Cyberattaque

Cyberattaque
Photo Credit: GI / NurPhoto

Traquer de malicieux cybercriminels grâce à un prodige de l’informatique

Share

Il s’appelle Philippe-Antoine Plante. Il a un baccalauréat en informatique de la faculté des sciences de l’Université de Sherbrooke et poursuivra bientôt sa maîtrise dans ce même domaine. Grâce à sa vigilance et à son habileté professionnelle, une campagne malicieuse à grande échelle sur Internet a été découverte au bout de trois jours de recherches.

Une attaque informatique savamment planifiée

Revenant sur l’histoire de sa découverte mémorable, Philippe-Antoine Plante raconte que le 13 janvier dernier, il navigue sur Internet sur le site d’une PME.

Subitement, les pages s’emmêlent dans un enchevêtrement difficile à déchiffrer. Une fenêtre s’ouvre par la suite et il reçoit l’indication selon laquelle la police de caractère « Hoefler » est requise sur son ordinateur pour que la page puisse à nouveau s’afficher normalement.

Il voit alors apparaître une grosse flèche verte lui indiquant de cliquer pour télécharger un document.

Une alerte sonne dans la tête de l’informaticien. Il a tout de suite compris que la fenêtre qui venait de s’ouvrir, de manière très exubérante, pouvait être à l’origine d’importantes perturbations.

Un défi : comprendre l’attaque pour mieux la combattre

Philippe-Antoine Plante, étudiant Université de Sherbrooke, a découvert une campagne malicieuse d’envergure mondiale sur Internet © Philippe-Antoine Plante

« Dès que j’ai constaté que c’était une campagne malicieuse, j’ai contacté un collaborateur pour entreprendre une recherche sur son mode de fonctionnement », affirme Philippe-Antoine Plante.

Ayant travaillé en équipe pendant trois jours consécutifs avec Antony Branchaud, un analyste en sécurité et étudiant au baccalauréat à l’Université Laval, Philippe-Antoine Plante et son camarade ont découvert que la campagne de diffusion massive d’un logiciel malveillant a causé des dégâts sur différents sites Internet dans le monde.

Le maliciel a en effet infecté des milliers de sites Internet, y compris au Canada où il a touché 5 % de sites, parmi lesquels des sites du gouvernement fédéral et de certaines grandes sociétés.

Selon la découverte des deux informaticiens, ce maliciel a facilement atteint des sites web construits à l’aide de WordPress, Joomla ou Drupal, qui apparaissent comme des outils de plus en plus populaires pour créer facilement des sites Internet.

Écoutez
Cyberattaque et sécurité informatique
Cyberattaque et sécurité informatique © IS/iStock

L’information transmise au Centre canadien de réponse aux incidents cybernétiques (CCRIC)

Afin d’assurer le suivi de ce maliciel, les deux chercheurs ont transmis toute l’information sur sa prévalence, avec une liste de sites web infectés qui le propagent, au Centre qui s’occupe des incidents cybernétiques.

Selon les données présentées par Philippe-Antoine et Anthony, la campagne de diffusion du maliciel, nommée EITEST, est savamment organisée et a bien ciblé le type de logiciel le plus malicieux susceptible de causer un maximum de ravage sur le site de chaque utilisateur potentiel.

Son stratagème consiste à se planquer derrière des sites d’organismes légitimes pour donner l’impression qu’elle est crédible, ce qui lui permet de gagner la confiance des utilisateurs.

D’un autre côté, la campagne a la capacité de changer au fil du temps, en adaptant le type de logiciels diffusés.

Les chercheurs mentionnent, comme exemple, le fait que les auteurs ont la faculté d’utiliser la campagne pour propager un « rançongiciel », un type de maliciel qui permet à un criminel de bloquer les accès aux données d’un utilisateur, et de demander en échange une rançon.

Un homme tape sur un clavier d’ordinateur portable
Les pirates informatiques peuvent facilement prendre possession de votre ordinateur. Philippe-Antoine Plante recommande d’éteindre l’ordinateur et de le déconnecter d’Internet lorsqu’une campagne malicieuse est soupçonnée. © Associated Press

À noter ces explications supplémentaires des chercheurs :

Lorsque les sites infectés sont visités à partir du navigateur Chrome sous Windows à travers un lien (par exemple une recherche avec un moteur de recherche comme Google ou Bing ou une référence au site infecté dans une page web), ils affichent une page inintelligible ainsi qu’une fenêtre contextuelle (pop-up).

Le message « The HoeflerText font wasn’t found » apparaît alors dans cette fenêtre et suggère de télécharger la police manquante, « Hoefler text », pour afficher la page correctement.

Si le téléchargement est accepté, le fichier malicieux est téléchargé et la page infectée demande à l’utilisateur d’exécuter ce fichier. En l’exécutant, l’ordinateur devient membre d’un réseau de « zombies virtuels », des machines contrôlées à l’insu de leurs utilisateurs par les cybercriminels. Lors de la découverte, le maliciel propagé par cette campagne utilisait l’ordinateur « zombie » pour générer des clics, ce qui engendre des revenus de publicité pour les pirates. De plus, les chercheurs ont pu confirmer quelques jours plus tard que la campagne cible également d’autres navigateurs web populaires.À ce stade-ci de l’analyse, les sites web infectés propageant le maliciel sont de diverses natures, comme des administrations publiques (ville, université, gouvernements) ainsi que de petites entreprises et des particuliers, provenant de plusieurs pays à travers le monde, dont le Québec et le Canada.

32 % des ordinateurs dans le monde sont infectés par un maliciel quelconque. Les pertes engendrées par les logiciels malicieux sont estimées à plusieurs dizaines de milliards par année. En 2015, les utilisateurs infectés par un cryptovirus ont payé tout près de 325 millions de dollars en rançon, un montant qui a triplé en 2016. Environ 70 % des entreprises canadiennes ont été victimes de cyberattaques, au coût moyen de 15 000 $ par incident. Les chercheurs annoncent pour bientôt un rapport détaillé expliquant leur démarche, la façon de se débarrasser de ce maliciel et les indicateurs de compromission

Share
Publié dans : Internet et technologies, Société

Vous avez remarqué une erreur ou une faute ? Cliquez ici !

@*@ Comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 caractères restants

Note: En nous soumettant vos commentaires, vous reconnaissez que Radio Canada International a le droit de les reproduire et de les diffuser, en tout ou en partie et de quelque manière que ce soit. Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s'ils respectent la nétiquette.

Nétiquette »

Quand vous vous exprimez dans le cadre d'une tribune, vous devez être aussi courtois que si vous parliez à quelqu'un face à face. Les insultes et attaques personnelles ne seront pas tolérées. Ne pas être d'accord avec une opinion, une idée ou un événement est une chose, mais manquer de respect envers autrui en est une autre. Les grands esprits ne se rencontrent pas toujours, et c'est bien là l'intérêt des tribunes!

La nétiquette est l'ensemble des règles de conduite régissant le comportement des internautes. Avant d'intervenir dans une tribune, il est important d'en prendre connaissance. Sinon, on risque l'expulsion!

  1. Les tribunes de RCInet.ca ne sont pas anonymes. Au moment de s'inscrire, les utilisateurs sont tenus d'indiquer leurs nom, prénom et lieu de résidence, qui s'afficheront au moment de la publication de leur commentaire. RCInet.ca se réserve le droit de ne pas publier un commentaire s'il existe un doute quant à l'identité de son auteur.
  2. L'usurpation de l'identité d'autrui dans l'intention d'induire en erreur ou de causer un préjudice est une infraction grave passible d'expulsion.
  3. Les tribunes de Rcinet.ca sont ouvertes à tous, quels que soit l'âge, l'origine ethnique, la religion, le sexe ou l'orientation sexuelle.
  4. Les propos diffamatoires, haineux, racistes, xénophobes, homophobes, sexistes ou disgracieux envers l'origine ethnique, l'appartenance à une religion ou à un groupe d'âge ne seront pas publiés.
  5. Dans Internet, les majuscules équivalent aux cris et peuvent être interprétées comme de l'agressivité, ce qui est plutôt désagréable pour vos interlocuteurs. Tout message contenant un ou des mots écrits en majuscules (à l'exception des sigles et des acronymes) sera rejeté. Il en sera de même pour les messages contenant un ou des mots en caractères gras, italiques ou soulignés.
  6. Le langage vulgaire, obscène ou malveillant est interdit. Les tribunes sont des lieux publics, et vos propos pourraient heurter certains internautes. Les personnes faisant usage d'un langage grossier seront expulsées.
  7. Le respect mutuel est de mise entre les utilisateurs. Ainsi, il est interdit d'injurier, de menacer ou de harceler un utilisateur. Vous pouvez exprimer votre désaccord avec une idée sans attaquer quiconque.
  8. L'échange d'arguments et de vues contradictoires est un élément clé d'un débat sain, mais il ne doit pas prendre la forme d'un dialogue ou d'une discussion privée entre deux participants qui s'interpellent sans égard aux autres participants. Les messages de ce type ne seront pas affichés.
  9. Radio Canada International diffuse en cinq langues. Les échanges dans les forums doivent se faire dans la même langue que le contenu que nous publions. L'usage d'autres langues, à l'exception de quelques mots, est interdit. Les messages sans rapport avec le sujet ne seront pas publiés.
  10. L'envoi de messages à répétition nuit aux échanges et ne sera pas toléré.
  11. L'insertion d'images ou de tout autre type de fichier dans les commentaires est interdite. L'inclusion d'hyperliens vers d'autres sites est permise, à condition qu'ils respectent la nétiquette. Toutefois, Radio Canada International n'est aucunement responsable du contenu de ces sites.
  12. La copie d'un texte d'autrui, même avec référence à son auteur, est inacceptable si cet extrait constitue la majeure partie du commentaire.
  13. La publicité et les appels à la mobilisation, sous quelque forme que ce soit, sont interdits dans les tribunes de Radio Canada International.
  14. Tous les commentaires et autres types de contenus sont modérés avant publication. Radio Canada International  se réserve le droit de ne pas publier les messages des internautes.
  15. Radio Canada International se réserve le droit de fermer une tribune à tout moment, sans préavis.
  16. Radio Canada International se réserve le droit de modifier ces règles de conduite (nétiquette) en tout temps, sans préavis.
  17. En participant à ses tribunes, vous autorisez Radio Canada International à publier vos commentaires sur la toile pour un temps indéfini. Cela suppose aussi que ces messages seront indexés par les moteurs de recherche d'Internet.
  18. Radio Canada International  n'est nullement tenue de retirer vos messages du web, si un jour vous en faites la demande. Nous vous invitons donc à bien réfléchir à vos propos et aux conséquences de leur publication.

*

Un commentaire pour «Traquer de malicieux cybercriminels grâce à un prodige de l’informatique»