Les attaques backdoors sont l’une des formes les plus fourbes d’attaques informatiques. Elles sont conçues pour offrir aux pirates un moyen d’accéder à un système informatique sans être détecté.
Dans cet article, nous allons vous expliquer comment fonctionnent les backdoors (portes dérobées) et comment vous pouvez vous en protéger.
Définition des attaques backdoors (ou porte dérobée)
Imaginez que vous êtes un cambrioleur en train de repérer une maison pour un vol potentiel. Vous voyez un panneau de sécurité « Protégé par X » planté dans la pelouse de devant ainsi qu’une caméra. En cambrioleur rusé que vous êtes, vous sautez la clôture menant à l’arrière de la maison. Vous voyez qu’il y a une porte à l’arrière, bonne nouvelle ! Elle n’est pas fermée.
Pour l’observateur occasionnel, il n’y a aucun signe extérieur de cambriolage. En fait, il n’y a aucune raison pour que vous ne puissiez pas cambrioler cette maison à nouveau par la même « porte dérobée » ou « backdoor » ; en supposant que vous ne saccagiez pas l’endroit.
Les portes dérobées en informatique fonctionnent à peu près de la même manière
Dans l’univers de la cybersécurité, une backdoor désigne toute méthode permettant à des utilisateurs autorisés ou non de contourner les mesures de sécurité normales et d’obtenir un accès utilisateur de haut niveau (ou accès root) sur un matériel informatique, un réseau informatique ou une application logicielle.
Une fois qu’ils sont entrés, les cybercriminels peuvent utiliser une backdoor pour voler des données personnelles et financières, installer des logiciels malveillants supplémentaires et prendre le contrôle des appareils.
Mais les backdoors ne sont pas réservées aux malfaiteurs. Elles peuvent également être installées par les fabricants de logiciels ou de matériel informatique dans le but délibéré d’accéder à leur technologie après coup. Les backdoors de type non criminel sont utiles pour aider les clients qui sont désespérément bloqués sur leurs appareils ; ou pour dépanner et résoudre les problèmes de logiciels.
Backdoors : les attaques les plus discrètes
Contrairement à d’autres cybermenaces qui se font connaître de l’utilisateur (comme les ransomwares), les backdoors sont connues pour leur discrétion. Elles permettent à un groupe restreint de personnes bien informées d’accéder facilement à un système ou à une application.
En tant que menace, les backdoors ne sont pas près de disparaître. Selon le rapport State of Malware de Malwarebytes Labs, les backdoors étaient la quatrième détection de menace la plus courante en 2018 pour les consommateurs et les entreprises ; soit des augmentations respectives de 34 et 173 % par rapport à l’année précédente.
Si les backdoors vous préoccupent, que vous en avez entendu parler dans les médias et que vous voulez savoir ce qu’il en est, vous êtes au bon endroit. Mais c’est aussi le cas si vous avez une backdoor sur votre ordinateur et que vous devez vous en débarrasser immédiatement.
Comment les attaques par backdoors informatique fonctionnent ?
Commençons par comprendre comment les backdoors se retrouvent sur votre ordinateur. Cela peut se produire de deux façons différentes. Soit la backdoor est le résultat d’un logiciel malveillant, soit elle résulte d’une décision intentionnelle de fabrication ; matérielle ou logicielle.
Les logiciels malveillants à backdoor sont généralement classés dans la catégorie des chevaux de Troie. Un cheval de Troie est un programme informatique malveillant qui se fait passer pour ce qu’il n’est pas dans le but de diffuser un malware, de voler des données ou d’ouvrir une backdoor sur votre système. Tout comme le cheval de Troie de la littérature grecque antique, les chevaux de Troie informatiques contiennent toujours une mauvaise surprise.
Les chevaux de Troie sont un instrument incroyablement polyvalent dans la boîte à outils des cybercriminels. Ils se présentent sous de nombreuses formes, comme une pièce jointe à un courrier électronique ou un téléchargement de fichier. Ils véhiculent un grand nombre de menaces de logiciels malveillants.
Faites également attention aux supports externes ayant un accès physique à l’ordinateur (clés usb, cd, disques durs externes, etc.). Il se peut qu’ils soient également infectés volontairement par des programmeurs tiers !
Enfin, pour aggraver le problème, les chevaux de Troie ont parfois la capacité de se répliquer et de se propager à d’autres systèmes sans aucune commande supplémentaire de la part des cybercriminels qui les ont créés.
Exemple d’attaques par portes dérobées
Dans un exemple de malware à backdoor, les cybercriminels ont caché un malware à l’intérieur d’un convertisseur de fichiers gratuit. Sans surprise, il ne convertissait rien du tout. En fait, le téléchargement était conçu uniquement pour ouvrir une backdoor/faille de sécurité sur le système cible.
Ensuite, dans un autre exemple, les cybercriminels ont caché un malware backdoor dans un outil utilisé pour pirater les applications logicielles Adobe ; que cela serve de leçon sur le piratage de logiciels.
Enfin, dans un dernier exemple, une application de téléscripteur de crypto-monnaies apparemment légitime appelée CoinTicker a fonctionné comme annoncé ; affichant des informations sur diverses formes de crypto-monnaies et de marchés. Mais elle a également ouvert une backdoor.
Une fois que les pirates ont mis le pied dans la porte, ils peuvent utiliser ce que l’on appelle un rootkit. Un rootkit est un ensemble de logiciels malveillants conçu pour éviter la détection et dissimuler l’activité Internet ; à vous et à votre système d’exploitation. Les rootkits permettent aux attaquants d’accéder en permanence aux systèmes infectés. En fait, le rootkit est le bloqueur de porte qui maintient la backdoor ouverte.
Qui met en place les attaques par backdoors ?
Les backdoors intégrées ou propriétaires sont mises en place par les fabricants de matériel et de logiciels eux-mêmes. Contrairement aux logiciels malveillants à « portes dérobée », les backdoors intégrées ne sont pas nécessairement conçues dans un but criminel. Le plus souvent, les backdoors intégrées sont des artefacts du processus de création des logiciels.
Les développeurs de logiciels créent ces comptes backdoor pour pouvoir entrer et sortir rapidement des applications en cours de codage, tester leurs applications et corriger les bogues (c’est-à-dire les erreurs) sans avoir à créer un « vrai » compte.
Ces backdoors ne sont pas censées être livrées avec le logiciel final mis à la disposition du public ; mais elles le sont parfois. Ce n’est pas la fin du monde, mais il y a toujours une chance qu’une backdoor propriétaire tombe entre les mains de cybercriminels.
Le cas des GAFAM
Alors que la majorité des backdoors intégrées que nous connaissons appartiennent à la première catégorie (c’est-à-dire la catégorie « oups, nous ne voulions pas mettre cela là »), les membres du pacte de partage des renseignements Five Eyes (les États-Unis, le Royaume-Uni, le Canada, l’Australie et la Nouvelle-Zélande) ont demandé à Apple, Facebook et Google d’installer des backdoors dans leur technologie afin de faciliter la collecte de preuves lors d’enquêtes criminelles. Bien que les trois sociétés aient refusé, elles fournissent toutes trois des données en aval dans la mesure où la loi l’exige.
Les pays du groupe Five Eyes ont souligné que ces backdoors étaient dans l’intérêt de la sécurité mondiale ; mais les risques d’abus sont nombreux. CBS News a découvert que des dizaines d’officiers de police dans tout le pays ont utilisé les bases de données criminelles actuellement disponibles pour les aider, eux et leurs amis, à harceler leurs ex, à faire des avances aux femmes et à harceler les journalistes qui ont pris ombrage de leur harcèlement et de leurs avances.
Les backdoors de la chaîne d’approvisionnement
Cela nous amène à la backdoor de la chaîne d’approvisionnement. Comme son nom l’indique, une backdoor de la chaîne logistique est insérée en cachette dans le logiciel ou le matériel à un moment donné de la chaîne logistique.
Cela peut se produire lorsque les matières premières sont expédiées du fournisseur au fabricant ou lorsque le produit fini est acheminé du fabricant au consommateur. Par exemple, une agence gouvernementale pourrait intercepter des routeurs, des serveurs et divers équipements de réseau en cours d’acheminement vers un client ; puis installer une backdoor dans le micrologiciel.
C’est d’ailleurs ce qu’a fait l’Agence nationale de sécurité américaine (NSA), comme l’ont révélé les révélations d’Edward Snowden sur la surveillance mondiale en 2013.
Les infiltrations dans la chaîne d’approvisionnement pourraient également se produire dans les logiciels. Prenez le code open-source, par exemple. Les bibliothèques de code source ouvert sont des dépôts gratuits de code, d’applications et d’outils de développement dans lesquels toute entreprise peut puiser au lieu de tout coder à partir de zéro.
Ça a l’air génial, non ? Tout le monde travaille ensemble pour le plus grand bien, en partageant les fruits de son travail avec les autres. Dans la plupart des cas, c’est génial. Toute contribution au code source peut faire l’objet d’un examen minutieux, mais il est arrivé que du code malveillant parvienne à l’utilisateur final.
À cet égard, en juillet 2018, un logiciel malveillant de cryptomining a été découvert à l’intérieur d’une application (ou « snap », comme on l’appelle dans le monde de Linux) pour Ubuntu et d’autres systèmes d’exploitation basés sur Linux.
Canonical, les développeurs d’Ubuntu ont admis : « Il est impossible pour un dépôt à grande échelle de n’accepter des logiciels qu’après que chaque fichier individuel ait été examiné en détail. »
Comment se protéger contre les attaques backdoors ? Guide de l’anti-attack
Bonne nouvelle, mauvaise nouvelle.
La mauvaise nouvelle est qu’il est difficile d’identifier et de se protéger contre les backdoors intégrées. Le plus souvent, les fabricants ne savent même pas que la backdoor est là. La bonne nouvelle, c’est qu’il y a des choses que vous pouvez faire pour vous protéger des autres types de backdoors.
Changez vos mots de passe par défaut. Les employés du service informatique de votre entreprise n’ont jamais voulu que votre mot de passe/nom d’utilisateur soit « guest » ou « 12345 ». Si vous laissez ce mot de passe par défaut en place, vous avez involontairement créé une backdoor. Changez le dès que possible et activez l’authentification multifactorielle (AMF) pendant que vous y êtes.
En effet, il peut être difficile de trouver un mot de passe unique pour chaque application. Un rapport de Malwarebytes Labs sur la confidentialité des données a révélé que 29 % des personnes interrogées utilisaient le même mot de passe pour de nombreuses applications et appareils. Ce n’est pas mal, mais il y a encore des progrès à faire.
Surveillez l’activité du réseau. Tout pic de données étrange peut signifier que quelqu’un utilise une backdoor sur votre système. Pour éviter cela, utilisez des pare-feu pour suivre l’activité entrante et sortante des différentes applications installées sur votre ordinateur.
Vérifiez les sources pour éviter les backdoors
Choisissez soigneusement les applications et les plugins. Comme nous l’avons vu, les cybercriminels aiment cacher des backdoors dans des applications et des plugins gratuits apparemment inoffensifs. La meilleure défense consiste à s’assurer que les applications et les plugins que vous choisissez proviennent d’une source fiable.
Qu’en est-il des logiciels pour smartphones ? (iOS d’Apple, Android de Google)
Les utilisateurs d’Android et de Chromebook devraient s’en tenir aux applications de la boutique Google Play. Tandis que les utilisateurs de Mac et d’iOS devraient s’en tenir à l’App Store d’Apple.
Conseil technique supplémentaire : lorsqu’une application nouvellement installée vous demande l’autorisation d’accéder à des données ou à des fonctions de votre appareil, réfléchissez-y à deux fois. On sait que des applications suspectes ont réussi à passer au travers des processus de vérification des applications de Google et d’Apple.
Si l’on se réfère à l’étude sur la confidentialité des données, la plupart des personnes interrogées ont bien suivi les autorisations des applications. Mais 26 % ont répondu « Je ne sais pas ». Prenez le temps, peut-être dès maintenant, de vérifier les autorisations des applications sur vos appareils. Quant aux plugins WordPress et autres, vérifiez les évaluations et les critiques des utilisateurs et évitez d’installer tout ce qui a un score moins que stellaire.
Utilisez une bonne solution de cybersécurité. Toute bonne solution anti-malware devrait être capable d’empêcher les cybercriminels de déployer les chevaux de Troie et les rootkits utilisés pour ouvrir ces sales backdoors.
Et si votre intérêt pour les backdoors va au-delà de ce que vous avez lu ici, assurez vous de lire nos articles consacrés à la cybersécurité sur notre blog. Vous y trouverez toutes les dernières nouvelles sur les backdoors et tout ce qui compte dans le monde de la cybersécurité.
Comment supprimer les backdoors ?
La suppression des backdoors d’un système informatique peut être très compliquée car elles sont souvent masquées et cachées dans des zones sensibles du système. La première étape pour supprimer les backdoors est d’utiliser un logiciel antivirus professionnel pour rechercher des logiciels malveillants et des programmes suspects qui auraient pu être installés sur le système. Une fois que ces programmes ont été détectés, ils doivent être supprimés.
Comment créer un script backdoor access dans python ?
Créer un script backdoor dans python est relativement simple et peut être fait en quelques lignes de code. Pour créer un script backdoor dans python, vous devez d’abord créer un serveur qui écoute les commandes, puis un client qui exécute les commandes envoyées par le serveur.
Recevez votre devis personnalisé dans la journée
Dites-nous ce qu'il vous faut, on s'occupe de tout !
