils sont sur la page d’accueil du site. Par contre, si votre connexion internet est sécurisée par un proxy, vous devrez configurer vos paramètres de proxy locaux.

La fenêtre Tor ressemble à une fenêtre de navigateur normale, mais vous pouvez l’utiliser pour accéder à des sites dont le suffixe est .onion. Pour trouver ces sites, vous n’aurez pas besoin de faire une recherche sur Google. Il suffit d’entrer des liens spécifiques.

Si vous êtes soucieux de préserver votre anonymat, le projet Tor inclut plusieurs sortes d’avertissements sur ce qu’il ne faut pas faire lorsque vous naviguez sur le dark web. Il est donc recommandé d’être extrêmement prudent lorsque vous utilisez ce service. En fait, il existe des moyens simples de prendre des mesures pour protéger vos données. Vous pouvez par exemple utiliser certains moteurs de recherche anonymes comme Oscobo et DuckDuckGo.

De nombreux utilisateurs accèdent à Tor via un VPN. Voilà pourquoi :

En réalité, un VPN (ou Virtual Private Network, en anglais ») vous permet d’usurper votre position géographique.

Comme mentionné ci-dessus, n’importe quelle personne disposant la passerelle de sortie Tor peut lire les communications non chiffrées qui passent à travers.

Un VPN assure la confidentialité

Certains fournisseurs d’accès internet (FAI) bloquent Tor. Un FAI ne saura donc pas que vous accédez au dark web si vous utilisez un VPN.

La passerelle d’entrée Tor verra l’adresse IP du serveur VPN, et non l’adresse IP réelle de l’utilisateur. Cependant, les passerelles de sortie Tor sont souvent bloquées. De plus, un VPN n’offre aucune protection contre les passerelles de sortie Tor malveillantes.

Au lieu d’utiliser un VPN, certains utilisateurs de Tor passent par une passerelle Tor comme Obfsproxy, un sous-projet Tor qui peut être utilisé pour obscurcir le trafic (quel qu’il soit) afin qu’il devienne méconnaissable. Ceci peut être efficace pour masquer l’utilisation de Tor si l’inspection approfondie des paquets n’est pas configurée pour détecter Tor.

À quoi ressemble le dark web ?

La première chose à remarquer est la lenteur du navigateur Tor ; encore plus si un VPN est utilisé en tandem. Les URLs sont aussi un peu étranges. Un exemple est wlupld3ptjvsgvsgwqwqw.onion, un site Web sombre dédié à Wikileaks.

Pour ce site, les protocoles en dehors de la norme HTTP/HTTPS standard abondent, notamment IRC, IRCS, Gopher, XMPP, et FTP.

Une étude à long terme, réalisée par TrendMicro, a montré que 41 % des URL sont russes et 40 % anglaises.

Le fait de trouver ce que vous voulez chercher est souvent un peu difficile, car de nombreux sites apparaissent et disparaissent en quelques jours. Cela ne veut pas dire qu’il n’y a pas de moteurs de recherche, par exemple, le moteur de recherche de médicaments Grams qui ressemble à Google.

L’enjeu est que, puisqu’il y a beaucoup de liens de pages web malveillants, certains utilisateurs se fient aux listes de liens Tor.onion ou aux conseils d’un ami pour se déplacer.

Une alternative est l’un des moteurs de recherche dark ou deep Web, qui parle au service oignon via Tor et des relais. Ils résolvent les liens « .oignon », puis livrent le résultat final à votre navigateur habituel sur le Web.

Le Dark Web, quant à lui, possède certains des mêmes types de sites disponibles sur l’Internet « normal ».

Deep Web Radio est, par exemple, une station de radio musicale mondiale. Mais il existe d’autres services d’hébergement dédiés, des e-mails anonymes et de clavardages (chat) ; même des clones de Twitter qui proposent ce même service.

En janvier 2016, ProPublica a lancé le premier site d’information d’importance sur le dark web. Les dénonciateurs, les militants des droits de l’homme, les journalistes, les militaires et les forces de l’ordre étaient tous présents.

En réalité, les victimes de violences conjugales utilisaient le dark web pour communiquer sans être suivies par leurs agresseurs.

Une description du dark web ne serait pas complète sans mentionner les sites financiers. BIT, une nouvelle unité populaire qui sert à représenter des quantités faibles de Bitcoin, montrait par exemple un état concernant le marché de l’information volée et des marchandises illégales, des kits d’exploitation et de l’information pour les hackers mal intentionnés.

Daniel Moore et Thomas Rid, dans leur livre Cryptopolitik and the Darknet, ont rapporté que 57 % du dark web est constitué d’activités illégales. Il est juste de dire que le deep web, c’est-à-dire le web caché ou le web invisible, est une immense plateforme de partage d’informations qui facilite les activités criminelles.

Une autre alternative : les cryptomonnaires. C’est l’une des meilleures options pour sécuriser les transactions financières (comme bitcoin) et des réseaux d’anonymisation tels que Tor.

Elles permettent aux adversaires d’entrer facilement sur le marché des malwares et de commencer rapidement à générer des revenus.

Pourquoi le dark web est-il caché ?

Dans le cas du dark web, les documents gouvernementaux, les dossiers personnels, et bien d’autres ne sont pas destinés au public. Ils sont généralement gardés en lieu sûr. Cependant, les organisations doivent se connecter à Internet, car une grande partie de ces documents et données constitue un écosystème pour d’autres applications web de surface.

Le dark web est un peu plus compliqué. Il est souvent exploité sur des réseaux de serveurs privés, ce qui ne permet pas la communication, sauf si vous utilisez des moyens spécifiques, afin de fournir un degré d’anonymat élevé.

Malheureusement, cela a conduit le dark web à devenir un lieu où se produisent de nombreuses activités illégales.

La cybercriminalité est de nos jours l’une des principales préoccupations des organisations. Les cybercriminels recherchent plus que de l’argent. Ils peuvent aussi voler tout ce qui a de la valeur, comme les informations sur les cartes de crédit, les informations personnelles, etc. Toutes ces informations se vendent ou s’échangent sur le dark web.

En dehors de cela, il existe des transactions illégales sur le dark web. Presque tout peut être acheté sur cet espace sombre de l’Internet. Les articles qui y sont vendus peuvent inclure des drogues illicites, des armes à feu, voire le service de tueur à gages.

Tor (protocole onion) peut-il représenter un problème pour une entreprise ?

La police, les chercheurs médicaux, l’armée, et bien d’autres personnes comme les journalistes utilisent Tor afin de garder leurs activités en ligne privées ou d’éviter le cyberespionnage.

Tous les supports, tels que la page imprimée, ont le potentiel d’être douteux. Pourtant, le service web de Tor ne mène aucune action. Comme pour les technologies telles que Bitcoin (la monnaie préférée de Tor) il n’incite pas et ne tolère pas les entreprises illégales. Le site web reconnaît que des éléments criminels peuvent exploiter l’anonymat des utilisateurs finaux, mais il souligne que les criminels peuvent déjà faire de mauvaises choses, car ils disposent déjà beaucoup d’options disponibles.

L’utilisation de Tor est-elle complètement légale ?

Oui, il n’y a rien de douteux à vouloir naviguer en privé. Quoi qu’il en soit, personne n’a jamais été arrêté ou poursuivi pour avoir utilisé ce service, mais uniquement pour ce qu’il en faisait. Tor lui-même a publié dans sa foire aux questions qu’il ne s’agit pas d’un système conçu ou destiné à être utilisé pour enfreindre la loi.

Il est vrai que Tor a de nombreuses utilisations légitimes. Pourtant, il y a aussi d’autres raisons pour qu’un administrateur réseau souhaite bloquer tout le trafic basé sur ce réseau informatique au sein d’une entreprise.

Comme susmentionné, Tor pourrait être le moyen idéal pour les utilisateurs qui veulent couvrir leurs traces, mais son utilisation dans votre réseau informatique locale peut exposer votre organisation à certains risques.

La raison est que les criminels peuvent aussi avoir recours à Tor pour garder leurs communications privées. Dans la foulée, ils peuvent :

  • Contourner les contrôles de sécurité : en effet, Tor peut chiffrer tout le trafic sur votre réseau et rendre la surveillance de vos activités très difficile.
  • Voler des informations sensibles : les nœuds de sortie peuvent surveiller le trafic qui transite par les appareils de vos employés et capturer toute information non chiffrée telle que le login ou mot de passe.
  • Affecter la réputation de votre organisation : les personnes malveillantes qui gèrent les « nœuds de sortie » peuvent utiliser le nœud afin d’ajouter des malwares. Tout utilisateur qui télécharge un contenu web via Tor pourrait donc exposer votre réseau d’entreprise à un risque d’infection par des malwares.
  • Mener une attaque par déni de service (DDoS) : rappelons que le trafic via le réseau Tor peut entraîner une forte utilisation de la bande passante de votre réseau d’entreprise. Ceci peut exposer en permanence votre organisation à une attaque DDoS, laquelle peut rendre votre serveur, un service ou une infrastructure indisponible.

Exemple d’une menace liée à l’utilisation du navigateur Tor

En avril 2015, l’administrateur du service de messagerie électronique Sigaint – un service très populaire sur le Darknet – avait averti ses utilisateurs que Sigaint était devenu la cible d’un organisme gouvernemental qui tentait de le compromettre.

Le groupe derrière cette attaque avait tenté de pirater le service en utilisant environ 70 nœuds de sortie TOR corrompus.

À noter que, en plus de fournir l’anonymat aux utilisateurs qui naviguent sur l’Internet public, Tor fournit également un moyen pour les internautes d’héberger des sites web au sein de Tor lui-même.

Ce service est appelé « services cachés ». En effet, il s’agit des adresses qui se terminent par .oion, à l’instar du service caché de Facebook, https://facebookcorewwwi.onion. Pour accéder à l’un de ces sites, l’utilisateur doit se connecter au réseau Tor.

Pour notre cas, Sigaint a aussi fourni un service caché en .oion, accessible via l’adresse à l’adresse http://sigaintevyh2rzvw.onion. Le problème est que les adresses en .oion étaient générées par un algorithme de hachage. Elles avaient donc tendance à être difficiles à retenir pour les utilisateurs.

Pour faciliter l’accès des utilisateurs de Tor à ce service caché, Sigaint ont publié un lien sur leur site Internet public. De cette manière, les internautes pouvaient naviguer vers le site public plus facile à retenir et donc d’avoir accès à leur compte de messagerie électronique totalement dans l’anonymat via le réseau sécurisé de Tor.

Même si cette mesure semblait une bonne idée, ce n’était pas vraiment le cas !

Le problème est que les utilisateurs de Tor pouvaient cliquer sur un lien dans une réponse HTML en texte clair ayant transité par un nœud de sortie Tor. Mais toutes les personnes qui participent à ce réseau n’étaient pas des gens bien.

En réalité, un pirate avait configuré au moins 70 nœuds de sortie, soit environ 6% du nombre total de nœuds de sortie à l’époque, afin de réécrire le lien .oion de Sigaint dans la réponse HTML vers un lien qui semblait similaire. Pourtant le lien n’était pas le même et il redirigeait les utilisateurs vers un service caché complètement différent.

Ce service caché malveillant avait agi comme un proxy inverse du service caché légitime de SIGAINT.

Ainsi, tout utilisateur ayant accédé à sa boîte aux lettres Sigaint via le service caché malveillant n’étaient pas conscients que leurs activités étaient surveillées par des gens qui, à ce stade, étaient encore inconnus.

Les conséquences étaient non négligeables ?

Pour certains des utilisateurs qui avaient utilisé le service caché malveillant Sigaint, les mots de passe ont été compromis. Il était impossible de déterminer précisément le nombre d’utilisateurs de Sigaint ayant été ciblés lors de cette attaque.

Celle-ci a été facilitée par le fait que Sigaint n’utilisait pas SSL sur sa page publique.

Pour la contrer, les administrateurs de Sigaint devaient donc envisager de transformer le système de chiffrement qu’ils avaient utilisé puis de retirer l’URL en .onion de la page officielle de sigaint.org.

Ils étaient également contraints d’ajouter un support SSL pour le site grand public. Bien qu’elle n’empêche pas les risques d’attaques futures, cette mesure permet tout de même de contribuer à augmenter la difficulté pour les attaquants de compromettre le serveur de votre entreprise. Pour leur part, les utilisateurs du service Tor devaient changer leur mot de passe.

Comment empêcher Tor d’accéder à votre réseau ?

Il faut d’abord souligner qu’il est difficile de détecter et bloquer Tor dans votre réseau d’entreprise.

Vos administrateurs devraient donc envisager de déployer plus d’une solution afin d’augmenter les chances d’empêcher l’utilisation de ce service dans votre réseau. La raison est que Tor ne fournit pas seulement du chiffrement.

Il peut également ressembler au trafic HTTPS normal, rendant ainsi les communications via ce service difficiles à identifier. Dans ce qui suit, nous allons donc tenter de vous proposer quelques mesures d’atténuation pour vous rapprocher du but.

  • Empêchez les utilisateurs d’installer Tor : pour ce faire, il est recommandé de mettre en place des systèmes de contrôle de sécurité limitant les droits d’accès des utilisateurs à un ordinateur. Ceci contribuera à empêcher l’installation de dispositifs ou de logiciels non autorisés.
  • Développez une liste noire des nœuds Tor : vous pouvez également stopper tout les trafics sortants liés à Tor. Cela peut se faire au niveau des pare-feu, en créant une règle explicite de refus de sortie basée sur les adresses IP de votre liste noire. De cette manière, vous pourrez également établir un journal de tous les hôtes pouvant tenter de se connecter avec les nœuds Tor. Vous pouvez constituer votre liste noire en utilisant des ressources en ligne telles que https://www.dan.me.uk/tornodes.
  • Bloquez tout le trafic par le biais des certificats numériques auto-signés : en réalité, Tor fait appel à des certificats SSL auto-générés pour chiffrer le trafic entre les serveurs et les nœuds. Si vous bloquez tout le trafic SSL sortant qui utilise des certificats SSL auto-signés sur votre réseau, cela vous aidera à empêcher l’utilisation de Tor.

Conclusion

Que vous soyez un employé ou un chef d’entreprise, il est facile de comprendre que vous soyez impatient d’expérimenter toutes les possibilités offertes par le service Tor. Néanmoins, sachez que certaines de ces possibilités peuvent vous exposer (ou exposer votre entreprise) à de grands risques.

Ce qu’il faut retenir, c’est que la confidentialité n’est pas toujours synonyme de sécurité. Le service Tor ne peut garantir que vous serez à l’abri des cyberattaques que lorsque vous utiliserez son navigateur. De plus, la détection de l’utilisation de Tor sur votre réseau n’est pas une tâche facile, même si le filtrage des adresses IP pourrait réduire le risque.

Bien entendu, les développeurs de Tor sont conscients de ces risques. C’est pour cela qu’ils tentent d’améliorer en permanence leur logiciel afin de faciliter la protection des utilisateurs. D’autre part, votre entreprise doit mettre en œuvre des politiques de détection généralisées, accompagnées de sensibilisations, voire de sanctions sévères pour l’exécution d’applications non approuvées.

Questions fréquentes sur Tor et le Dark Web

Comment installer Tor ?

Ce navigateur est basé sur Firefox de Mozilla. En fait, les développeurs de Mozilla et de Tor ont collaboré pour mettre en œuvre ce système. Pour télécharger le pack de navigation Tor, il vous suffit de faire une recherche sur ce navigateur et d’exécuter le fichier téléchargé. Ceci étant fait, vous devez extraire le navigateur Tor dans le fichier téléchargé dans le dossier de votre ordinateur (ou de votre clé USB). Enfin, vous devez ouvrir le dossier et cliquer sur « Start Tor Browser ».

Pourquoi le dark web est-il caché?

Les dossiers personnels ainsi que les documents gouvernementaux ne doivent pas être accessibles au public. Il faut donc les garder en lieu sûr. Cependant, les organisations, comme les PME, doivent toujours se connecter à Internet. Le dark web peut dans ce cas être exploitée pour rendre leurs informations sensibles privées. Malheureusement, d’autres personnes ont profité du dark web pour qu’il devienne un lieu où ils peuvent effectuer de nombreuses activités illégales.

Tor est-il une solution facile à utiliser ?

Bien entendu, mais son utilisation peut causer différentes sortes de désagréments.

Est-ce une solution fiable ?

Tor peut éliminer l’historique de votre navigateur. Il peut aussi effacer d’autres données comme les cookies. Cette solution est idéale pour masquer votre identité, mais il ne cache pas votre position. La meilleure solution est d’utiliser un VPN avec Tor. De cette manière, vous pouvez accéder au web et masquer votre origine, votre emplacement, etc.

Pouvez-vous utiliser Tor avec les appareils mobiles ?

Oui, Tor est actuellement disponible en version stable pour les appareils mobiles comme les Smartphones (via Google Play). Il faut toutefois noter qu’il n’est pas encore accessible via les systèmes d’exploitation iOS, car Apple a mis en œuvre certaines restrictions. Cette marque recommande d’utiliser une autre application appelée Onion Browser.