Cybersécurité : pourquoi la cavalerie arrive encore trop souvent après la bataille

Emmanuel Macron avait promis, lors de la campagne présidentielle de 2022, la mise en place d’un « filtre anti-arnaques ». Le député Éric Bothorel éclairait alors (via Twitter) sur un « dispositif de service public » qui serait capable « d’avertir en temps réel tous les usagers d’Internet avant qu’ils ne se rendent sur un site Internet déjà identifié comme potentiellement piégé ». Le dispositif devrait soit s’appuyer sur des résolveurs DNS menteurs, chez les fournisseurs d’accès à Internet, soit sur quelque chose ressemblant peu ou prou à une extension de navigateur, voire les deux. Quelle que soit l’approche, le dispositif est voué à l’échec – à tout le moins dans sa finalité annoncée. 

Pourquoi ? Parce qu’en cybersécurité, la cavalerie continue d’arriver (trop) souvent après la bataille et que cela n’est pas près de changer, volonté présidentielle ou pas. Le problème est aussi vieux que les antivirus : quelle que soit la menace, il est illusoire d’espérer en être protégé automatiquement tant qu’elle n’est pas connue et reconnue.

Pensons aux infostealers et maliciels spécialisés dans le camouflage ou obfuscation. Les analystes de Kaspersky nous l’expliquaient tout récemment : « nous nous efforçons d’ajouter des signatures pour les nouveaux échantillons découverts, mais lorsqu’ils ne sont pas immédiatement reconnus, il existe un court delta durant lequel nous ne pouvons hélas pas faire grand chose. Lorsque, une demi-heure plus tard (modulo le délai de propagation des signatures) le fichier aura été détecté par notre antivirus sur la machine de l’utilisateur, le mal était sans doute déjà fait ».

Le délai de propagation des signatures est un « trou dans la raquette » – comme il est convenu de dire –, classique et bien connu de longue date. Nous nous penchions dessus en 2016, alors que fleurissaient les antivirus dits de nouvelle génération allant plus loin que les seules bases de signatures. 

Répondant aux mêmes questions sur la furtivité des infostealers, les chercheurs d’Eset penchaient pour le recours à des maliciels camoufleurs : « dans certains cas, le malware est déployé à l’aide d’un loader ou downloader […]. Il est possible que certains d’entre eux contiennent des fonctionnalités plus avancées d’évasion ou d’exploitation. Ils sont généralement très obfusqués. Cette obfuscation peut aider à éviter la détection sur le disque, mais n’est pas suffisante pour échapper aux détections en mémoire ». L’illustration n’aura pas tardé à venir avec AceCryptor.

La situation n’est guère différente pour les sites malveillants, qu’ils soient conçus pour arnaquer des internautes ou les conduire à fournir des identifiants, dans le cadre de campagnes de phishing. Mais là, c’est bien pire, car la durée de vie des pages Web en question est très limitée. 

De fait, dans son rapport de décembre 2016 sur les tendances en matière de hameçonnage, Webroot évoquait une tendance qu’il qualifiait « d’inquiétante » : « 84 % des sites de phishing existent pour moins de 24h ». Le cycle de vie moyen de ces campagnes apparaît court, très court, et même de plus en plus court : « le cycle de vie moyen était de moins de 15h [entre septembre et octobre dernier]. Vingt sites sont restés en ligne moins d’une heure, dont un qui n’a duré que 15 minutes ». Et de résumer la situation : « les technologies de sécurité traditionnelles ne peuvent pas suivre » et « bloquer les attaques par phishing est devenu bien plus compliqué ».

Une démonstration ? Les équipes de Microsoft ont récemment fait le récit d’une cyberattaque en compromission d’e-mail professionnel menée en l’espace de quelques heures seulement…

Les navigateurs intègrent des listes de blocage régulièrement mises à jour, de manière transparente pour l’internaute. Des listes de blocage existent aussi pour les résolveurs DNS – mais elles sont bien moins granulaires que celles des navigateurs qui filtrent au niveau non pas du nom de domaine, mais de l’URL. De quoi limiter des effets de bord dont nous avons récemment eu la démonstration avec Telegram.

Face à cela, il est irréaliste d’imaginer un dispositif de filtrage protégeant les internautes dès l’apparition d’une menace. Et il est difficile d’imaginer qu’Éric Bothorel l’ignore. Face à une menace émergente, la seule protection est la vigilance et… une certaine patience. Il est ainsi possible d’éviter de tomber dans le piège des SMS faisant état de prétendues amendes à payer, ces opérations dites de smishing, en laissant passer 12h voire 24h, le temps que la menace ait été identifiée par d’autres et intégrée par les listes de protection des navigateurs Web.