Plongée dans le monde des voleurs de mots de passe, de vieux bricolages efficaces
Et vive .NET
Le 06 mars 2018 à 15h26
13 min
Logiciel
Logiciel
Des assemblages improbables aux produits rutilants, les voleurs de mots de passe ont toujours la côte auprès de certains criminels du Net. Simples d'utilisation, ils posent pourtant nombre de problèmes aux équipes de sécurité qui veulent leur mettre la main dessus. Entretien avec Paul Jung, un chercheur qui les a suivi à la trace.
Il y a des logiciels qui survivent au temps et aux modes. Parmi eux, les voleurs de mots de passe font figure de vétérans. Dans une conférence à la Botconf, début décembre (voir notre compte rendu), le chercheur en sécurité Paul Jung a présenté une étude de ces outils, à la fois très simples et robustes, toujours capables de récupérer de grandes quantités d'identifiants sans être immédiatement repérés par les antivirus.
Sa recherche a été menée dans le cadre du centre de réponse à incident (CERT) d'Excellium, qui travaille pour le monde luxembourgeois des banques et assurances. Si ces voleurs de mots de passe peuvent occuper l'équipe, ils ne représentent pas un grand intérêt en termes de sécurité. « Les campagnes visent tout le monde. Si elles fonctionnent, l'outil vole des mots de passe puis sort. Il n'y a pas de menace plus grande que cela. Il est tout de même intéressant de rapidement détecter ces campagnes et de les terminer » nous explique le spécialiste.
L'étude se concentre sur les logiciels pour ordinateurs, les mobiles étant hors de son champ. Ils sont capables de subtiliser les identifiants dans les navigateurs, dans des fichiers de configuration (voire le registre Windows), des portefeuilles de crypto-monnaies ou encore des numéros de série. Paul Jung en liste une vingtaine, des plus artisanaux aux plus élaborés, leur conception et revente étant devenues une activité en soi.
De vieux outils à la diffusion très classique
Agent Tesla, AutoLog, Lockybot, Pony ou encore Predator Pain sont certains des logiciels rencontrés par l'expert. Leur longévité ne fait pas de doute. Predator Pain, au fonctionnement plutôt rudimentaire, existe depuis 2008 avec plusieurs déclinaisons.
Pourquoi de si vieux outils sont-ils encore actifs ? « Ils sont simples et robustes. Ce ne sont pas des outils avancés, donc ils ne passeront pas à la télé. Ils peuvent être déployés rapidement. Quand quelqu'un achète un Pony, il a simplement besoin d'un serveur avec PHP (qu'il l'achète ou en utilise un qui n'est pas à lui) et récupère ce qu'il souhaite à partir d'une campagne d'e-mails. C'est facile, jetable rapidement, il n'y a pas d'infrastructure à maintenir. Il n'y a aucun problème » résume le chercheur.
La diffusion passe d'ordinaire par des campagnes d'e-mails, mais d'autres canaux sont possibles. C'est le cas du JPRO Crack, une version piratée d'un logiciel pour mallette de diagnostic automobile. Une méthode « opportuniste », pour Paul Jung. « JPro Crack vise vraiment l'artisan, la petite société qui n'a pas le budget pour mettre à jour sa mallette. À côté de ça, ils se font voler leurs mots de passe » estime-t-il. Il n'y a rien de foncièrement innovant à cette technique, mais elle s'avère toujours efficace.
Ces logiciels sont-ils tous sur Windows ? « À part AutoLog, qui est en Python avec une version Linux, tous les autres sont foncièrement Windows. C'est stable. Si vous êtes vendeur, vous regardez là où il y a le plus de parts de marché » répond le chercheur.
La recherche d'échantillons de malwares, pour étude, demande toujours du temps. « Le plus simple est d'aller sur quelques forums de vente pour trouver le produit. Il faut ensuite trouver l'échantillon, par exemple sur [la base de données privée] VirusTotal ou les poubelles des comptes e-mail. »
Il reste difficile, à son échelle, de déterminer le volume de personnes infectées ou de mots de passe volés. Malgré l'âge des outils, les attaques peuvent encore s'avérer discrètes. « On n'a pas suffisamment de données. Via des panels PHP [permettant d'administrer une attaque, auquel les chercheurs accèdent parfois], on constate que la campagne fonctionne bien, mais nous n'avons aucune idée des montants récupérés derrière » reconnaît Jung.
La simplicité comme principale qualité
Les malwares utilisés pour le vol de mots de passe brillent souvent par leur simplicité. Ils ne demandent pas de grande connaissance technique pour être utilisés, ni de droits particuliers sur l'ordinateur de la victime. Il leur suffit donc d'être lancés par la victime pour qu'ils fassent leur office. Y compris l'intrusion dans les navigateurs web, qui regorgent d'identifiants.
« Les malwares sont des processus qui tournent avec les mêmes droits utilisateur que le navigateur. Certains sont donc capables de s’injecter dans le navigateur et d’intercepter les identifiants de connexions au moment où on se connecte, par exemple sur Facebook... Alors même que les identifiants ne sont pas enregistrés par le navigateur » nous explique encore Paul Jung.
Une partie de ces logiciels est même franchement artisanale. C'est le cas de Predator Pain, qui inclut des outils de récupération de mots de passe conçus par NirSoft, un spécialiste des petits utilitaires pour Windows. Pourquoi s'embêter à réinventer la roue, alors qu'elle existe déjà sous une forme légitime ?
« Le malware démarre l'outil NirSoft qui fait la liste, crée son rapport sur disque, puis il récupère le fichier. C'est aussi simple que ça. Le logiciel relit le fichier, réintègre la réponse » et l'envoie à l'attaquant, par e-mail ou directement sur le serveur. Cet extracteur de NirSoft serait utilisé par une bonne part de ces malwares. Ils exploitent RunPE, une méthode qui permet de lancer un logiciel en mémoire, sans le déposer sur le disque, en évitant une éventuelle détection par un antivirus de cette manière.
L'infrastructure est aussi légère. « Certains malwares ne sont pas résidents. Ils viennent, exfiltrent tous les mots de passe présents et c'est fini. Ils ne font rien d'autre », à la manière de JPro Crack, conte Jung. Pourtant, la majorité maintiendrait un intercepteur de frappe clavier (keylogger), éventuellement transformable en « RAT », pour prendre le contrôle du PC à distance.
Pour récupérer et visualiser les mots de passe obtenus, une interface d'administration en PHP est souvent fournie avec le logiciel. « L'avantage du PHP est que ça se déploie vite, surtout sur des hébergements qui ne sont pas à eux ! C'est souvent un Wordpress ou un autre CMS obsolète, avec une extension qui permet de déposer des fichiers... Comme ils le font pour le phishing. Le panel est posé dans un sous-dossier, c'est le principe » détaille encore le chercheur.
Ces extractions ne sont-elles pas détectables par les appels ? « Sur ce que nous détectons, il y a des appels à get.php, post.php... Ce sont des noms utilisés un peu partout, par n'importe quel site web ou CMS. » Les pistes sont donc brouillées.
Le paquetage en .NET, le meilleur ennemi du chercheur en sécurité
Après toutes ces années, comment les malwares peuvent-ils encore échapper à la vigilance des antivirus ? Ils évoluent peu, les variantes semblent bien rares... mais leurs concepteurs aiment les « packer », c'est-à-dire les mettre dans une « enveloppe sacrifiable » qui leur donne une nouvelle identité. Pour cela, le framework .NET, encore très lié à Windows, est bien pratique.
« Les antivirus se cassent les dents sur les packers depuis longtemps. Les échantillons arrivent paquetés. L'antivirus ne le verra pas. Sur les grosses campagnes, il faut compter quatre à cinq jours avant qu'un antivirus ne le détecte » estime Paul Jung. Pour lui, mieux vaut détecter leur comportement sur le réseau. « Pour la plupart, on peut les repérer. Certains ne s'embêtent pas, les modèles réseau sont clairs et nets. »
« Au bout d'un moment, l'enveloppe [packer] sera connue, mais son but est de protéger la charge utile à l'intérieur. Le malware n'est jamais en clair. Il passera en mémoire, mais les antivirus ne scannent pas beaucoup en mémoire. Kaspersky ou G-DATA le feront, mais en entreprise, on a du Trend Micro ou McAfee, pour éviter d'avoir trop d'alertes utilisateurs » relate le chercheur.
.NET permet de confectionner ces enveloppes sans grandes connaissances techniques. Beaucoup de voleurs de mots de passe utilisant cette plateforme, la copie de code d'un outil à l'autre serait courante... y compris des fonctions devenues obsolètes, pour ajouter une ligne dans le descriptif commercial. « Pour moi, le .NET est une solution de facilité, qui offre l'aisance de piquer des bouts de code. Une fois le logiciel dépaqueté, le copier-coller fonctionne » constate notre interlocuteur.
Cet empaquetage contribue à la simplicité d'utilisation. Sans besoin d'interférer avec l'antivirus ou de le désactiver, c'est une complexité de développement et de la maintenance qui s'envole. Il suffit de le lancer et de récupérer les mots de passe incognito, à partir d'une liste de logiciels construite au fil des ans, bougeant assez peu.
Dans ce monde de .NET, Jung note une exception notable : Pony, un voleur de mots de passe apparu en 2011, écrit en Delphi et... en assembleur. Ce dernier est sûrement le langage le plus difficile à appréhender. « C'est un travail compliqué. On utilise l'assembleur pour de l'exploitation [de failles], pas pour un outil complet ! Que quelqu'un conçoive son packer en assembleur, on peut encore comprendre. Tout ce qui est bas niveau, oui. Mais un voleur de mots de passe en assembleur, il faut se tordre ! » s'étonne encore le chercheur.
Un marché en soi, avec pignon sur rue
Les utilisateurs de malwares ne sont pas toujours ceux qui les conçoivent. Il est même courant d'acheter des logiciels clés en main. C'est semble-t-il vrai des voleurs de mots de passe. Certains passent par des forums de vente, d'autres achètent des logiciels ayant pignon sur rue. Bien entendu, une partie des pirates « crackent » aussi ces logiciels, tant qu'à être dans l'illégalité. « C'est quand même 30 euros, il ne faut pas exagérer ! » ironise Paul Jung.
Parmi les outils, Agent Tesla est de ceux qui se montrent au grand jour. Il dispose d'un site en « .com » des plus officiels, à l'apparence professionnelle. Seule différence avec un vendeur de logiciel ordinaire, les paiements se font uniquement en crypto-monnaies. Les prix : de 12 dollars pour un mois à 69 dollars pour un an de service.
« Agent Tesla, c'est une personne qui travaille dessus depuis plusieurs années, c'est un produit propre. Le serveur de contrôle en PHP est protégé, c'est le seul que je connais qui le protège. Le code est régulièrement mis à jour. Ce qui est délirant, c'est qu'il fait ça au clair. Pour lui, il ne conçoit pas un malware » relate le chercheur d'Excellium.
Malgré tout, il fournit un empaqueteur pour échapper aux antivirus et démontre le contournement d'Avast en vidéo. Les mises à jour, elles, ne servent pas qu'à la technique. Il va par exemple soigner l'interface du panneau d'administration, à l'inverse de malwares plus artisanaux. Il publie d'ailleurs régulièrement des notes de version, les dernières datant du 2 mars.
Malgré cette publicité, il est difficile d'agir contre son concepteur turc, en l'absence de plainte. « Pourtant, à la base, tous les acheteurs viennent se mettre à jour sur ce site » relance Paul Jung, qui note que cette vitrine publique peut bien attirer des ennuis. L'auteur américain de NanoCore, un outil connu de prise de contrôle de PC, a été arrêté en mars 2017, avant de plaider coupable en juillet.
La promotion des voleurs de mots de passe se fait aussi par des vidéos de didacticiels, à destination de clients à la pratique « amateur ». « Ils utilisent les produits, mais ce n'est pas de la haute voltige. Ils essaient ça sur leur poste, sur leur propre serveur de contrôle... On les voit » se désole presque le chercheur interrogé.
Une vidéo pour Infinite Keylogger, aujourd'hui disparue, jouait même sur le sex appeal de deux femmes pour vendre le voleur de mots de passe, en déclamant avec passion les caractéristiques du produit. Une vision surréaliste qui avait eu son succès à la Botconf, devant un parterre de spécialistes en sécurité.
Une réaction trop lente, la plainte encore rare
La réaction face à ces campagnes, qui peuvent voler les mots de passe en quelques minutes, est jugée trop lente par Paul Jung. Les sociétés ont trop rarement les procédures adéquates pour prévenir un utilisateur qu'il doit changer tous ses identifiants, personnels et professionnels, selon lui.
L'absence de plainte est un frein important à toute action future. « À chaque fois, ce sont des petits caïds. Une personne qui infectera 30, 40 personnes... Bonne chance à la police pour traquer ce genre de chose. C'est bien plus compliqué que de faire tomber un grand réseau » estime le chercheur. Contrairement à d'autres fraudes voyantes, celle-ci passerait généralement inaperçue. Lier le vol de mots de passe à une fraude bancaire ultérieure serait aussi compliqué.
Côté hébergeurs, les cellules « abuse », qui traitent les signalements de cybercriminalité, ne seraient pas efficaces contre ces campagnes. « Il faut en général de 8 à 20 heures pour qu'il se passe quelque chose » alors qu'un pirate peut bouger très rapidement, regrette l'expert.
Le blocage par le réseau ou la détection par les hébergeurs convainquent peu notre interlocuteur, qui y voit trop de problèmes éthiques. Il pointe plutôt les problèmes de coopération judiciaire entre pays, voire la lenteur du système judiciaire, même luxembourgeois, qui demande quatre jours pour mettre un serveur sur écoute. « Il y a la même difficulté entre les entreprises. Les gens ne partagent pas les indicateurs de compromission. C'est un vaste débat » ajoute-t-il.
« Depuis quatre ans à ce CERT, nous avons le sentiment de vider la mer à la cuillère. On le fait parce qu'il faut le faire, mais on sait très bien que souvent il ne se passera rien derrière. » Excellium conserve tout de même les preuves accumulées au fil des années, dans l'espoir qu'elles servent un jour dans le cadre d'une plainte.
Sollicitée, la gendarmerie n'a pas répondu à nos sollicitations sur le sujet. OVH n'a pas retourné de réponse à une série de questions envoyées il y a plusieurs semaines, concernant notamment ce dossier. Les voleurs de mots de passe semblent encore avoir de belles années devant eux.
Plongée dans le monde des voleurs de mots de passe, de vieux bricolages efficaces
-
De vieux outils à la diffusion très classique
-
La simplicité comme principale qualité
-
Le paquetage en .NET, le meilleur ennemi du chercheur en sécurité
-
Un marché en soi, avec pignon sur rue
-
Une réaction trop lente, la plainte encore rare
Commentaires (30)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 07/03/2018 à 10h31
C’est plus difficile quand c’est ton FAI [tousse]Free[/tousse]
À moins que ça ait changé dans les 3 derniers mois…
Le 07/03/2018 à 10h46
Le 07/03/2018 à 10h48
Bien content d’avoir choisi G Data Business pour protéger notre petit millier de machines :)
Le 07/03/2018 à 11h06
Le 07/03/2018 à 11h19
Le 07/03/2018 à 11h24
En fait, c’est ce qu’il voulait dire, je pense, mais il a été ambigu.
Le 07/03/2018 à 12h14
Le 07/03/2018 à 12h39
Merci pour l’info, j’ignorais complètement que cela existait, en ce qui concerne le détail des moyens techniques employés.
" />" />" />" />" />
Le 07/03/2018 à 14h01
Ma banque aussi fait ça… et envoi du nouveau mot de passe par courrier uniquement quand on l’a perdu, certes sans l’identifiant.
Le 07/03/2018 à 14h02
(vive Linux)
Le 07/03/2018 à 14h21
Je suis pas inscrit sur le site de Pôle Emploi mais vu le commentaire précédent c’est eux qui génèrent le mot de passe, j’espère que c’est aléatoire et pas la date de naissance sur 6 chiffres, parce que là j’aurais plus les mots.
Le 07/03/2018 à 14h43
Article super intéressant, merci " />
Le 07/03/2018 à 15h28
Après, Pôle Emploi demande aussi le code postal. Ça fais donc 3 champs à remplir aussi.
Le 07/03/2018 à 15h30
Après tout dépend jusqu’à quel niveau de contrainte tu estimes que tes accès ont besoins.
Tu peux aller jusqu’à un OS spécialisé au final (genre QubeOS), mais plus la “sécurité” augmente, plus les contraintes aussi.
Le 07/03/2018 à 15h36
C’est une info plutôt facile à avoir.
Le 07/03/2018 à 16h51
Oui, mais faut quand même l’avoir, avec un password stealer, tu l’aurais pas normalement.
Le 07/03/2018 à 16h58
Pas besoin de ça, un peu de renseignement sur la personne ça peut être suffisant. Je trouve pas que ce soit un gage de protection quand t’as un mdp de 6 caractères a coté
Le 07/03/2018 à 17h29
Non mais je veux dire que les passwords stealer ne sont pas forcément ciblés vers quelqu’un de précis hein " />
Le 09/03/2018 à 15h35
Super article merci !Un sujet très intéressant qui mériterait d’être abordé plus souvent.
Le 06/03/2018 à 16h12
Article très sympa sur un sujet pas souvent abordé ! " />
Le 06/03/2018 à 16h13
Vu le nombre de sites marchands qui continuent d’envoyer le mot de passe en clair par courriel après inscription et qui ne sont toujour pas en https, cela reste facile de récupérer des mots de passe.
Le 06/03/2018 à 16h14
Merci super article, très intéressant. Après niveau logiciel il y a aussi du boulot faisable et fait par les développeurs, il y a quelques années on pouvait facilement récupérer un mot de passe sauvegardé sur Steam, il me semble que c’est maintenant beaucoup mieux protégé par exemple (hors Keylogger bien sûr).
Le 06/03/2018 à 16h37
Moi, quand je vois qu’un site est capable de me redonner mon mot de passe, je clôture mon compte " />
Le 06/03/2018 à 16h40
Perso, j’utilise une base de donnée Keepass que je déverrouille en Secure Desktop sous windows en utilisant l’auto-complétion et avec aucun mot de passe “enregistré” dans les outils (même pour Steam je le saisie). Après j’ai aussi Sophos Home qui à un module pour “chiffrer” le texte dans le navigateur.
Mais pour Windows, un conseil que j’ai aussi déjà entendu plusieurs fois, c’est d’utiliser un compte limité pour l’usage au quotidien (et d’utiliser l’UAC avec le compte admin quand c’est nécessaire), logiquement ça protège déjà mieux (pas encore testé pour l’instant, mais ça ne me gêne pas de saisir les identifiants d’un compte admin pour installer un soft ou autre " /> ) ?
Le 06/03/2018 à 16h50
même si c’est un organisme d’état ? (la caf, de mémoire…)
Le 06/03/2018 à 16h53
Je sais plus lequel service de l’état, ça devait être Amélie, ou j’ai supprimé puis recréer un compte.
Mais oui la plupart du temps ce sont les pires. Exemple qui me fait tiquer à chaque fois c’est le pôle Emploi, mot de passe de 6 chiffres impossible à modifier, Miam.
Le 06/03/2018 à 17h24
Un titre accrocheur et un article très intéressant
" />
Le 06/03/2018 à 22h47
Le 07/03/2018 à 01h55
Tu as tout intérêt à avoir plusieurs sessions… Et même plus que juste admin/user, mais après ça devient un peu compliqué et contraignant (par exemple, le drag & drop ne fonctionne pas entre 2 fenêtres tournant dans 2 comptes différents).
Concernant Keepas, c’est très bien ce qu’ils ont fait (le “secure desktop”), mais il n’a rien de secure, c’est juste un desktop. J’avais commencé à créer un vrai secure desktop à l’époque de Windows 2000, mais je n’ai pas eu le temps de continuer. Le soucis de Keepass réside dans le fait qu’il tourne dans le compte utilisateur qui l’a lancé, et que n’importe quel autre programme tournant dans ce compte (par exemple un keylogger) pourra y accéder. Certains outils vont un peu plus loin en listant les processus actifs sur le desktop en question, pour vérifier qu’ils sont seuls. Sauf qu’en général, un keylogger tourne depuis l’intérieur de sa victime (“hook”), et qu’il devient alors très facile d’intercepter les appels systèmes et donc de faire croire au programme qu’il est seul.
Bref, si quelqu’un est intéressé par bosser sur le sujet, je peux expliquer vite fait comment faire un “vrai” secure desktop.
Le 07/03/2018 à 09h07
Le mot de passe 6 chiffres impossible à modifier ça évite de mettre la date de naissance c’est pas déconnant comme idée (mais oui c’est casse pied et y a mieux comme solution).