Une connexion, une infection !
C’est de cette manière qu’a commencé la conférence « How to Create Successful Malware and Defend with Zero Trust » présenté par Seamus Lennon, vice-président des opérations EMEA de chez Threatlocker au cours du Dublin Tech Summit 2024.
Mais, qu’est-ce qu’un malware ?
Un malware (pour malicious software) est, comme son nom l’indique, un logiciel. C’est l’objectif derrière le logiciel qui le rend malveillant, mais le fonctionnement est quant à lui identique aux logiciels de tous les jours.
Il existe plusieurs manières pour infecter un équipement :
- L’utilisation d’un exécutable : qui peux être directement téléchargé ou chargé lors de l’interconnexion d’un périphérique externe
- L’utilisation d’un mail. Cette pratique s’appelle « phishing » et consiste à forcer les utilisateurs à ouvrir un mail ou cliquer sur un lien ou une pièce jointe
- L’utilisation d’une image : les images vectorielles peuvent contenir, une fois décodées, du code javascript redirigeant vers un malware ou une tentative de phishing
- L’utilisation d’un périphérique externe : ne jamais, au grand jamais brancher une clé USB trouvée ou qui ne vous appartient pas. Des outils peuvent être inclus pour récupérer différents types d’information
- L’utilisation d’un logiciel existant : plutôt que de créer un nouveau logiciel, pourquoi ne pas utiliser ceux qui existe ? Il faut savoir que chaque logiciel utilisé accède à la totalité des informations de l’ordinateur. Avec une élévation de privilège (qui peux être demandé en utilisant l’ingénierie social ou contraint), il est possible au code malveillant d’accéder aux ressources et aux applications et donc, d’exécuter du code sur une console PowerShell (par exemple)
- Signer son code : les antivirus vérifient si le code est signé via un certificat. Il est possible d’avoir un certificat auto-signé, qui passera les mailles des antivirus les moins regardant ou de signer en utilisant une entreprise fictive, passant la garde des antivirus plus robuste
Dans tous ces cas, une connexion entre votre périphérique et le code malicieux est obligatoire.
Le rôle de l’intelligence artificielle dans l’attaque et la défense
Avec la venue de l’intelligence artificielle, une nouvelle manière de créer des virus est apparue : l’auto-génération. Il suffit de demander aux intelligences génératives pour qu’elle créée un code malicieux. Même les intelligences comme ChatGPT se fait avoir :
- Si vous lui demandiez gentiment, il refusait pour cause éthique
- Lorsque vous lui précisiez que vous êtes dans la cybersécurité ou que c’est à des fins d’éducation, il pouvait accepter. Ce n’est plus le cas de nos jours
- Si vous lui demandez le code d’un logiciel permettant de créer ce type de fichier, pas de soucis
Pour contrer l’intelligence artificielle, quoi de mieux qu’elle-même ? C’est pourquoi l’utilisation d’un EDR (Endpoint Detection Response) est primordiale. Ces antivirus de nouvelle génération contiennent une IA permettant d’analyser les comportements inattendus et de bloquer l’équipement infecté.
Ne faire confiance à personne !
C’est là le mot d’ordre de la politique « Zero Trust ». Seules les connexions vérifiées et approuvées peuvent être établies. Toutes les autres seront rejetées.
Voici quelques astuces pour correctement ne faire confiance à personne :
- Bloquer tous les ports réseaux et n’ouvrir que les ports strictement nécessaires ;
- Bloquer les droits aux niveaux du système et pas seulement de l’utilisateur (les applications ne pourront plus lancer de console avec élévation de privilège) ;
- Vérifier les mises à jour, les tester puis les déployer si validation ;
- Avoir une liste d’application de confiance. Chaque application utilisée pour un besoin spécifique doit être vérifiée et validée avant l’ajout au catalogue de service ;
- Éviter de donner des autorisations spécifiques ;
- Bannir les emails venant de l’externe. Non seulement, vous vous protégerez des spams, mais aussi cela permettra d’éviter les mails contenant un risque de sécurité (virus, arnaque au président, …) ;
- Vérifier les applications restreignant l’utilisation des communication ou l’utilisation d’Internet.
Rédacteur : Pierre Gauduin