Ransomware : attention aux images diffusées sur les réseaux sociaux

L’application Facebook Messenger, outil utilisé pour connecter les personnes entre elles, a atteint cette année le milliard d’utilisateurs, ce qui en fait un bon canal de diffusion pour les cyber-attaquants. Ce novembre, elle a été utilisée comme vecteur pour lancer une attaque informatique visant à duper les utilisateurs à télécharger un ransomware. On ne sait pas encore combien de personnes ont été touchées par cette attaque. Cependant au vu du nombre d’utilisateurs de l’application et quand on sait que les attaques par ransomware ont touché 40% des entreprises françaises aux cours de ces 2 dernières années, le nombre de victime peut être déductible. – Par Marion Godefroy.

La méthode d’exploitation est classique : l’envoi d’une image au format .svg. Le format de données svg est conçu pour décrire des ensembles de graphiques vectoriels et basé sur XML. Il ne contient pas les données de l’image directement, mais celles permettant de recréer l’image. Il est ainsi possible d’y insérer toute autre donnée à l’intérieur. Celle-ci redirige vers une vidéo nécessitant le téléchargement d’un plugin afin de la visualiser. La contamination peut également se faire par simple téléchargement de l’image. Une fois téléchargée, l’image active un ransomware (le tristement célèbre Locky, un sujet que nous avons exploré dans un précédent article) sur le poste de travail de l’utilisateur.

Un bref historique

Malheureusement, l’application Messenger n’en est pas à sa première attaque. En octobre, c’était le virus Echo qui se servait de ladite application pour propager son infection. Cette infection avait principalement touché la France. Dans ce cas, l’utilisateur reçoit sur la messagerie instantanée une vidéo prétendument envoyée par un de ses contacts. Pour plus d’efficacité, la vidéo se présente avec une photo du profil de l’utilisateur et contient son prénom afin d’inciter sa victime à cliquer sans se poser de questions.

En cliquant sur le lien, l’utilisateur est renvoyé vers une fausse page YouTube. Il est alors invité à télécharger une extension pour lire le fichier. C’est à ce moment que le virus Echo s’active sur l’ordinateur permettant un accès à distance aux données de l’utilisateur, notamment en vue de mener des campagnes de phishing et/ou pour se propager une nouvelle fois par Facebook via le piratage du compte. Il faut retenir que le moment clé de l’infection est notamment lié à l’installation de l’extension logicielle demandée par le maliciel. L’environnement de travail de l’utilisateur ne sera pas corrompu, s’il ne clique pas sur le lien initial et s’il fait appel à sa vigilance en n’installant pas le logiciel piégé

Ces attaques ont été prises au sérieux par Facebook et la société a mis en place des mesures pour réduire les effets de ce genre d’attaques. Facebook a promis également de travailler davantage pour la sensibilisation de ses utilisateurs vis-à-vis de ce type d’attaques (de plus en plus récurrentes), en diffusant, pendant le mois international de la sensibilisation en cybersécurité des conseils pour mieux « gérer leur expérience sur le réseau social » tout en promouvant son outil Security Checkup qui permet de mieux protéger son compte.

À noter que le ministère français de l’Intérieur a également publié un avertissement sur sa page Facebook rappelant de rester vigilant et se méfier de tout lien pouvant être envoyé par un ami.

Ces menaces peuvent-elles se propager au sein des entreprises ?

Les utilisateurs de l’application n’échangent pas seulement avec leurs amis ou leur famille, ils préfèrent communiquer également avec les collègues de travail via les mêmes moyens et outils. Chaque jour, plus de quatre milliards de messages sont échangés sur l’application (qu’il s’agisse de personnes physiques ou des entreprises). Une étude menée par KPMG montre que 61% des salariés utilisent Facebook pendant leurs heures de travail en France. Même si nous ne disposons pas de chiffre exact sur l’utilisation de Facebook Messenger pendant les heures de travail, pensez vous que les utilisateurs s’abstiendraient de répondre à leurs messages.

Face à ce constat, ces attaques ne touchent pas seulement que les particuliers, mais peuvent également toucher les entreprises.

Certaines entreprises ont pris la mesure de l’importance de la protection des données et de l’éducation du personnel aux différentes problématiques de sécurité. Cependant, certaines d’entre elles se retrouvent dans des situations particulièrement délicates en termes de cybersécurité. L’une des raisons vient d’une démarche initiée par elles-mêmes. En effet, pendant une période les firmes ont encouragé l’utilisation d’équipements personnels, comme les smartphones ou les pc portables, sur le lieu de travail. Le but était de favoriser la réactivité et la mobilité des employés. Mais aujourd’hui, ces entreprises commencent à le regretter, car elles ont ainsi collaboré à l’accroissement du phénomène BYOD (Bring Your Own Device). C’est une pratique qui consiste à laisser le choix aux employés d’utiliser leurs smartphones ou leurs propres équipements informatiques au travail. Mais ce n’est pas sans risques pour les organisations, qui dans ces conditions ne peuvent pas contrôler et garantir leur sécurité à tous les niveaux. D’un côté ces pratiques permettent aux salariés d’avoir plus de réactivité et de baisser le cout de l’achat de matériel dans les entreprises mais d’un autre coté la liberté et la chasse au bas prix a finalement un prix qui devra être payé sur le long terme. Certaines entreprises ont pris conscience de la nécessité de protéger la connexion à leur réseau. Elles ont décidé de filtrer l’accès à l’utilisation de certaines applications, à l’encontre de la mobilité totale de ses employés.

Par conséquence, l���accroissement du phénomène BYOD et l’utilisation intensive d’applications telles que Facebook Messenger au sein des entreprises ne cesse de créer des portes d’entrée pour les cyber-attaquants. Dans ce cas quelle serait la solution, devrions-nous pas fermer l’accès au réseau externe au détriment de l’hapiness factor ?

Vos avis, vos commentaires ?

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Poster un commentaire