Sécurité IT : de l’open source dans les logiciels malveillants
Symantec a mis le doigt sur une campagne d’extorsion de fonds exploitant un malware développé à partir d’une technologie de chiffrement légale et open source.
Les pirates informatiques ont de plus en plus systématiquement recours à l’open source pour développer des logiciels malveillants à moindres frais et sans disposer de connaissances avancées en programmation.
Tel est le constat établi par les équipes de Symantec Security Response après la découverte, le mois dernier, d’un malware un peu particulier… qui s’appuie en l’occurrence sur des technologies de chiffrement légales et accessibles gratuitement. Baptisé Trojan.Ransomcrypt.L, ce programme est utilisé à des fins d’extorsion de fonds. Il est susceptible d’infecter presque toutes les versions desktop de Windows (à l’exception notable de Windows 8/8.1) et les moutures Server 2003/2008.
Sur les quelques dizaines de cas recensés par Symantec, les symptômes sont toujours les mêmes : les victimes ne peuvent plus accéder aux fichiers stockés sur leur ordinateur. Ceux-ci sont en fait chiffrés et ne pourront, selon les pirates vraisemblablement d’origine russe, être restaurés qu’à une seule condition : verser une rançon « d’un minimum de 150 euros » en échange de la clé de déchiffrement.
Désigné, dans le vocabulaire de la sécurité informatique, par le terme « ransomware », ce type de logiciel malveillant n’est pas nouveau. Mais ce qui le différencie de ses congénères, ce sont ses racines open source. Trojan.Ransomcrypt.L s’appuie en effet sur l’implémentation GNU du standard OpenPGP (« Open Pretty Good Privacy »).
Le pirate a simplement créé un fichier batch (script + ligne de commande) qui télécharge une clé publique RSA 1024 bits depuis un serveur tiers et l’importe dans GnuPG pour chiffrer les fichiers de la victime. Celle-ci ne peut déchiffrer le contenu qu’avec la clé privée correspondante, générée en parallèle, mais que le pirate est seul à posséder. Sur la liste des fichiers potentiellement concernés figurent les .xls(x), .doc(x), .pdf, .jp(e)g, .(1)cd, .rar, .mdb (bases de données Microsoft Access) et .zip.
Signalant que l’auteur du malware a remercié la communauté open source dans son code, Symantec recommande aux utilisateurs de mettre à jour leur antivirus, de sauvegarder régulièrement leurs fichiers pour en faciliter la restauration et de ne jamais payer de rançon.
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien les CMS open source ?
Crédit illustration : bouzou – Shutterstock.com