Technologie

Microsoft coupe l’herbe sous le pied à des malwares quasi invisibles

Une plateforme aidait des cybercriminels à rendre leurs virus presque indétectables via un service Microsoft. L’entreprise a fini par la neutraliser.

IW

La rédaction

Rédaction InfoWebMédia

·3 min de lecture
Microsoft coupe l’herbe sous le pied à des malwares quasi invisibles
Microsoft coupe l’herbe sous le pied à des malwares quasi invisibles| Photo d'illustration

Pendant plusieurs mois, une plateforme clandestine a aidé des cybercriminels à rendre des malwares beaucoup plus crédibles et difficiles à bloquer. Le service détournait Azure Artifact Signing de Microsoft, un outil légitime de signature numérique, pour faire passer des fichiers piégés pour des programmes de confiance.

Des virus maquillés comme des applis propres

Le principe est aussi simple qu’inquiétant. Dans le monde de la cybersécurité, la signature numérique sert de carte d’identité pour un logiciel. Quand elle est valide, Windows et certains antivirus ont davantage tendance à considérer le fichier comme légitime. Des attaquants ont donc exploité un service lié à Microsoft, anciennement appelé Trusted Signing, afin d’obtenir cette couche de crédibilité sans avoir à développer leur propre infrastructure.

D’après les éléments relayés par 01net, cette plateforme vendait en ligne un moyen de signer des programmes malveillants pour les rendre moins repérables. En clair, elle jouait le rôle d’intermédiaire entre des pirates et un service cloud officiel. Résultat, des virus pouvaient circuler avec une apparence beaucoup plus propre, ce qui compliquait le travail des systèmes de détection et augmentait les chances d’infection chez les victimes, y compris en France.

Microsoft ferme la porte, mais le signal est plus large

Microsoft a finalement identifié l’abus et neutralisé l’infrastructure utilisée pour ce détournement. C’est une bonne nouvelle, mais l’affaire rappelle surtout une tendance lourde, les cybercriminels ne fabriquent plus forcément tout eux-mêmes. Ils recyclent des outils légitimes, des services cloud connus et des mécanismes de confiance déjà en place pour passer sous les radars.

Ce genre d’attaque est particulièrement gênant pour les entreprises, car il brouille les réflexes habituels. Un fichier signé, téléchargé depuis une source qui semble propre, peut inspirer une confiance excessive. Pour les équipes de sécurité, cela oblige à regarder bien au-delà de l’apparence, avec plus d’analyse comportementale, plus de vérifications sur l’origine réelle des fichiers et une surveillance plus fine des usages anormaux des services cloud.

La cybersécurité entre dans l’ère du faux normal

Ce dossier montre à quel point la menace actuelle repose sur le camouflage. On n’est plus seulement face à des virus grossiers qui déclenchent toutes les alertes, mais à des logiciels malveillants capables d’emprunter les codes du logiciel légitime. Pour les utilisateurs de 18 à 35 ans, souvent ultra connectés et habitués à installer vite, le piège est redoutable, parce qu’un fichier peut sembler parfaitement banal alors qu’il ne l’est pas du tout.

La vraie question, maintenant, c’est de savoir combien d’autres services de confiance pourraient être instrumentalisés de la même manière, avant que les géants du cloud ne resserrent encore les règles du jeu.

Mots-cles

#Microsoft#cybersécurité#malware#cloud#Azure

Partager cet article