Qu'est-ce qu'une porte dérobée et comment prévenir les attaques de virus par porte dérobée ?

Une porte dérobée désigne toute méthode permettant aux utilisateurs de contourner les procédures d’authentification standard ou le cryptage d’un appareil. Voyons comment vous pouvez prévenir les attaques de virus par porte dérobée.

Une porte dérobée crée un autre point d’entrée dans un appareil, un réseau ou un logiciel qui permet d’accéder à distance à des ressources telles que des bases de données et des serveurs de fichiers.

Les pirates informatiques parcourent le web à la recherche d’applications vulnérables qu’ils utilisent pour installer des virus à porte dérobée. Une fois installé sur votre appareil, un virus à porte dérobée peut être difficile à détecter car les fichiers ont tendance à être fortement obscurcis.

L’existence d’une porte dérobée dans votre appareil permet aux pirates d’effectuer à distance diverses opérations de piratage, telles que

Surveillance
Détournement d’appareil
Installation de logiciels malveillants
Le vol d’informations financières et
L’usurpation d’identité

Comment fonctionnent les attaques de virus par porte dérobée ?

Une porte dérobée peut être installée légitimement par les développeurs de logiciels et de matériel pour leur permettre d’accéder facilement à leurs applications afin d’exécuter des fonctions telles que la résolution de problèmes logiciels.

Mais dans la plupart des cas, les portes dérobées sont installées par des cybercriminels pour leur permettre d’obtenir un accès illégitime à un appareil, un réseau ou une application logicielle.

Pour que les cybercriminels réussissent à installer un virus de porte dérobée sur votre appareil, ils doivent d’abord trouver un point faible (vulnérabilités du système) ou une application compromise dans votre appareil.

Les vulnérabilités système les plus courantes sont les suivantes

Logiciels non corrigés
Ports réseau ouverts
Mots de passe faibles
Pare-feu déficients

Les vulnérabilités peuvent également être créées par des logiciels malveillants tels que les chevaux de Troie. Les pirates utilisent les chevaux de Troie présents sur un appareil pour créer des portes dérobées.

Un cheval de Troie est un type de programme malveillant souvent déguisé en logiciel légitime pour voler des données ou installer une porte dérobée. En utilisant une forme d’ingénierie sociale, il incite les utilisateurs à télécharger et à ouvrir le cheval de Troie sur leur appareil.

Une fois activé, un cheval de Troie à porte dérobée permet aux pirates de prendre le contrôle à distance de l’appareil infecté. Ils peuvent alors mener toutes sortes d’activités malveillantes, notamment voler, recevoir et supprimer des fichiers, redémarrer l’appareil et installer d’autres logiciels malveillants.

Une fois que les cybercriminels se sont introduits dans votre ordinateur par le biais d’une porte dérobée, ils veulent s’assurer qu’ils peuvent facilement y revenir, que ce soit pour voler vos informations, installer un logiciel d’extraction de crypto-monnaie, détourner votre appareil ou saboter votre entreprise.

Les pirates savent qu’il peut être difficile de continuer à pirater un appareil, surtout si la vulnérabilité est corrigée. C’est pourquoi ils installent un code appelé porte dérobée sur l’appareil cible, de sorte que même si la vulnérabilité est corrigée, la porte dérobée reste en place pour leur permettre d’accéder à l’appareil.

Comment les pirates utilisent les portes dérobées Attaques de virus aujourd’hui

Les pirates accèdent à votre appareil grâce à diverses techniques d’intrusion par porte dérobée, telles que la liaison de port, l’approche “connect-back”, l’abus de disponibilité de connexion et l’approche par protocole de service standard – c’est assez compliqué. Néanmoins, il s’agit de tromper votre appareil, votre pare-feu et votre réseau.

Une fois le virus de la porte dérobée installé, les pirates peuvent effectuer des activités malveillantes comme :

Ransomware logiciel malveillant qui infecte votre appareil et vous empêche d’accéder à vos fichiers personnels à moins que vous ne payiez une somme d’argent, généralement sous forme de bitcoins.
Lesattaques DDoS (Distributed-Denial-of-Service) sont des tentatives malveillantes de perturber et de rendre indisponible un site web ou un service en ligne en l’inondant et en le bloquant avec un trafic trop important. Ce trafic peut comprendre des demandes de connexion, de faux paquets et des messages entrants.
Deslogiciels espions malveillants s’infiltrent dans votre appareil. Il recueille presque toutes les formes de données, y compris des informations personnelles telles que des données bancaires ou de crédit, des habitudes de navigation sur Internet, des noms d’utilisateur et des mots de passe.
Lecrypto-jacking, également appelé crypto-mining malveillant, est une menace en ligne qui se cache dans votre ordinateur ou votre téléphone et utilise ses ressources à votre insu pour extraire des devises en ligne, comme le bitcoin, pour le compte de quelqu’un d’autre.

Exemples réels d’attaques réussies de portes dérobées

#1. Piratage de la chaîne YouTube de MarcoStyle

Un YouTubeur nommé MarcoStyle a été piraté en 2019 lorsqu’il a répondu à un e-mail d’une entreprise cherchant à faire de la publicité sur sa chaîne. L’entreprise semblait légitime, mais lorsque Marco a cliqué sur un lien joint à l’email, un programme d’installation s’est enfoui dans son ordinateur. Il a immédiatement remarqué que quelque chose n’allait pas avec son PC, a coupé l’électricité, a refait une installation de Windows et a modifié ses informations de connexion.

Malheureusement, les pirates avaient déjà accédé à son compte Google et extrait de son Gmail sa chaîne YouTube, qui comptait plus de 350 000 abonnés.

Marco a prévenu YouTube, mais pas avant que sa chaîne ne soit vendue sur un site russe de chaînes YouTube piratées. Les pirates ont changé sa photo de profil et son nom en “Brad Garlinghouse” et ont supprimé toutes ses vidéos. Cinq jours plus tard, les pirates ont lancé une diffusion en direct au cours de laquelle ils auraient volé environ 15 000 dollars aux spectateurs de Marco.

Ils ont même réussi à se faire vérifier par YouTube, ce que Marco avait tenté à maintes reprises mais qui lui avait été refusé. Il a fallu onze jours après le piratage pour que YouTube récupère la chaîne de Marco.

Cet exemple montre que les pirates utilisent des liens malveillants comme moyen courant d’installer des virus à porte dérobée sur des appareils.

#2. L’attaque du ransomware WannaCry

L’attaque du ransomwareWannaCry en 2017 est probablement le meilleur exemple de la façon dont les pirates informatiques peuvent lancer une attaque virale par porte dérobée sur une entreprise lorsque les correctifs ne sont pas appliqués.

L’attaque, qui a touché plus de 230 000 ordinateurs dans 150 pays, s’est propagée par le biais d’EternalBlue, un exploit développé par la NSA pour les anciennes fenêtres. Un groupe de pirates connu sous le nom de Shadow Brokers a volé EternalBlue, installé la porte dérobée DoublePulsar, puis crypté les données et exigé une rançon d’une valeur de 600 dollars en bitcoins.

Microsoft avait publié le correctif qui protégeait les utilisateurs contre cet exploit depuis plusieurs mois, mais de nombreuses entreprises concernées, dont l’hôpital NHS, ne l’ont pas appliqué. En l’espace de quelques jours, des milliers de cabinets médicaux du NHS ont été interrompus dans tout le Royaume-Uni et les ambulances ont été déroutées, laissant sans soins des personnes dans un état critique.

À la suite de l’attaque, 19 000 rendez-vous ont été annulés, ce qui a coûté au NHS la somme astronomique de 92 millions de livres sterling. On estime que l’attaque Wannacry a causé des pertes de 4 milliards de dollars dans le monde entier.

Quelques entreprises qui ont payé la rançon ont récupéré leurs données, mais les recherches montrent que la plupart d’entre elles ne l’ont pas fait.

#3. Attaque de la porte dérobée SolarWinds Sunburst

Le 14 décembre 2020, des portes dérobées malveillantes connues sous le nom de Sunburst et Supernova ont été découvertes dans SolarWinds. SolarWinds est une grande entreprise de technologie de l’information basée aux États-Unis qui crée des logiciels pour aider les entreprises à gérer leurs réseaux, leurs systèmes et leur infrastructure informatique.

Les cybercriminels se sont introduits dans les systèmes de SolarWinds, basé au Texas, et ont ajouté un code malveillant dans le logiciel Orion de la société – un système logiciel largement utilisé par les entreprises pour gérer les ressources informatiques.

Sans le savoir, SolarWinds a envoyé à ses clients des mises à jour du logiciel Orion contenant un code malveillant. Lorsque les clients ont téléchargé les mises à jour, le code malveillant s’est installé et a créé une porte dérobée sur leurs appareils, que les pirates ont utilisée pour les espionner.

SolarWinds a indiqué que 18 000 de ses 300 000 clients ont été touchés par le logiciel Orion piraté. Les pertes assurées résultant de l’attaque ont été estimées à 90 millions de dollars, ce qui en fait l’une des plus importantes attaques de cybersécurité de tous les temps.

#4. Des portes dérobées trouvées sur les iPhones

Une étude réalisée en 2020 par l’Ohio State University, la New York University et le Helmholtz Center of Information Security a révélé que des milliers d’applications Android contenaient une porte dérobée. Sur les 150 000 applications testées, 12 705 présentaient un comportement secret indiquant la présence d’une porte dérobée.

Les types de portes dérobées trouvées comprenaient des clés d’accès et des mots de passe principaux qui pouvaient permettre de déverrouiller l’application à distance et de réinitialiser le mot de passe de l’utilisateur. Certaines applications étaient également capables d’exécuter des commandes secrètes à distance.

Les portes dérobées dans les téléphones permettent aux cybercriminels et au gouvernement de vous espionner facilement. Elles peuvent entraîner une perte totale de données et des dommages irrémédiables au système.

Êtes-vous vulnérable aux attaques de virus à porte dérobée ?

Malheureusement, la plupart des gens ont de nombreuses failles sur leurs comptes en ligne, leurs réseaux et même leurs appareils de l’Internet des objets (I oT) qui les rendent vulnérables aux attaques de virus par porte dérobée.

Vous trouverez ci-dessous diverses techniques exploitées par les pirates pour installer des portes dérobées sur les appareils des utilisateurs.

#1. Portes dérobées cachées/légitimes

Parfois, les développeurs de logiciels installent délibérément des portes dérobées cachées pour leur donner un accès à distance afin d’effectuer des activités légitimes telles que l’assistance à la clientèle ou la correction de bogues logiciels. Lespirates recherchent ces portes dérobées pour obtenir un accès illégitime au logiciel.

#2. Ports de réseau ouverts

Les pirates recherchent des ports de réseau ouverts à exploiter car ils peuvent accepter du trafic en provenance de sites distants. Une fois qu’ils se sont introduits dans votre appareil par un port ouvert, ils laissent des portes dérobées qui leur permettent d’accéder à votre appareil encore et encore sans être détectés.

Vous devez identifier les ports que vous souhaitez voir fonctionner sur votre serveur et les limiter, puis fermer ou bloquer les ports qui ne sont pas utilisés afin d’éviter qu’ils ne soient exposés sur l’internet.

#3. Téléchargement de fichiers sans restriction

La majorité des serveurs web vous permettent de télécharger des images ou des fichiers PDF. Une vulnérabilité de type porte dérobée se produit lorsque vous ne limitez pas les fichiers téléchargés au type de fichier prévu.

Les cybercriminels disposent alors d’une porte dérobée pour télécharger un code arbitraire sur le serveur web, ce qui leur permet de revenir à tout moment et d’exécuter n’importe quelle commande. La meilleure façon de corriger cette vulnérabilité est de valider le type de fichier qu’un utilisateur peut télécharger avant de l’accepter.

#4. Injections de commandes

L’injection de commandes est un autre type de vulnérabilité susceptible de conduire à une attaque virale par porte dérobée. Dans ce type d’attaque, le pirate cherche à exécuter une commande sur l’appareil cible en exploitant une application web vulnérable. Il est difficile de détecter ce type d’infection par porte dérobée, car il n’est pas aisé de savoir quand un utilisateur malveillant tente d’attaquer un appareil.

Le moyen le plus efficace de prévenir les vulnérabilités liées à l’injection de commandes est d’utiliser un système de validation des entrées de l’utilisateur qui empêche les données mal formées d’entrer dans le système.

#5. Mots de passe faibles

Les mots de passe faibles, comme votre date d’anniversaire ou le nom de votre premier animal de compagnie, sont faciles à déchiffrer par les pirates. Pire encore, la plupart des gens utilisent un seul mot de passe pour tous leurs comptes en ligne, ce qui signifie que si les pirates s’emparent du mot de passe d’un compte, il peut être plus facile de prendre le contrôle de tous vos autres comptes.

Les mots de passe faibles ou par défaut de vos appareils IoT sont également une cible facile pour les cybercriminels. S’ils prennent le contrôle, par exemple, d’un routeur, ils peuvent trouver le mot de passe WiFi stocké sur l’appareil, et l’attaque devient très sérieuse à partir de là – conduisant souvent à des attaques DDoS.

Prenez le temps de mettre à jour le mot de passe par défaut de votre routeur et de votre PSK WiFi et de modifier le mot de passe administrateur de tous les appareils IoT de votre réseau.

Autres moyens de prévenir les attaques par porte dérobée

Une attaque virale par porte dérobée peut passer inaperçue pendant longtemps parce qu’elle est difficile à détecter – c’est ainsi que les pirates les conçoivent. Malgré tout, vous pouvez prendre quelques mesures simples pour protéger votre appareil contre les attaques de virus par porte dérobée.

#1. Utilisez un antivirus

Un logiciel antivirus sophistiqué peut vous aider à détecter et à prévenir un large éventail de logiciels malveillants, y compris les chevaux de Troie, les crypto-pirates, les logiciels espions et les rootkits fréquemment utilisés par les cybercriminels pour déployer des attaques par porte dérobée.

Un bon antivirus comprend des outils tels que la surveillance du WiFi, un pare-feu avancé, la protection du web et la surveillance de la confidentialité du microphone et de la webcam, afin de garantir que vous êtes aussi en sécurité que possible en ligne.

Cela signifie que votre logiciel antivirus détectera et éliminera une infection par porte dérobée avant qu’elle ne puisse infecter votre machine.

#2. Téléchargez avec précaution

Lorsque vous téléchargez des logiciels, des fichiers ou des applications, faites attention à la demande d’autorisation d’installation (gratuite) d’applications groupées supplémentaires. Ces applications sont appelées PUA (Potentially Unwanted Application). Il s’agit de logiciels, de fichiers et d’applications gratuits qui semblent légitimes mais qui ne le sont pas. Ils sont souvent accompagnés d’un type de logiciel malveillant, y compris des virus à porte dérobée.

Envisagez d’installer un logiciel de sécurité en ligne avec détection des logiciels malveillants en temps réel et téléchargez toujours à partir de sites web officiels et évitez de cliquer sur des sites de téléchargement tiers (pirates).

#3. Utilisez des pare-feu

La plupart des logiciels antivirus sont équipés d’un pare-feu qui peut vous aider à vous protéger contre des attaques telles que les virus à porte dérobée.

Les pare-feu sont conçus pour surveiller tout le trafic entrant et sortant de votre réseau afin de filtrer les menaces.

Par exemple, un pare-feu peut savoir si un utilisateur autorisé tente d’accéder à votre réseau ou à votre appareil et l’en empêcher. Les pare-feu peuvent également être configurés pour bloquer toute application sur votre appareil qui tente d’envoyer vos données sensibles à un emplacement inconnu du réseau.

#4. Utilisez un gestionnaire de mots de passe

Un gestionnaire de mots de passe peut vous aider à générer et à stocker des identifiants de connexion pour tous vos comptes, et vous aider à vous connecter automatiquement à ces derniers.

Les gestionnaires de mots de passe utilisent un mot de passe principal pour crypter votre base de données de mots de passe, de sorte que vous n’avez pas besoin de saisir votre mot de passe, votre adresse électronique ou votre nom d’utilisateur à chaque fois. Il vous suffit d’enregistrer vos mots de passe dans le gestionnaire de mots de passe et de créer un mot de passe principal.

Lorsque vous vous connectez à l’un de vos comptes, vous devez saisir le mot de passe principal, qui remplit automatiquement les données. La plupart des gestionnaires de mots de passe sont dotés d’une fonction qui vous avertit en cas de violation de vos données et lorsque le mot de passe que vous utilisez a été retrouvé dans un stock de données d’utilisateurs volées.

#5. Restez au courant des mises à jour et des correctifs de sécurité

Les pirates abusent des failles ou des faiblesses connues d’un appareil ou d’un logiciel. Ces faiblesses peuvent exister en raison d’un manque de mises à jour. Les statistiques montrent qu’une brèche sur trois est causée par des vulnérabilités qui auraient déjà pu être corrigées.

Une autre étude montre que 34 % (un professionnel de l’informatique sur trois) en Europe ont déclaré que leur organisation avait subi une violation en raison d’une vulnérabilité non corrigée.

Heureusement, les développeurs de logiciels publient fréquemment de nouveaux correctifs pour remédier aux vulnérabilités de leurs logiciels, et ils incluent des paramètres de mise à jour automatique ou envoient des notifications sur les mises à jour.

Activez les mises à jour automatiques, car il est essentiel de maintenir votre système d’exploitation à jour, car les portes dérobées ont besoin de tromper votre système d’exploitation.

#6. Utilisez l’authentification multifactorielle (MFA)

L’authentification multifactorielle est conçue pour améliorer la sécurité en empêchant les accès non autorisés.

Elle vous oblige à confirmer votre identité de plusieurs façons lorsque vous accédez à une application, un site web ou un logiciel.

L’AMF utilise trois éléments essentiels pour prouver votre identité :

Un élément que vous êtes seul à connaître, comme un mot de passe ou un code PIN
Un élément que vous seul possédez, comme un jeton ou votre smartphone
Un élément qui n’appartient qu’à vous, comme votre empreinte de pouce, votre voix ou vos traits faciaux

Par exemple, lorsque vous vous connectez à un compte à l’aide d’un mot de passe, vous pouvez recevoir une notification sur votre téléphone vous demandant d’appuyer sur votre écran pour approuver la demande.

Il peut également vous être demandé d’utiliser votre mot de passe et votre empreinte digitale ou l’iris de votre œil lorsque vous vous connectez à vos comptes.

Le mot de la fin 👩‍🏫

Une fois installés sur votre appareil, les virus à porte dérobée peuvent être difficiles à détecter car les fichiers ont tendance à être fortement obscurcis. De plus, ils permettent aux auteurs d’accéder à vos informations sensibles et d’installer d’autres formes de logiciels malveillants.

La bonne nouvelle, c’est qu’il existe des moyens de vous protéger contre les attaques de virus à porte dérobée.

Par exemple, vous pouvez utiliser une bonne solution anti-programmes malveillants ou surveiller l’activité de votre réseau afin de détecter tout pic de données étrange résultant d’une tentative de piratage de votre appareil à l’aide d’une porte dérobée. Vous pouvez également utiliser des pare-feu pour bloquer toutes les connexions non autorisées à votre réseau.

Mary Manzi
Contributeur
- LinkedIn
Mary Manzi is a HubSpot-certified cybersecurity content writer who writes primarily cybersecurity news-related articles. Mary feels that given the current global scenario, security threats and data breaches are what her readers should be aware of and know how to handle, which is why she educates them on the same through her writing.