Les « backdoors » permettent à des pirates de prendre possession d’un terminal informatique, durablement et sans trace. Les professionnels africains sont mal préparés face aux menaces. Pourtant, des solutions existent.
Selon les données Kaspersky Security Network relatives aux utilisateurs professionnels, le nombre de logiciels malveillants de type « backdoor » (porte dérobée) détectés au deuxième trimestre 2022 a « considérablement augmenté » au deuxième trimestre 2022. L’éditeur de logiciel analyse régulièrement l’activité de trois pays représentatifs : l’Afrique du Sud, le Kenya et le Nigeria.
Ces « nouveaux records » posent des problèmes aux professionnels de la cybersécurité dans les entreprises et les administrations.
Une porte dérobée est l’un des types de logiciels malveillants les plus dangereux. Elles permettent aux cybercriminels d’administrer à distance la machine d’une victime. Contrairement aux utilitaires d’administration à distance (tel TeamViewer), les backdoors s’installent, se lancent et s’exécutent de manière invisible, sans le consentement ou la connaissance de l’utilisateur. Une fois installées, les portes dérobées peuvent être chargées d’envoyer, de recevoir, d’exécuter et de supprimer des fichiers, de récolter des données confidentielles sur l’ordinateur, d’enregistrer les activités, etc.
Récemment, Kaspersky a découvert une porte dérobée difficile à détecter, baptisée SessionManager, qui visait les gouvernements et les ONG du monde entier. Ce malware était configuré comme un module malveillant au sein d’Internet Information Services (IIS), un serveur web populaire édité par Microsoft. SessionManager permet aux pirates un large éventail d’activités malveillantes allant de la collecte d’emails au contrôle complet de l’infrastructure de la victime. Utilisée pour la première fois en mars 2021, cette porte dérobée a frappé des institutions gouvernementales et des ONG en Afrique, en Asie du Sud, en Europe et au Moyen-Orient. Un grand nombre des organisations ciblées restent à risque.
Rester vigilant
En Afrique du Sud, les détections de backdoor a plus que doublé (+140%) en un trimestre, la part des utilisateurs touchés augmentant de dix points. Au Nigeria, la hausse est de 83%, mais la proportion d’utilisateurs affectés a bondi de 24 points. Au Kenya, la hausse est de 53%.
« Les backdoors permettent une série de campagnes de cyberespionnage passées longtemps inaperçues, qui entraînent des pertes financières ou de réputation importantes et peuvent perturber le fonctionnement de l’organisation victime », commente Amin Hasbini, responsable de la recherche pour la région MENA. Il prévient : « Les systèmes des entreprises doivent être constamment audités et soigneusement surveillés pour détecter les menaces cachées. »
« Ces attaques sont totalement évitables, c’est pourquoi nous invitons les utilisateurs à faire preuve de scepticisme face aux offres trop généreuses. Si une offre semble trop belle pour être vraie, elle l’est probablement. »
En effet, « obtenir des informations sur les cybermenaces actives est primordial pour les entreprises afin de protéger leurs actifs, et le renseignement sur les menaces est le seul composant capable de permettre une anticipation fiable et opportune des portes dérobées complexes ».
Pour protéger une organisation contre les portes dérobées, les experts de Kaspersky recommandent de concentrer sa stratégie sur la détection des mouvements de sortie des terminaux. Toute anomalie dans le trafic sortant doit être considérée comme suspecte. Bien sûr, il faut sauvegarder régulièrement ses données et s’assurer que l’on peut y accéder rapidement en cas d’urgence. Il faut disposer d’un logiciel de protection adapté et régulièrement mis à jour. Pour les terminaux ainsi que pour les points d’extrémité comme les entrées de réseau. Les outils à la pointe empêchent leur auto-destruction par les pirates.
Plus généralement, l’analyse trimestrielle de Kaspersky a révélé que les attaques liées aux menaces de perte de données (phishing et escroquerie/ingénierie sociale) ont augmenté de manière significative en Afrique au deuxième trimestre 2022. Les solutions de sécurité de l’éditeur ont détecté 10 722 886 attaques de phishing en Afrique au deuxième trimestre.
Les utilisateurs kényans ont été les plus influencés par ce type de menace : 5 098 534 attaques de phishing ont été détectées en trois mois. Elle est suivie par l’Afrique du Sud (4 578 216 détections) et le Nigeria (1 046 136 détections).
Les escroqueries par ingénierie sociale, parfois appelées « piratage humain », sont utilisées de diverses manières et à des fins différentes pour attirer les utilisateurs imprudents et les inciter à saisir des informations personnelles. Ces dernières comprennent souvent des identifiants financiers tels que des mots de passe de comptes bancaires ou des détails de cartes de paiement, ou encore des détails de connexion à des comptes de médias sociaux. Entre de mauvaises mains, ces informations ouvrent la voie à diverses opérations malveillantes, comme le vol d’argent ou la compromission de réseaux d’entreprise.
Le hameçonnage est une méthode d’attaque puissante car elle est réalisée à grande échelle. En envoyant des vagues massives de courriels sous le nom d’institutions légitimes ou en promouvant de fausses pages, les utilisateurs malveillants augmentent leurs chances de succès dans leur chasse aux informations d’identification de personnes innocentes. Les hameçonneurs déploient diverses astuces pour contourner le blocage des e-mails et attirer le plus grand nombre possible d’utilisateurs vers leurs sites frauduleux. Une technique courante consiste à joindre des fichiers HTML dont le code est partiellement ou totalement obscurci.
Des attaques évitables
En particulier, en cette période de vacances, les chercheurs de Kaspersky ont observé une intensification des activités d’escroquerie, avec de nombreuses pages de phishing diffusées sous l’apparence de compagnies aériennes et de services de réservation.
Les gens peuvent passer des semaines, voire des mois, à chercher l’endroit idéal pour séjourner et les billets pour s’y rendre. Les fraudeurs s’en servent pour attirer les utilisateurs qui en ont assez de chercher les bonnes affaires. Après deux ans de restrictions de vol imposées par la pandémie, les voyages sont de retour. Les escroqueries au voyage aussi, avec une intensification de l’activité d’escroquerie visant les utilisateurs par le biais de faux services de réservation et de location. « Ces attaques sont totalement évitables, c’est pourquoi nous invitons les utilisateurs à faire preuve de scepticisme face aux offres trop généreuses. Si une offre semble trop belle pour être vraie, elle l’est probablement », commente Mikhail Sytnik, expert en sécurité chez Kaspersky.
Pour cela quelques conseils simples, comme surveiller l’orthographe des sites et des adresses, vérifier que les logos correspondent bien à l’entreprise désirée (agence de voyages, par exemple). En cas de doute, vérifiez le certificat du site en cliquant sur l’icône de verrouillage à gauche de l’URL. Bien sûr, il ne faut pas cliquer sur des liens qui proviennent de sources inconnues. Il faut se méfier des « cadeaux » soi-disant offerts par les entreprises, vérifiez sans cliquer sur le lien que ce cadeau existe bien…
La cybercriminalité exige une réponse africaine ferme
Prendre conscience des cybermenaces
@NA
