Personne ne veut que leurs secrets fuient, que ce soit le Département de la Guerre, les entreprises du FTSE 100 ou l’utilisateur moyen de VPN grand public. Un endroit où de nombreux secrets existent est dans les messages instantanés chiffrés que nous envoyons via des applications telles que Signal, Telegram et WhatsApp.
Alors, que diriez-vous si je vous disais qu’une nouvelle menace a été identifiée, ciblant les utilisateurs de smartphones Android, qui contourne efficacement le chiffrement sécurisé protégeant la confidentialité de vos messages, et les capture pour que les hackers cybercriminels puissent les lire ? Bienvenue dans le monde distinctement dangereux du cheval de Troie Sturnus.
Ces hackers peuvent lire vos messages instantanés « privés »
Des chercheurs en sécurité de l’agence de renseignement sur les menaces ThreatFabric ont confirmé avoir observé un nouveau malware Android, un cheval de Troie bancaire qui dépasse les limites habituelles de ce type de logiciel malveillant. Non seulement Sturnus, que l’analyse ThreatFabric a indiqué être « actuellement en phase de développement ou de tests limités », offrir aux hackers la possibilité d’obtenir un contrôle total de l’appareil et de récolter des identifiants bancaires, mais aussi, et voici le coup fatal, il peut « contourner la messagerie chiffrée » selon le rapport technique approfondi.
Je suis utilisateur de ces trois applications de messagerie instantanée, pour différents usages, et je dépends du chiffrement de Signal et WhatsApp pour certaines d’entre elles. La bonne nouvelle, c’est que cela n’a pas été cassé, les attaquants n’ont pas trouvé de moyen de lire vos messages chiffrés. Ce qu’ils ont fait, cependant, c’est mettre en place un processus technique complexe qui, au final, fait quelque chose de très simple : il lit vos messages après que vous les ayez déchiffrés et ils s’affichent sur l’écran du smartphone. Cela renvoie à un avertissement que je donnais tout le temps aux gens quand les messagers sécurisés faisaient un gros coup sur le fait que les captures d’écran pouvaient être désactivées sur les messages à durée limitée, à usage unique, afin que le destinataire ne puisse pas en prendre une copie et la partager. Ils pourraient s’ils prenaient une photo de l’écran avec un autre appareil.
C’est aussi un bon moment pour rappeler aux gens de ne pas télécharger d’applications provenant de sources non fiables, même si elles semblent être une mise à jour légitime de Google Chrome, qui semble être l’un des modes de distribution du malware Sturnus.
Un expert en sécurité révèle la menace des hackers posée sur toutes les organisations par le cheval de Troie Sturnus
« Sturnus représente un type de menace différent des autres malwares Android en raison de sa capacité à utiliser un mélange de communication en clair, RSA et chiffre AES avec le serveur C2 auquel il répond », est l’avertissement qu’Aditya Sood, vice-président de l’ingénierie de la sécurité et de la stratégie IA chez Aryaka, m’a transmis dans un e-mail concernant les dangers auxquels toutes les organisations sont confrontées, Et pas seulement les consommateurs, mais par ce dernier développement de malware de Troie.
Il y a beaucoup de jargon technologique à démêler là-dedans, alors laissez-moi clarifier cela avant d’aller plus loin. RSA désigne la famille de cryptosystèmes à clé publique Rivest, Shamir et Adleman, encore utilisée pour la transmission sécurisée de données, bien qu’elle soit l’une des plus anciennes. AES, quant à lui, est l’Advanced Encryption Standard, une autre spécification de chiffrement, cette fois établie par le National Institute of Standards and Technology en 2001. Le plus simple des trois à expliquer est la référence serveur C2, qui est le serveur de commande et de contrôle (deux C, vous voyez ?) impliqué, dans ce cas Matrix Push C2.
« La combinaison de ces trois-là, » poursuivit Sood, « permet à Sturnus de se fondre plus facilement dans les schémas réseau normaux, tout en cachant les commandes et les données volées des systèmes de défense. » Et c’est ce type particulièrement avancé d’évasion et de résilience qui permet au malware de perturber la détection basée sur la signature et d’entraver les efforts de rétro-ingénierie. Cela, avertit Sood, rend beaucoup « plus difficile l’inspection du trafic réseau de Sturnus ou la récupération du contenu qu’il vole ».
Ce qui nous amène à l’avertissement « toutes les organisations » : « La capacité de voler des messages provenant de plateformes chiffrées de bout en bout comme Signal pourrait poser de sérieux problèmes aux organisations », a conclu Sood, « car ces applications sont utilisées dans plusieurs secteurs pour sécuriser des informations sensibles ou confidentielles. »
Les hackers peuvent lire tout ce qui apparaît sur l’écran de votre smartphone
« Parce qu’il repose sur la journalisation du service d’accessibilité plutôt que sur l’interception réseau », indique le rapport, « le malware peut lire tout ce qui apparaît à l’écran — y compris les contacts, les fils de conversation complets, ainsi que le contenu des messages entrants et sortants — en temps réel. » C’est cette capacité qui rend Sturnus particulièrement dangereux, du point de vue des chercheurs et moi-même, car il contourne la protection offerte par le chiffrement de bout en bout. Comme je l’ai souvent dit, un appareil compromis n’est pas sécurisé, et rien non plus à son sujet. « L’utilisateur voit une interface sécurisée, mais dès que l’appareil est compromis », ont confirmé les chercheurs, « chaque échange sensible devient visible pour l’opérateur, sans aucune protection cryptographique sur laquelle s’appuyer. »
Donc, si vous ne voulez pas que des hackers lisent vos informations privées, assurez-vous que cela reste ainsi en gardant Play Protect de Google activé, en évitant les boutiques d’applications non autorisées et en ne donnant pas l’autorisation d’activer les contrôles d’accessibilité sous peine d’une très bonne raison et en étant sûr à 101 % que c’est sûr de le faire.
En savoir plus sur Gnatepe
Subscribe to get the latest posts sent to your email.
