Le chiffrement existe depuis très longtemps. Parmi les premières formes, on peut citer la boîte de César, un simple code utilisé par Jules César pour communiquer en toute sécurité avec ses généraux lorsqu'il était sur le terrain.
Depuis, la cryptographie s'est considérablement améliorée. Grâce à une meilleure compréhension des mathématiques et des principes de la sécurité de l'information, les cryptographes ont pu concevoir des algorithmes de chiffrement à la fois fonctionnels et sûrs.
Les codes modernes que nous utilisons tous les jours sont conçus pour être impossibles à déchiffrer avec la technologie actuelle. Sans connaître la clé secrète, il est impossible de lire les données chiffrées, ce qui est très utile à des fins légitimes, comme la protection des données sensibles lorsqu'elles sont stockées et circulent sur l'internet. Cependant, toutes les utilisations de la cryptographie ne sont pas bénignes.
Dans ce blog, nous étudierons la cryptographie dans le contexte de la cybersécurité, la manière dont elle permet d'empêcher les cybercriminels modernes d'accéder aux données sensibles et la manière dont ces mêmes cybercriminels peuvent l'utiliser à leur avantage.
Le principal objectif de la cryptographie est de garder des secrets, et les auteurs de logiciels malveillants ont beaucoup de secrets à garder. Les logiciels malveillants sont conçus à des fins diverses, mais toutes ces fins ne sont pas dans l'intérêt de la cible des logiciels malveillants. C'est pourquoi les gens s'efforcent activement de rechercher et de détruire les logiciels malveillants présents sur leurs systèmes.
Afin de protéger leurs opérations, les auteurs de logiciels malveillants intègrent souvent le cryptage à plusieurs étapes du cycle de vie de l'infection.
Les utilisations courantes du cryptage des logiciels malveillants sont les suivantes
Il est évident que la plupart des gens ne veulent pas de logiciels malveillants sur leurs ordinateurs. C'est pourquoi les particuliers et les organisations déploient des antivirus, des pare-feu et d'autres solutions de cyberdéfense pour minimiser le risque d'infection. Les logiciels malveillants sont diffusés de différentes manières, qu'il s'agisse de courriels d'hameçonnage, de clés USB infectées ou de vers de réseau qui se propagent en exploitant les vulnérabilités des services en contact avec le réseau. Bien que ces solutions de cybersécurité ne soient pas efficaces à 100 % pour arrêter toutes les formes de diffusion de logiciels malveillants, elles fonctionnent assez bien contre de nombreuses menaces connues. La barre est donc haute pour les auteurs de logiciels malveillants, qui doivent non seulement introduire leurs logiciels malveillants dans un réseau cible, mais aussi exécuter leur attaquesur les systèmes cibles une fois qu'ils sont en place.
Le cryptage joue un rôle clé dans le succès de nombreuses variantes de logiciels malveillants lors de la livraison et de l'exécution initiales. La plupart des programmes antivirus s'appuient sur la correspondance des signatures, qui identifie des modèles de code ou des chaînes spécifiques dans un échantillon de logiciel malveillant. En chiffrant la majorité du code et en laissant une partie minimale non chiffrée (juste assez pour déchiffrer et exécuter le reste), les auteurs de logiciels malveillants peuvent réduire leurs chances d'être détectés.
Ce comportement est crucial lorsque les logiciels malveillants tentent d'échapper à la détection par les systèmes de détection d'intrusion (IDS) et d'autres outils de cybersécurité similaires. Les équipes de sécurité surveillent régulièrement les alertes de ces systèmes, ainsi que les fichiers journaux, dans le cadre de leurs stratégies de détection. En chiffrant les logiciels malveillants lors de leur transmission à l'appareil cible, les auteurs de logiciels malveillants réduisent la probabilité que des données utiles soient capturées dans ces alertes ou ces fichiers journaux.
La plupart des logiciels malveillants ne sont pas conçus pour fonctionner de manière totalement indépendante de leur propriétaire. Lorsqu'ils parviennent à s'installer sur une machine cible, ils ouvrent souvent un canal de communication avec des serveurs contrôlés par l'attaquant. Cela permet au logiciel malveillant de recevoir des commandes supplémentaires de l'opérateur et d'envoyer des données au cybercriminel. L'opérateur peut ainsi adapter sa tactique à la machine compromise et aux données qui y sont stockées.
Les communications de commandement et de contrôle (C2) sont l'endroit le plus courant où les logiciels malveillants utilisent le chiffrement. De nombreuses organisations déploient des défenses de cybersécurité basées sur le réseau qui examinent tout le trafic entrant et sortant des ordinateurs du réseau. Si ces défenses peuvent reconnaître les communications C2 des logiciels malveillants, elles peuvent les bloquer et prendre des mesures pour supprimer les logiciels malveillants.
Les logiciels malveillants C2 peuvent soit exploiter le cryptage déjà disponible sur l'internet, soit inclure leur propre cryptage.
De nombreuses communications légitimes utilisent le protocole Transport Level Security (TLS) pour protéger leurs communications (le protocole qui sécurise HTTPS). Une session TLS ressemble beaucoup à une autre, de sorte que l'utilisation de TLS et d'un port commun (comme 443) permet au logiciel malveillant C2 de se fondre dans la masse.
Les logiciels malveillants peuvent également utiliser une solution de chiffrement personnalisée pour protéger leurs communications. La plupart des algorithmes de chiffrement standardisés (comme AES et RSA) sont publiés et des échantillons de code sont disponibles gratuitement. Une solution de chiffrement bien conçue et mise en œuvre peut rendre les communications C2 des logiciels malveillants impossibles à déchiffrer, mais une erreur à ce niveau peut rendre l'utilisation du chiffrement par les logiciels malveillants complètement inutile.
Une fois que le logiciel malveillant est installé avec succès sur sa cible et qu'il a établi une connexion C2 avec son opérateur, il commence à travailler pour atteindre ses objectifs. Les auteurs de logiciels malveillants ont généralement une raison d'essayer de pénétrer dans un ordinateur, et les détails de cette raison dépendent de la cible, de la famille de logiciels malveillants, de l'objectif, etc.
Le chiffrement peut même être un élément central de l'objection principale du logiciel malveillant. Par exemple, les logiciels malveillants de type ransomware ou cryptolocker, comme Wannacry et Locky, empêchent les utilisateurs d'accéder à leurs fichiers en les chiffrant et en exigeant une rançon.
Le chiffrement est également couramment utilisé pour sécuriser les communications C2, qui sont essentielles aux opérations des auteurs de logiciels malveillants. Si une organisation détecte l'exfiltration de ses données ou peut lire les instructions C2 du cybercriminel, il lui est plus facile de détecter et d'éradiquer l'infection. C'est pourquoi les cybercriminels chiffrent généralement ces données et s'efforcent de les dissimuler, que ce soit en se fondant dans la masse en utilisant des protocoles chiffrés courants pour le C2 ou en développant un canal C2 secret conçu pour passer sous le radar du défenseur.
Le plus grand avantage de la technologie de cryptage est aussi son plus grand inconvénient. Elle fonctionne réellement.
S'il est correctement conçu et mis en œuvre, un système de cryptage peut rendre impossible la consultation des données protégées par une partie non autorisée. Il s'agit d'un atout considérable lorsqu'il s'agit de données sensibles, mais aussi d'une menace importante pour la sécurité.
Le problème de l'utilisation du chiffrement par les logiciels malveillants est que, s'il est correctement mis en œuvre, il est impossible de décrypter les données et de comprendre ce que fait le logiciel malveillant. C'est pourquoi il est vital de s'assurer que les logiciels malveillants ne parviennent pas à s'installer sur vos systèmes et, s'ils y parviennent, de les détecter et de les éradiquer dès que possible.
Les logiciels malveillants peuvent s'installer sur un système de différentes manières, c'est pourquoi il est important de disposer d'un programme de cyberdéfense complet et solide. Ce programme devrait inclure l'utilisation de tests de pénétration et d'analyse des vulnérabilités pour aider à identifier et à fermer les vecteurs d'infection potentiels, une surveillance continue pour s'assurer que les intrusions sont détectées dès que possible, et une formation à la cyberconscience pour s'assurer que les employés savent comment identifier les attaques potentielles et y répondre.
Les logiciels malveillants tirent parti de la technologie de cryptage de différentes manières. Elle peut être utilisée tout au long du cycle de vie de l'infection par un logiciel malveillant pour protéger la confidentialité des données que l'auteur du logiciel malveillant ne souhaite pas partager avec les défenseurs du réseau. Étant donné que les technologies de cryptage modernes sont conçues pour être sûres, cela peut constituer un problème important pour les cyberdéfenseurs, car ces données protégées peuvent être essentielles pour comprendre et éradiquer l'infection. L'utilisation du cryptage par les logiciels malveillants rend encore plus importantes les mesures de détection et de protection contre les logiciels malveillants avant qu'ils ne pénètrent et ne s'installent sur le réseau.