Cyberattaque

Cyberattaque
Photo Credit: GI / NurPhoto

Traquer de malicieux cybercriminels grâce à un prodige de l’informatique

Il s’appelle Philippe-Antoine Plante. Il a un baccalauréat en informatique de la faculté des sciences de l’Université de Sherbrooke et poursuivra bientôt sa maîtrise dans ce même domaine. Grâce à sa vigilance et à son habileté professionnelle, une campagne malicieuse à grande échelle sur Internet a été découverte au bout de trois jours de recherches.

Une attaque informatique savamment planifiée

Revenant sur l’histoire de sa découverte mémorable, Philippe-Antoine Plante raconte que le 13 janvier dernier, il navigue sur Internet sur le site d’une PME.

Subitement, les pages s’emmêlent dans un enchevêtrement difficile à déchiffrer. Une fenêtre s’ouvre par la suite et il reçoit l’indication selon laquelle la police de caractère « Hoefler » est requise sur son ordinateur pour que la page puisse à nouveau s’afficher normalement.

Il voit alors apparaître une grosse flèche verte lui indiquant de cliquer pour télécharger un document.

Une alerte sonne dans la tête de l’informaticien. Il a tout de suite compris que la fenêtre qui venait de s’ouvrir, de manière très exubérante, pouvait être à l’origine d’importantes perturbations.

Un défi : comprendre l’attaque pour mieux la combattre

Philippe-Antoine Plante, étudiant Université de Sherbrooke, a découvert une campagne malicieuse d’envergure mondiale sur Internet © Philippe-Antoine Plante

« Dès que j’ai constaté que c’était une campagne malicieuse, j’ai contacté un collaborateur pour entreprendre une recherche sur son mode de fonctionnement », affirme Philippe-Antoine Plante.

Ayant travaillé en équipe pendant trois jours consécutifs avec Antony Branchaud, un analyste en sécurité et étudiant au baccalauréat à l’Université Laval, Philippe-Antoine Plante et son camarade ont découvert que la campagne de diffusion massive d’un logiciel malveillant a causé des dégâts sur différents sites Internet dans le monde.

Le maliciel a en effet infecté des milliers de sites Internet, y compris au Canada où il a touché 5 % de sites, parmi lesquels des sites du gouvernement fédéral et de certaines grandes sociétés.

Selon la découverte des deux informaticiens, ce maliciel a facilement atteint des sites web construits à l’aide de WordPress, Joomla ou Drupal, qui apparaissent comme des outils de plus en plus populaires pour créer facilement des sites Internet.

Écoutez
Cyberattaque et sécurité informatique
Cyberattaque et sécurité informatique © IS/iStock

L’information transmise au Centre canadien de réponse aux incidents cybernétiques (CCRIC)

Afin d’assurer le suivi de ce maliciel, les deux chercheurs ont transmis toute l’information sur sa prévalence, avec une liste de sites web infectés qui le propagent, au Centre qui s’occupe des incidents cybernétiques.

Selon les données présentées par Philippe-Antoine et Anthony, la campagne de diffusion du maliciel, nommée EITEST, est savamment organisée et a bien ciblé le type de logiciel le plus malicieux susceptible de causer un maximum de ravage sur le site de chaque utilisateur potentiel.

Son stratagème consiste à se planquer derrière des sites d’organismes légitimes pour donner l’impression qu’elle est crédible, ce qui lui permet de gagner la confiance des utilisateurs.

D’un autre côté, la campagne a la capacité de changer au fil du temps, en adaptant le type de logiciels diffusés.

Les chercheurs mentionnent, comme exemple, le fait que les auteurs ont la faculté d’utiliser la campagne pour propager un « rançongiciel », un type de maliciel qui permet à un criminel de bloquer les accès aux données d’un utilisateur, et de demander en échange une rançon.

Un homme tape sur un clavier d’ordinateur portable
Les pirates informatiques peuvent facilement prendre possession de votre ordinateur. Philippe-Antoine Plante recommande d’éteindre l’ordinateur et de le déconnecter d’Internet lorsqu’une campagne malicieuse est soupçonnée. © Associated Press

À noter ces explications supplémentaires des chercheurs :

Lorsque les sites infectés sont visités à partir du navigateur Chrome sous Windows à travers un lien (par exemple une recherche avec un moteur de recherche comme Google ou Bing ou une référence au site infecté dans une page web), ils affichent une page inintelligible ainsi qu’une fenêtre contextuelle (pop-up).

Le message « The HoeflerText font wasn’t found » apparaît alors dans cette fenêtre et suggère de télécharger la police manquante, « Hoefler text », pour afficher la page correctement.

Si le téléchargement est accepté, le fichier malicieux est téléchargé et la page infectée demande à l’utilisateur d’exécuter ce fichier. En l’exécutant, l’ordinateur devient membre d’un réseau de « zombies virtuels », des machines contrôlées à l’insu de leurs utilisateurs par les cybercriminels. Lors de la découverte, le maliciel propagé par cette campagne utilisait l’ordinateur « zombie » pour générer des clics, ce qui engendre des revenus de publicité pour les pirates. De plus, les chercheurs ont pu confirmer quelques jours plus tard que la campagne cible également d’autres navigateurs web populaires.À ce stade-ci de l’analyse, les sites web infectés propageant le maliciel sont de diverses natures, comme des administrations publiques (ville, université, gouvernements) ainsi que de petites entreprises et des particuliers, provenant de plusieurs pays à travers le monde, dont le Québec et le Canada.

32 % des ordinateurs dans le monde sont infectés par un maliciel quelconque. Les pertes engendrées par les logiciels malicieux sont estimées à plusieurs dizaines de milliards par année. En 2015, les utilisateurs infectés par un cryptovirus ont payé tout près de 325 millions de dollars en rançon, un montant qui a triplé en 2016. Environ 70 % des entreprises canadiennes ont été victimes de cyberattaques, au coût moyen de 15 000 $ par incident. Les chercheurs annoncent pour bientôt un rapport détaillé expliquant leur démarche, la façon de se débarrasser de ce maliciel et les indicateurs de compromission

Catégories : Internet, sciences et technologies, Société
Mots-clés :

Vous avez remarqué une erreur ou une faute ? Cliquez ici !

Pour des raisons indépendantes de notre volonté et, pour une période indéterminée, l'espace des commentaires est fermé. Cependant, nos réseaux sociaux restent ouverts à vos contributions.