Cybersécurité: comment se protéger contre les infostealers (vols de mots de passe)

MARCHE A SUIVRE. Quelques règles de sécurité permettent de limiter les risques d’une infection par un infostealer, et d'éviter ainsi la capture de ses identifiants, mots de passe, données bancaires et historique de navigation par des acteurs malveillants.

Cybersécurité: comment se protéger contre les infostealers (vols de mots de passe)

Le 6 août 2024 à 16h58

Modifié 7 août 2024 à 8h06

MARCHE A SUIVRE. Quelques règles de sécurité permettent de limiter les risques d’une infection par un infostealer, et d'éviter ainsi la capture de ses identifiants, mots de passe, données bancaires et historique de navigation par des acteurs malveillants.

La transition du marché du cybercrime vers des modèles économiques et organisationnels décentralisés assure la mutualisation des coûts de développement des malwares, l'accroissement de la rentabilité de tous les chaînons de la trame cybercriminelle, et la réduction des risques de déroute associés aux démantèlements — risque classique des modèles centralisés. Ces évolutions ont donné naissance au modèle du Malware as Service (MaaS), qui a ouvert la voie à une plus grande spécialisation des agents (malware developers, system administrators, etc.), une allocation partagée des ressources, une organisation mieux distribuée ainsi qu'une répartition des rôles au sein de la chaîne de valeur : développeurs, marchands, initial access brokers dont le rôle est d'accomplir l'intrusion initiale, avant de vendre les accès non-autorisés à des clients, support technique, etc.

L'émergence du modèle MaaS a conduit à un abaissement du seuil d'entrée dans le monde de la cybercriminalité : les opérateurs louent à leurs affiliés des logiciels malveillants prêts à l'emploi, ainsi qu'une infrastructure et une assistance techniques, ce qui permet à des acteurs malveillants ne disposant pas de compétences avancées de mener ou de commanditer des intrusions. Outre l'augmentation des cyberattaques, ce modèle complique l'attribution, le même logiciel malveillant pouvant être utilisé dans des dizaines de campagnes différentes.

Le Maroc n’est pas épargné. En 2023, 1.1 million d’identifiants associés à des domaines marocains (.ma) ont été compromis par des infostealers selon les chiffres de Kaspersky. Ces programmes malveillants de vol de données, parfois difficilement détectables, collectent une large gamme d’informations des appareils infectés avant de les exfiltrer vers des serveurs distants. Ces informations sont ensuite compilées dans des stealer logs et mises en vente dans des marketplaces Telegram ou sur le dark web.

Utiliser un Firewall/Network monitor

En permettant de surveiller le trafic internet, d'appliquer des règles de pare-feu et de détecter des applications au comportement suspect, les firewalls incluant un network monitor donnent à l'utilisateur le contrôle sur le trafic entrant et sortant, ouvrent la possibilité de bloquer des connexions douteuses et donnent l'alerte si un processus apparaît comme suspect.

Pour Windows :

De nombreuses options existent pour Windows. GlassWire (payant) est l'un des plus connus. Il permet de consulter le trafic entrant et sortant de chaque application, affiche un historique périodique (5 dernières minutes, semaine ou mois précédent), ainsi qu'une vue d'ensemble détaillée de la bande passante par application, par hôte et par type de trafic.

GlassWire dispose aussi de fonctionnalités de pare-feu offrant la possibilité de consulter l'utilisation de la bande passante de chaque processus et de bloquer en cas de doute. Des alertes informent de la première activité réseau d'une application avec des informations détaillées sur l'IP et la localisation de l'hôte.

Une alternative gratuite à GlassWire serait Portmaster, un outil Open Source offrant des fonctionnalités similaires. Afin de bénéficier d'une protection efficace du Firewall/Network Monitor, il convient de le configurer correctement.

Pour Mac :

Little Snitch (payant) offre l'avantage d'une interface ergonomique et lisible. Son principal inconvénient est la mémorisation de la navigation privée, même sous VPN : les noms des sites les plus consommateurs de réseau s'affichent, peu importe la nature de la session où ils ont été ouverts, ce qui expose à des risques de confidentialité s'il s'agit d'un ordinateur partagé.

Une alternative gratuite serait LuLu, de Objective-See Foundation.

À noter que ces mesures, si elles peuvent réduire le risque d'une contamination, ne peuvent complètement l'éliminer, les malwares étant en évolution constante et les vecteurs de risque nombreux. Des vulnérabilités existeront toujours.

Opter pour un stockage sécurisé des mots de passe

L'usage des gestionnaires de mots de passe par défaut des navigateurs suscite de nombreux débats, et peine à générer un consensus clair dans la communauté de la cybersécurité.

Certains critiquent leur niveau d'encryption limité ; considèrent qu'ils établissent un point unique de défaillance qui, compromis, peut offrir à des acteurs malveillants l'accès à l'intégralité des mots de passe de l'utilisateur ; renforcent la dépendance à l'égard de géants de la tech (et des données personnelles...) comme Google et Microsoft.

D’autres soutiennent qu'ils bénéficient de mises à jour régulières ; que les compagnies derrière les principaux navigateurs du marché sont plus aptes à détecter et à remédier de façon proactive aux menaces émergentes et aux nouveaux malwares.

Les gestionnaires de mots de passe des navigateurs ont bénéficié d'améliorations notables au fil des ans, mais leur niveau de sécurité reste inférieur à celui d'applications spécialisées comme Bitwarden ou 1Password. L'usage de ces outils peut donc offrir un niveau additionnel de sécurité, à plus forte raison si l'on gère un trousseau de mots de passe clients : l'auteur de ces lignes a pu retracer des cas de fournisseurs de services IT (développeurs web, techniciens, etc.) emmagasinant des accès tiers dans les trousseaux par défaut du navigateur. Les terminaux des prestataires compromis, les identifiants et les mots de passe de leurs clients ont fini dans le dark web...  Le risque est décuplé lorsqu’il s’agit de développeurs passés d'une entreprise à l'autre et ayant, dans l'intervalle, gardé les accès de l'ancienne compagnie.

Migrer vers d'autres gestionnaires que ceux par défaut du navigateur ne doit en revanche pas conduire à surestimer leurs capacités, ni à leur accorder une confiance aveugle : les gestionnaires de mots de passe, même les plus sécurisés, n'offrent aucune immunité contre les malwares. Un terminal compromis par des infostealers peut offrir à des pirates l'accès à l'intégralité du trousseau de la victime, peu importe le gestionnaire utilisé. L'activation de la double-authentification partout où cela est possible, couplée à des changements réguliers de mots de passe, sont des mesures de mitigation du risque qu'il convient d'adopter. Dans les cas des prestataires détenant des accès clients, il est recommandé de ne garder ceux-ci que dans la mesure du raisonnable, et aussi longtemps que requis, afin de ne pas exposer sa clientèle à des risques d'intrusion.

Compte tenu du fait que les infostealers siphonnent non seulement les mots de passe et les données de remplissage automatique des formulaires, l'historique de navigation et les cookies, mais également les numéros des cartes bancaires utilisées pour le paiement en ligne, il apparaît préférable d’éviter de sauvegarder celles-ci sur le navigateur.

Nettoyer les cookies

Le détournement de session (session hijacking) a connu une nette recrudescence au cours des dernières années.

Les cookies, souvent systématiquement (et aveuglément…) activés par les utilisateurs, sont utilisés pour suivre le parcours de navigation sur des sites web et mémoriser les informations des visites.

Les cookies d'authentification sont des données que le navigateur envoie à un site pour identifier l'utilisateur et vérifier s'il est connecté. En règle générale, ces cookies ont une date d'expiration à l'issue de laquelle l'utilisateur est invité à se connecter de nouveau.

Les cookies persistants autorisent un accès continu à certains services web, à l'instar de Google (Gmail, YouTube, Google Calendar, Google Maps, Google Ads).

En capturant, en plus des mots de passe, les cookies des sessions actives, les infostealers habilitent les pirates à contourner les mesures de sécurité traditionnelles telles que l'authentification à deux facteurs en injectant des cookies valides, obtenus de terminaux compromis, dans des navigateurs anti-détection capables d’émuler une session authentifiée, et ainsi de contourner tous les contrôles de sécurité, ou en récupérant des codes de sauvegarde stockés sur le terminal compromis pour révoquer l'authentification à deux facteurs.

En octobre 2023, le développeur PRISMA a mis en évidence une faille critique permettant de générer des cookies Google persistants par la manipulation de jetons de session. Cette faille offre un accès continu aux services Google, même après la réinitialisation du mot de passe de l'utilisateur. Des acteurs malveillants auraient intégré un script tirant avantage de cette faille dans l'infostealer Lumma.

Google a contesté certaines conclusions de CloudSEK, considérant qu’il ne s’agissait pas d’une vulnérabilité, mais d’un cas de mésusage d’une fonctionnalité légitime. Si l’entreprise atteste avoir "pris des mesures pour sécuriser les comptes compromis", des doutes légitimes demeurent jusqu'à cette date.

Afin de réduire le risque de session hijacking par cookie injection, il convient de désactiver dans la mesure du possible l'option "se souvenir de moi" sur les pages de connexion, et procéder à la suppression fréquente des cookies stockés sur le navigateur, afin que les pirates n'obtiennent pas d'accès à des cookies de session actifs en cas d'infection par des programmes malveillants. Il est également possible de configurer la durée de conservation des cookies sur le navigateur.

Dans le cas d'employés sur le départ, outre la révocation des accès quand cela est possible, il faut impérativement supprimer les cookies de connexion stockés sur leurs navigateurs afin de ne pas compromettre la sécurité de l'entreprise, surtout s'il s'agit d'accès à des comptes partagés ou permanents (des adresses de type info@nomdedomaine ou contact@nomdedomaine à titre d'exemple).

Les mêmes règles doivent être observées par les prestataires web qui configurent ces comptes, ou en détiennent l'accès.

Séparer les adresses mail

L’usage d’une adresse mail unique pour ses échanges personnels, ses correspondances professionnelles et pour les inscriptions dans des services en ligne peut exposer à de grands risques en augmentant la surface d’attaque. Plusieurs leaks survenus au cours des dernières années exposent une importante quantité d’informations d’identification, comme les numéros de téléphone rattachés à un utilisateur, son nom complet, son mot de passe ou ses coordonnées postales…

De nombreux outils exploitent des agrégateurs de bases de données piratées, des API non-documentées ou la fonction "mot de passe oublié" dans des sites tolérant un soft reset ; ils permettent d’énumérer les comptes auxquels est rattachée une adresse mail ou un numéro de téléphone dans des dizaines de plateformes (Google, PayPal, Microsoft, Facebook, Twitter, Instagram, Airbnb, Duolingo, etc.), et facilitent la collecte des traces numériques d’un individu. Ces données peuvent ensuite être utilisées pour calibrer des attaques ciblées.

Une stricte compartimentation des adresses mail personnelle et professionnelle s’impose pour bénéficier d’une protection additionnelle. Pour les services en ligne, opter pour une adresse mail dédiée, comportant le minimum nécessaire d’informations personnelles.

Éviter de stocker des fichiers sensibles sans protection

Plusieurs infostealers embarquent des modules FileGrabber permettant d’exfiltrer des fichiers des terminaux compromis. Les filegrabbers essaient de minimiser le temps d'intrusion et le taux d'utilisation du réseau en écrémant les fichiers les plus légers, ce qui fait des fichiers Word, PDF, Excel et TXT des cibles idéales, surtout s’ils comportent des seed phrases de portefeuilles crypto.

Il serait donc judicieux de ne pas garder des documents internes ou des fichiers sensibles sur son ordinateur sans mesures de sécurité minimales, dont par exemple : l'usage d'un network monitor pour bloquer les tentatives d'ouverture ou d'upload de fichiers par des serveurs distants, le stockage sur un appareil externe (USB, disque dur externe), l'encryption sécurisée, l'obfuscation ou la dissimulation des fichiers dans des dossiers système ou programme avec un nom et une extension différentes afin de tromper les infostealers embarquant des fonctions regex, etc.

Le stockage de ces fichiers dans un cloud sécurisé peut être une solution convenable — tout en ayant conscience des risques associés.

Maintenir une veille sur les leaks

Il est recommandé de maintenir une veille — régulière ou ponctuelle, selon les nécessités — afin de remédier au plus vite aux intrusions, soit en contractant un abonnement auprès de plateformes spécialisées, soit en conduisant des vérifications périodiques.

Plusieurs sites proposent une veille sur le dark et le deep web, et disposent de bases de données actualisées de stealer logs, collectées sur les panels et les chaînes Telegram où ceux-ci sont publiés. Il importe en revanche de noter que les stealers logs ne sont uploadés qu'une fois l'intrusion consommée, parfois plusieurs semaines ou plusieurs mois après le déroulement de l’attaque.

Les marketplaces de stealer logs sont le plus souvent d'accès payant (et parfois coûteux), et régulièrement suspendues, supprimées et reconstituées, rendant la veille fastidieuse pour les entreprises n'ayant pas la cybersécurité pour objet social. Il est toutefois possible de mettre en place une veille autonome avec ses propres outils.

Parmi les prestataires de veille sur des adresses mail ou des noms de domaine :

  • intelx.io : souvent le plus complet. Son prix élevé (abonnement le moins cher à $2.500 par an) en réserve l'usage à des entreprises gérant de nombreuses ressources humaines, et/ou très exposées au risque de cyberattaques. Le site offre certaines fonctionnalités à la création d'un compte gratuit ; même si ces fonctionnalités sont restreintes (limites de navigation, de recherche et d'accès aux données), elles peuvent aider à déterminer quels terminaux ont pu être compromis, et quels accès et quels fichiers ont été obtenus par des hackers.
  • spycloud.com : propose plusieurs solutions payantes aux entreprises, et offre un rapport gratuit, destiné aux détenteurs d’adresses mail professionnelles: https://spycloud.com/check-your-exposure/
  • hudsonrock.com : très actualisé, et nettement moins cher que IntelX (à partir de $149,99 par mois), Hudson Rock met à disposition du public général plusieurs outils gratuits :

- un outil de vérification par mail: https://www.hudsonrock.com/email-search?email

- un outil de vérification par nom de domaine: https://www.hudsonrock.com/search?domain

Il est par ailleurs possible de demander à Hudson Rock un rapport éthique gratuit pour une adresse touchée.

Outre les deux liens ci-dessus, Hudson Rock offre la possibilité d'obtenir des informations additionnelles sur les terminaux compromis à travers leur API. La documentation est accessible sur ce lien: https://cavalier.hudsonrock.com/docs

De nombreuses informations sont masquées (mails touchés lors d'une recherche par nom de domaine, accès compromis, URL, etc. Dans le cas d'une recherche par adresse mail, tous les accès autres que le mail recherché), mais l'API gratuite permet toutefois de déterminer le scope de l'infection et le terminal touché, les dates d'intrusion et de publication notamment.

  • leakpeek.com : moins actualisé que les autres plateformes, mais considérablement moins cher ($1.99 les 24 h de recherches illimitées) est un portail d’accès abordable qui permet de vérifier la présence d’une adresse mail, d’un numéro de téléphone et d’autres types d’identifiants dans différents leaks, dont les stealer logs.

Méthodologie de recherche avec un compte IntelX gratuit

1. Identifier sur SpyCloud ou Hudson Rock si une adresse mail a été touchée, et demander un rapport éthique gratuit (à noter que le délai d’envoi peut être supérieur à 24 h).

2. Dans le cas des noms de domaine, vérifier si Leakpeek communique des informations détaillées sur la ou les adresses en question et les mots de passe volés, afin de mieux cibler la recherche.

3. Sur IntelX, effectuer une recherche avec la ou les adresses touchées. Cliquer sur Advanced => Stealer Logs pour n'afficher que les stealer logs. Cliquer sur ceux qui démarrent par un code pays (MA par ex.) ou une adresse IP.

4. L'onglet Tree View permet de visualiser l'arborescence des données volées du terminal contaminé, tandis que Selectors affiche quelques-uns des accès pillés par l'infostealer. Des captures d’écran, parfois disponibles dans le Tree View, peuvent aider à identifier avec exactitude le terminal compromis.

Conduite à tenir si une intrusion est confirmée

1. Désactiver l’accès réseau de l’appareil touché afin de limiter les dégâts (cas d’un terminal individuel) ou pour éviter le "lateral movement" (cas d’une entreprise), à savoir la propagation du malware d'un point d'entrée au reste du réseau, rendant l’attaque difficile à contenir. Plus de documentation ici.

2. Identifier les dates d’intrusion, les données et les informations obtenues par le malware.

3. S’assurer de la neutralisation du malware, en inspectant les connexions à des serveurs distants, les programmes persistants installés sur l’ordinateur — lorsqu’il y en a ; c’est de moins en moins le cas avec les malwares modernes.

4. Si Hudson Rock ou IntelX donnent le nom du malware, lancer une analyse sur VirusTotal ou rechercher sur Google pour voir s’il existe des indicators of compromise liés à ce type de malware (adresses IP et serveurs avec lesquels il communique le plus souvent à titre d’exemple), et vérifier si des connexions à ces adresses ont été effectuées, ou le sont encore. Auquel cas, localiser et supprimer le malware.

5. Vérifier si des accès non autorisés ont été répertoriés (sur Google via Google Activity, etc.).

6. Invalider toutes les sessions actives et supprimer l’intégralité des cookies, en priorisant les accès les plus sensibles et les sessions les plus importantes (Gmail, accès internes, etc.).

7. Examiner les journaux d'accès afin de s’assurer que tous les accès ont été effectués par l'utilisateur et qu'ils proviennent de son adresse IP.

8. Changer tous les identifiants et les mots de passe.

Pour un guide plus complet (notamment la création d’une image disque pour les besoins de l’analyse forensique si nécessaire), voir le Post-Infection Remediation Guide publié par SpyCloud.

Vous avez un projet immobilier en vue ? Yakeey & Médias24 vous aident à le concrétiser!

Si vous voulez que l'information se rapproche de vous

Suivez la chaîne Médias24 sur WhatsApp
© Médias24. Toute reproduction interdite, sous quelque forme que ce soit, sauf autorisation écrite de la Société des Nouveaux Médias. Ce contenu est protégé par la loi et notamment loi 88-13 relative à la presse et l’édition ainsi que les lois 66.19 et 2-00 relatives aux droits d’auteur et droits voisins.

A lire aussi


Communication financière

Alliances Darna: Indicateurs au 2ème trimestre 2024

Médias24 est un journal économique marocain en ligne qui fournit des informations orientées business, marchés, data et analyses économiques. Retrouvez en direct et en temps réel, en photos et en vidéos, toute l’actualité économique, politique, sociale, et culturelle au Maroc avec Médias24

Notre journal s’engage à vous livrer une information précise, originale et sans parti-pris vis à vis des opérateurs.