Contrairement à d’autres cyber nuisances telles que les virus qui se reproduisent et font des ravages, ou les attaques par déni de service qui paralysent les réseaux, les ransomwares sont pratiquement impossibles à supprimer une fois déployés. C’est parce qu’ils utilisent le cryptage pour verrouiller les fichiers, une clé de décryptage secrète étant la seule issue.
Au lieu d’essayer d’annuler ce cryptage, la plupart des victimes écrivent simplement les fichiers et restaurent leurs systèmes à partir de sauvegardes. Cela peut prendre des jours ou des semaines, en supposant que la cible a de bonnes pratiques en matière de données, et coûte toujours des millions de dollars. Cela peut être impossible s’il n’y a pas de sauvegardes sécurisées. Et c’est sur cela que comptent les attaquants de ransomware : les pertes liées à la restauration des systèmes sont si élevées qu’une cible est prête à payer pour obtenir une copie de la clé numérique qui peut décrypter les fichiers et tout ramener à la normale.
Mais ce sur quoi les pirates ne parient pas, c’est que les professionnels avertis de la cybersécurité rencontreront des erreurs de novice dans le code malveillant qu’ils peuvent utiliser pour inverser le cryptage sans payer un centime à l’attaquant.
Un groupe de l’équipe X-Force d’International Business Machines Corp. fait exactement cela. CyCraft Corp., basée à Taipei. trouvé les vulnérabilités et offert des outils de décryptage gratuits.
Dans un article sur le site Web Security Intelligence d’IBM et une récente présentation à la conférence sur la sécurité RSA, les chercheurs ont expliqué comment ils avaient découvert une faille dans le code de la famille de rançongiciels Thanos. Prometheus, une variante de Thanos, aurait tué au moins 30 victimes dans des secteurs tels que la fabrication, la logistique et la finance.
Tout tourne autour du hasard. Cette qualité est l’un des aspects les plus importants d’un bon cryptage, car les clés de cryptage-décryptage – elles se présentent généralement sous la forme d’une paire mathématiquement liée – reposent sur le fait qu’elles sont presque impossibles à deviner. Et parce que ces mots de passe numériques sont si longs, une attaque par force brute – faire défiler toutes les combinaisons possibles pour trouver celle qui fonctionne – n’est pas pratique.
Malheureusement, les machines sont terriblement aléatoires, c’est contre leur nature. (Les ordinateurs sont incroyablement prévisibles : la même entrée transmise par le même système donne toujours le même résultat.) Ainsi, pour créer des clés générées de manière aléatoire, les informaticiens ont conçu des générateurs de nombres pseudo-aléatoires qui imitent le vrai hasard.(5) Lorsqu’ils sont utilisés correctement, ils peuvent ces outils logiciels peuvent faire un très bon travail de création de mots de passe et de clés de cryptage difficiles à déchiffrer.
Mais les auteurs de Thanos n’ont pas utilisé ces outils correctement. Au lieu de cela, ils ont codé en dur une partie du processus et ont utilisé l’heure d’horloge très prévisible de l’ordinateur de la victime pour une autre.
Les chercheurs ont repéré cette première partie (il s’agissait d’une séquence de nombres de un à huit) et n’avaient qu’à découvrir depuis combien de temps l’ordinateur fonctionnait avant que le logiciel malveillant ne disparaisse, mais ils ont finalement pu faire des suppositions éclairées. À partir de là, il ne restait plus qu’à assembler les chiffres pour voir s’ils pouvaient créer une clé cryptographique correspondante. Et ils l’ont fait. En conséquence, la clé super secrète du logiciel malveillant n’était pas aussi difficile à deviner que les développeurs le pensaient.
Le cas du cryptage défectueux de Thanos révèle non seulement un travail d’enquête intelligent de la part de la communauté du cyber-renseignement, mais aussi beaucoup de choses sur le piratage moderne. Premièrement, comme les chercheurs le savent bien, une grande partie de ces logiciels malveillants est réutilisée par une vaste communauté d’attaquants potentiels, dont beaucoup ne comprennent pas vraiment les outils qu’ils utilisent. De plus, les personnes qui piratent les systèmes informatiques et celles qui écrivent les outils malveillants – souvent des groupes différents – ne sont pas toujours des experts dans leur domaine. L’utilisation d’un vecteur d’initialisation codé en dur est une erreur assez basique. Cela signifie que les erreurs sont souvent répétées, ce qui donne aux chercheurs le type d’empreintes digitales dont ils ont besoin pour suivre et se défendre contre les menaces croissantes.
Alors que les attaques de rançongiciels augmentent en taille et en portée, il peut être au moins réconfortant de savoir que tous les pirates ne sont pas des génies. Plus de cet auteur et d’autres sur Bloomberg Opinion :
• Ce sont peut-être des enfants, mais les hackers de Lapsus$ sont des géants : Tim Culpan
• La technologie a étonné mes collègues de la FDIC : Sultan Meghji
• Les assureurs doivent se préparer aux cyber-risques catastrophiques : Olson & Culpan
(1) La différence peut être assez ésotérique. Un humain ne serait pas capable de discerner des modèles dans la façon dont ces nombres sont formés, mais avec suffisamment de temps, un ordinateur le pourrait.
(2) C’est ce qu’on appelle le vecteur d’initialisation. Et il a été associé à la graine créée avec le random de C# avec Environment.TickCount. Voir le billet de blog pour un aperçu complet.
Cette colonne ne représente pas nécessairement l’opinion des éditeurs ou de Bloomberg LP et de ses propriétaires.
Tim Culpan est chroniqueur pour Bloomberg Opinion sur la technologie en Asie. Il était auparavant journaliste technologique pour Bloomberg News.
Pour plus d’histoires comme celle-ci, visitez bloomberg.com/opinion
Le message Une erreur de débutant montre que les pirates ne sont pas tous des génies est apparu en premier sur Germanic News.