L’une des techniques préférées des pirates pour faire baisser sa garde à l’utilisateur et s’introduire dans sa machine, c’est de déguiser un malware pour lui donner l’apparence d’un programme référencé et fiable. Dans un rapport publié hier, l’entreprise spécialisée dans la cybersécurité VirusTotal a dévoilé son classement des logiciels dont l’identité est la plus souvent usurpée de cette façon. Et comme on pouvait s’y attendre, la liste regorge de noms très connus et pourtant parfaitement fiables lorsqu’ils sont téléchargés au bon endroit.
La première marche du podium est d’ailleurs assez surprenante ; elle est occupée par Skype. C’est un programme autrefois incontournable, mais qui n’est plus que l’ombre de lui-même aujourd’hui ; c’est d’autant plus vrai depuis que la pandémie a complètement redistribué les cartes dans le monde de la communication en ligne.
Pourtant, il s’agit encore et toujours du logiciel le plus utilisé comme cheval de Troie par les pirates. Il dépasse d’une courte tête deux autres logiciels bien plus communs en 2022. La seconde place revient à Adobe Acrobat, un des outils de référence pour l’édition de fichiers au format .pdf. C’est le célèbre cône de chantier du lecteur média français VLC, lui aussi très populaire, qui complète ce top 3.
Les auteurs du rapport citent également d’autres noms bien connus. On retrouve notamment des utilitaires comme 7-Zip ou CCleaner. Les applications de communication ne sont pas en reste ; sans surprise, Zoom, TeamViewer et WhatsApp sont aussi souvent détournés par les hackers. Même constat pour les navigateurs Web (Chrome, Brave, Firefox…) et même des solutions antimalware comme MalwareByte.
La liste comporte aussi quelques noms plus surprenants, comme… Internet Explorer. Existe-t-il vraiment des utilisateurs qui cherchent activement à télécharger ce navigateur autrefois intégré par défaut à Windows et aujourd’hui rendu obsolète par Edge et la concurrence ? Il semblerait que oui, mais il y a de quoi être perplexe.
Des usurpations d’identité toujours aussi efficaces
Selon VirusTotal, si cette technique fonctionne aussi bien, c’est en grande partie grâce à l’icône du fichier exécutable. S’il s’agit d’un pictogramme connu, alors l’utilisateur sera forcément moins vigilant quant à la provenance du fichier.
D’ailleurs, cette dernière ne constitue pas forcément une garantie. Les auteurs expliquent que « 0,1 % des hébergeurs légitimes d’applications populaires ont distribué des malwares » par le passé. Ce chiffre pourrait sembler insignifiant, mais cela représente finalement un trafic tout sauf négligeable.
Car dans ces cas de figure, l’attaque peut être particulièrement vicieuse ; elle peut par exemple prendre la forme d’un extrait de code malveillant inséré dans une mise à jour tout à fait légitime par un pirate qui se serait introduit sur les serveurs en question.
Le rapport cible aussi explicitement Discord, un logiciel de communication très prisé de la communauté des gamers. Il comporte apparemment plusieurs vulnérabilités dans son Content Delivery Network (CDN), un groupe de serveurs qui permet de transférer et de synchroniser des données rapidement et à grande échelle. Le site spécialisé HackerNews définit cette plateforme comme un « terrain fertile pour l’hébergement de malwares ».
L’utilisateur reste le premier antivirus
Morale de l’histoire : la première ligne de défense restera toujours l’utilisateur derrière le clavier. Il est donc indispensable d’être très vigilant au moment d’installer un logiciel, même lorsqu’il jouit d’une excellente réputation.
Cela implique une vérification stricte de l’origine du fichier ; dans la mesure du possible, téléchargez toujours le logiciel directement sur le site de l’éditeur, et jamais une version réhébergée par un tiers.
Certains éditeurs proposent aussi des checksums ou des hashfiles. Sans rentrer dans le détail, il s’agit de sortes de signature numériques que l’utilisateur peut comparer à celle d’un fichier téléchargé ; ce n’est pas d’une garantie absolue, mais si elles correspondent, il y a de bonnes chances que le fichier n’ait pas été altéré.
En cas de doute, vous pouvez aussi choisir d’ouvrir le programme en question dans un environnement virtualisé, par exemple avec une machine VirtualBox ou grâce à Sandboxie, un petit utilitaire dont nous vous parlions récemment dans notre sélection d’outils Windows (voir notre dossier).
: VirusTotal