Pendant plusieurs mois, une plateforme clandestine a aidé des cybercriminels à rendre des malwares beaucoup plus crédibles et difficiles à bloquer. Le service détournait Azure Artifact Signing de Microsoft, un outil légitime de signature numérique, pour faire passer des fichiers piégés pour des programmes de confiance.
Des virus maquillés comme des applis propres
Le principe est aussi simple qu’inquiétant. Dans le monde de la cybersécurité, la signature numérique sert de carte d’identité pour un logiciel. Quand elle est valide, Windows et certains antivirus ont davantage tendance à considérer le fichier comme légitime. Des attaquants ont donc exploité un service lié à Microsoft, anciennement appelé Trusted Signing, afin d’obtenir cette couche de crédibilité sans avoir à développer leur propre infrastructure.
D’après les éléments relayés par 01net, cette plateforme vendait en ligne un moyen de signer des programmes malveillants pour les rendre moins repérables. En clair, elle jouait le rôle d’intermédiaire entre des pirates et un service cloud officiel. Résultat, des virus pouvaient circuler avec une apparence beaucoup plus propre, ce qui compliquait le travail des systèmes de détection et augmentait les chances d’infection chez les victimes, y compris en France.
Microsoft ferme la porte, mais le signal est plus large
Microsoft a finalement identifié l’abus et neutralisé l’infrastructure utilisée pour ce détournement. C’est une bonne nouvelle, mais l’affaire rappelle surtout une tendance lourde, les cybercriminels ne fabriquent plus forcément tout eux-mêmes. Ils recyclent des outils légitimes, des services cloud connus et des mécanismes de confiance déjà en place pour passer sous les radars.
Ce genre d’attaque est particulièrement gênant pour les entreprises, car il brouille les réflexes habituels. Un fichier signé, téléchargé depuis une source qui semble propre, peut inspirer une confiance excessive. Pour les équipes de sécurité, cela oblige à regarder bien au-delà de l’apparence, avec plus d’analyse comportementale, plus de vérifications sur l’origine réelle des fichiers et une surveillance plus fine des usages anormaux des services cloud.
La cybersécurité entre dans l’ère du faux normal
Ce dossier montre à quel point la menace actuelle repose sur le camouflage. On n’est plus seulement face à des virus grossiers qui déclenchent toutes les alertes, mais à des logiciels malveillants capables d’emprunter les codes du logiciel légitime. Pour les utilisateurs de 18 à 35 ans, souvent ultra connectés et habitués à installer vite, le piège est redoutable, parce qu’un fichier peut sembler parfaitement banal alors qu’il ne l’est pas du tout.
La vraie question, maintenant, c’est de savoir combien d’autres services de confiance pourraient être instrumentalisés de la même manière, avant que les géants du cloud ne resserrent encore les règles du jeu.