Méfiez-vous des mises à jour malveillantes d’applications légitimes

  Posted On   By Bitdefender   Cybersécurité pour les entreprises

Quelle est la vulnérabilité de sécurité la plus répandue au monde ?

Si vous deviez parier, misez un peu d’argent sur le fait qu’il s’agit des logiciels obsolètes. En effet, trop souvent, des brèches de sécurité se produisent parce que des systèmes ou des logiciels n’ont pas été correctement mis à jour avec les derniers correctifs disponibles.

 

Remémorez-vous par exemple la violation massive de données qu’a subi l’entreprise Equifax en 2017, au cours de laquelle les informations personnelles de plus de 140 millions de clients (dont les noms, dates de naissance et numéros de sécurité sociale) ont été exposées.

Lors de cette célèbre attaque, le cybercriminel a piraté un portail Web d’Equifax en exploitant une vulnérabilité présente au sein d’Apache Struts, une vulnérabilité qui avait pourtant été découverte et rendue publique des mois auparavant…

 

Il existe des milliers d’autres exemples où des cybercriminels ont exploité avec succès des vulnérabilités pour lesquelles des correctifs étaient disponibles au moment de l’attaque, et pour lesquelles les entreprises n’avaient tout simplement pas appliqué les mises à jour.

 

Ainsi, si votre service IT porte une attention toute particulière à la cybersécurité, vous attendez que les éditeurs de logiciels facilitent au maximum la diffusion de leurs mises à jour. Dans certains cas, vous souhaitez même appliquer ces correctifs automatiquement, afin de garantir que les systèmes et logiciels soient en permanence à jour.

 

Si vous recevez les mises à jour de vos applications depuis l’éditeur officiel et si elles ne contiennent pas de bugs ou de problèmes de compatibilité, qu’y a-t-il à craindre ?

Pourtant, dans certains cas, il est nécessaire de redoubler d’attention…

 

En effet, une alerte de l’ACLU (Union américaine pour les libertés civiles) met en garde contre le risque de présence de malwares dans des logiciels légitimes, pouvant ainsi compromettre la sécurité des utilisateurs.

Le rapport de l’ACLU, intitulé “Comment les mises à jour malveillantes de logiciels mettent tout le monde en danger“, avertit les développeurs que “des agents gouvernementaux peuvent vous forcer à développer ou à installer des malwares dans vos logiciels pour les aider à des fins de surveillance“.

Ainsi, une mise à jour logicielle malveillante pour une application légitime pourrait être une excellente occasion pour une agence de renseignement de diffuser des logiciels espions. De plus, les organismes chargés de l’application de la loi peuvent obliger un développeur, via une ordonnance d’un tribunal, à installer un malware sur un ordinateur cible. Si les développeurs sont réticents, ces organismes peuvent même inclure une « obligation de silence », les empêchant de révéler ce qu’elles ont été obligées de faire.

Le rapport de l’ACLU explique que ces exigences gouvernementales ne peuvent qu’augmenter à mesure que les entreprises adoptent massivement le chiffrement :

La probabilité que les acteurs gouvernementaux tentent de forcer les développeurs à inclure des malwares dans leurs mises à jour, dans le but de récupérer des données d’ordinateurs cibles, augmente à mesure que les entreprises sécurisent les données de leurs utilisateurs grâce aux technologies de chiffrement.

Au fur et à mesure que les entreprises combleront des failles technologiques, la pression des forces de l’ordre s’accentuera afin de découvrir de nouvelles vulnérabilités à exploiter.

Par conséquent, les développeurs seraient bien avisés de consulter le rapport de l’ACLU sur la façon de “planifier à l’avance”, au cas où un organisme gouvernemental viendrait frapper à leur porte.

 

D’ailleurs, les organismes gouvernementaux ne sont pas les seuls à avoir pour but de « modifier » les mises à jour d’applications légitimes. Par exemple, en 2017, une attaque de ransomware a paralysé de nombreuses entreprises et infrastructures critiques en Ukraine. Ce ransomware (appelé Petya, NotPetya ou GoldenEye selon les éditeurs de sécurité) a été initialement diffusé via une mise à jour automatique malveillante d’un logiciel de comptabilité légitime et populaire appelé MeDoc.

On ne connait pas les personnes qui se cachent derrière l’attaque NotPetya, mais il n’y a aucune raison de penser que les développeurs aient infecté leur propre logiciel. Il semble plutôt que l’infrastructure de l’entreprise MeDoc elle-même ait été piratée afin de placer le malware au sein de la mise à jour.

 

Il existe un risque réel que la confiance des utilisateurs dans les mises à jour logicielles soit émoussée et que les systèmes et applications soient mis à jour moins fréquemment en raison de la peur de l’exploitation des mises à jour par des organismes gouvernementaux ou des cybercriminels.

Naturellement, cela aurait un impact majeur sur notre cybersécurité à tous.