Cloud et antivirus ne font pas forcément bon ménage, comme viennent de le montrer les chercheurs Itzik Kotler et Amit Klein de SafeBreach, à l’occasion de la conférence Black Hat USA 2017. De plus en plus d’éditeurs antivirus déportent en effet l’analyse malware dans le nuage, pour des raisons d’efficacité. Quand l’agent logiciel local tombe sur une application inconnue et potentiellement malveillante, il est désormais courant qu’il l’envoie sur les serveurs de l’éditeur afin de procéder à une analyse approfondie.
Souvent, le code suspect sera alors exécuté dans une machine virtuelle pour observer son comportement. Mais cette nouvelle façon de faire n’a pas que des avantages. Les deux chercheurs ont montré que cette analyse dans le cloud offre aux pirates un nouveau moyen pour exfiltrer en douce les données confidentielles de l’ordinateur d’une organisation, même s’il est partiellement ou totalement déconnecté de l’Internet.
Quatre solutions trouvées vulnérables
Le modus operandi est le suivant. Les pirates arrivent à déployer sur une telle machine un logiciel d’espionnage indétectable que les chercheur baptisent « Rocket ». Celui-ci va collecter les données intéressantes et les intégrer dans un second malware baptisé « Satellite », qu’il déposera sur la machine et qui sera facilement détectable (par exemple parce qu’il sera doté d’une persistance ostensible). L’agent antivirus va alors procéder à sa mise en quarantaine et l’envoyer – directement ou indirectement – vers les serveurs cloud de l’éditeur où il sera exécuté dans une machine virtuelle. Si celle-ci est connectée à Internet, « Satellite » va pouvoir transférer les données confidentielles aux pirates, et le tour est joué.
Les chercheurs ont testé cette technique sur une dizaine de solutions antivirus. Quatre d’entre elles étaient vulnérables à ce type d’attaque: Avira Antivirus Pro, Eset NOD32 Antivirus, Comodo Client Security et Kaspersky Total Security 2017. Les trois premiers ont depuis apporté un correctif à leur service d’analyse dans le cloud, ce qui ne veut pas dire que le danger est désormais écarté. Dans leurs tests, les chercheurs ont exfiltré les données depuis la machine virtuelle avec des techniques assez simples, basées sur des requêtes HTTP ou DNS. Il existe peut-être des techniques plus sophistiquée capables de contourner ces patchs.
Pas de patch chez Kaspersky
Kaspersky, pour sa part, a décidé de ne rien faire. L’éditeur a expliqué que les entreprises qui redoutent de telles attaques peuvent mettre en place leur propre serveur d’analyse Kaspersky pour ne plus dépendre du service cloud de l’éditeur. Mais cela ne résoud pas forcément le problème, car ce serveur risque de procéder aux mêmes types d’analyse et probablement exécuter le malware dans une machine virtuelle connectée à Internet.
Certes, le client pourra dans ce cas bloquer toutes les connexions Internet de la machine virtuelle, vu qu’il en a la maîtrise. C’est d’ailleurs ce que les deux chercheurs suggèrent de faire. Mais ce n’est pas non plus une solution idéale, car les éventuelles communications initiées par le malware permettent souvent de dévoiler son caractère malveillant. Les clients soucieux d’assurer la confidentialité de leurs données seront donc contraint d’abaisser l’efficacité du moteur de détection. Mais c’est peut-être un moindre mal.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.