Des assemblages improbables aux produits rutilants, les voleurs de mots de passe ont toujours la côte auprès de certains criminels du Net. Simples d'utilisation, ils posent pourtant nombre de problèmes aux équipes de sécurité qui veulent leur mettre la main dessus. Entretien avec Paul Jung, un chercheur qui les a suivi à la trace.
Il y a des logiciels qui survivent au temps et aux modes. Parmi eux, les voleurs de mots de passe font figure de vétérans. Dans une conférence à la Botconf, début décembre (voir notre compte rendu), le chercheur en sécurité Paul Jung a présenté une étude de ces outils, à la fois très simples et robustes, toujours capables de récupérer de grandes quantités d'identifiants sans être immédiatement repérés par les antivirus.
Sa recherche a été menée dans le cadre du centre de réponse à incident (CERT) d'Excellium, qui travaille pour le monde luxembourgeois des banques et assurances. Si ces voleurs de mots de passe peuvent occuper l'équipe, ils ne représentent pas un grand intérêt en termes de sécurité. « Les campagnes visent tout le monde. Si elles fonctionnent, l'outil vole des mots de passe puis sort. Il n'y a pas de menace plus grande que cela. Il est tout de même intéressant de rapidement détecter ces campagnes et de les terminer » nous explique le spécialiste.
L'étude se concentre sur les logiciels pour ordinateurs, les mobiles étant hors de son champ. Ils sont capables de subtiliser les identifiants dans les navigateurs, dans des fichiers de configuration (voire le registre Windows), des portefeuilles de crypto-monnaies ou encore des numéros de série. Paul Jung en liste une vingtaine, des plus artisanaux aux plus élaborés, leur conception et revente étant devenues une activité en soi.
De vieux outils à la diffusion très classique
Agent Tesla, AutoLog, Lockybot, Pony ou encore Predator Pain sont certains des logiciels rencontrés par l'expert. Leur longévité ne fait pas de doute. Predator Pain, au fonctionnement plutôt rudimentaire, existe depuis 2008 avec plusieurs déclinaisons.
Pourquoi de si vieux outils sont-ils encore actifs ? « Ils sont simples et robustes. Ce ne sont pas des outils avancés, donc ils ne passeront pas à la télé. Ils peuvent être déployés rapidement. Quand quelqu'un achète un Pony, il a simplement besoin d'un serveur avec PHP (qu'il l'achète ou en utilise un qui n'est pas à lui) et récupère ce qu'il souhaite à partir d'une campagne d'e-mails. C'est facile, jetable rapidement, il n'y a pas d'infrastructure à maintenir. Il n'y a aucun problème » résume le chercheur.
La diffusion passe d'ordinaire par des campagnes d'e-mails, mais d'autres canaux sont possibles. C'est le cas du JPRO Crack, une version piratée d'un logiciel pour mallette de diagnostic automobile. Une méthode « opportuniste », pour Paul Jung. « JPro Crack vise vraiment l'artisan, la petite société qui n'a pas le budget pour mettre à jour sa mallette. À côté de ça, ils se font voler leurs mots de passe » estime-t-il. Il n'y a rien de foncièrement innovant à cette technique, mais elle s'avère toujours efficace.
Ces logiciels sont-ils tous sur Windows ? « À part AutoLog, qui est en Python avec une version Linux, tous les autres sont foncièrement Windows. C'est stable. Si vous êtes vendeur, vous regardez là où il y a le plus de parts de marché » répond le chercheur.
La recherche d'échantillons de malwares, pour étude, demande toujours du temps. « Le plus simple est d'aller sur quelques forums de vente pour trouver le produit. Il faut ensuite trouver l'échantillon, par exemple sur [la base de données privée] VirusTotal ou les poubelles des comptes e-mail. »
Il reste difficile, à son échelle, de déterminer le volume de personnes infectées ou de mots de passe volés. Malgré l'âge des outils, les attaques peuvent encore s'avérer discrètes. « On n'a pas suffisamment de données. Via des panels PHP [permettant d'administrer une attaque, auquel les chercheurs accèdent parfois], on constate que la campagne fonctionne bien, mais nous n'avons aucune idée des montants récupérés derrière » reconnaît Jung.
La simplicité comme principale qualité
Les malwares utilisés pour le vol de mots de passe brillent souvent par leur simplicité. Ils ne demandent pas de grande connaissance technique pour être utilisés, ni de droits particuliers sur l'ordinateur de la victime. Il leur suffit donc d'être lancés par la victime pour qu'ils fassent leur office. Y compris l'intrusion dans les navigateurs web, qui regorgent d'identifiants.
« Les malwares sont des processus qui tournent avec les mêmes droits utilisateur que le navigateur. Certains sont donc capables de s’injecter dans le navigateur et d’intercepter les identifiants de connexions au moment où on se connecte, par exemple sur Facebook... Alors même que les identifiants ne sont pas enregistrés par le navigateur » nous explique encore Paul Jung.
Une partie de ces logiciels est même franchement artisanale. C'est le cas de Predator Pain, qui inclut des outils de récupération de mots de passe conçus par NirSoft, un spécialiste des petits utilitaires pour Windows. Pourquoi s'embêter à réinventer la roue, alors qu'elle existe déjà sous une forme légitime ?
« Le malware démarre l'outil NirSoft qui fait la liste, crée son rapport sur disque, puis il récupère le fichier. C'est aussi simple que ça. Le logiciel relit le fichier, réintègre la réponse » et l'envoie à l'attaquant, par e-mail ou directement sur le serveur. Cet extracteur de NirSoft serait utilisé par une bonne part de ces malwares. Ils exploitent RunPE, une méthode qui permet de lancer un logiciel en mémoire, sans le déposer sur le disque, en évitant une éventuelle détection par un antivirus de cette manière.
L'infrastructure est aussi légère. « Certains malwares ne sont pas résidents. Ils viennent, exfiltrent tous les mots de passe présents et c'est fini. Ils ne font rien d'autre », à la manière de JPro Crack, conte Jung. Pourtant, la majorité maintiendrait un intercepteur de frappe clavier (keylogger), éventuellement transformable en « RAT », pour prendre le contrôle du PC à distance.
Pour récupérer et visualiser les mots de passe obtenus, une interface d'administration en PHP est souvent fournie avec le logiciel. « L'avantage du PHP est que ça se déploie vite, surtout sur des hébergements qui ne sont pas à eux ! C'est souvent un Wordpress ou un autre CMS obsolète, avec une extension qui permet de déposer des fichiers... Comme ils le font pour le phishing. Le panel est posé dans un sous-dossier, c'est le principe » détaille encore le chercheur.
Ces extractions ne sont-elles pas détectables par les appels ? « Sur ce que nous détectons, il y a des appels à get.php, post.php... Ce sont des noms utilisés un peu partout, par n'importe quel site web ou CMS. » Les pistes sont donc brouillées.
Le paquetage en .NET, le meilleur ennemi du chercheur en sécurité
Après toutes ces années, comment les malwares peuvent-ils encore échapper à la vigilance des antivirus ? Ils évoluent peu, les variantes semblent bien rares... mais leurs concepteurs aiment les « packer », c'est-à-dire les mettre dans une « enveloppe sacrifiable » qui leur donne une nouvelle identité. Pour cela, le framework .NET, encore très lié à Windows, est bien pratique.
« Les antivirus se cassent les dents sur les packers depuis longtemps. Les échantillons arrivent paquetés. L'antivirus ne le verra pas. Sur les grosses campagnes, il faut compter quatre à cinq jours avant qu'un antivirus ne le détecte » estime Paul Jung. Pour lui, mieux vaut détecter leur comportement sur le réseau. « Pour la plupart, on peut les repérer. Certains ne s'embêtent pas, les modèles réseau sont clairs et nets. »
« Au bout d'un moment, l'enveloppe [packer] sera connue, mais son but est de protéger la charge utile à l'intérieur. Le malware n'est jamais en clair. Il passera en mémoire, mais les antivirus ne scannent pas beaucoup en mémoire. Kaspersky ou G-DATA le feront, mais en entreprise, on a du Trend Micro ou McAfee, pour éviter d'avoir trop d'alertes utilisateurs » relate le chercheur.
.NET permet de confectionner ces enveloppes sans grandes connaissances techniques. Beaucoup de voleurs de mots de passe utilisant cette plateforme, la copie de code d'un outil à l'autre serait courante... y compris des fonctions devenues obsolètes, pour ajouter une ligne dans le descriptif commercial. « Pour moi, le .NET est une solution de facilité, qui offre l'aisance de piquer des bouts de code. Une fois le logiciel dépaqueté, le copier-coller fonctionne » constate notre interlocuteur.
Cet empaquetage contribue à la simplicité d'utilisation. Sans besoin d'interférer avec l'antivirus ou de le désactiver, c'est une complexité de développement et de la maintenance qui s'envole. Il suffit de le lancer et de récupérer les mots de passe incognito, à partir d'une liste de logiciels construite au fil des ans, bougeant assez peu.
Dans ce monde de .NET, Jung note une exception notable : Pony, un voleur de mots de passe apparu en 2011, écrit en Delphi et... en assembleur. Ce dernier est sûrement le langage le plus difficile à appréhender. « C'est un travail compliqué. On utilise l'assembleur pour de l'exploitation [de failles], pas pour un outil complet ! Que quelqu'un conçoive son packer en assembleur, on peut encore comprendre. Tout ce qui est bas niveau, oui. Mais un voleur de mots de passe en assembleur, il faut se tordre ! » s'étonne encore le chercheur.
Un marché en soi, avec pignon sur rue
Les utilisateurs de malwares ne sont pas toujours ceux qui les conçoivent. Il est même courant d'acheter des logiciels clés en main. C'est semble-t-il vrai des voleurs de mots de passe. Certains passent par des forums de vente, d'autres achètent des logiciels ayant pignon sur rue. Bien entendu, une partie des pirates « crackent » aussi ces logiciels, tant qu'à être dans l'illégalité. « C'est quand même 30 euros, il ne faut pas exagérer ! » ironise Paul Jung.
Parmi les outils, Agent Tesla est de ceux qui se montrent au grand jour. Il dispose d'un site en « .com » des plus officiels, à l'apparence professionnelle. Seule différence avec un vendeur de logiciel ordinaire, les paiements se font uniquement en crypto-monnaies. Les prix : de 12 dollars pour un mois à 69 dollars pour un an de service.
« Agent Tesla, c'est une personne qui travaille dessus depuis plusieurs années, c'est un produit propre. Le serveur de contrôle en PHP est protégé, c'est le seul que je connais qui le protège. Le code est régulièrement mis à jour. Ce qui est délirant, c'est qu'il fait ça au clair. Pour lui, il ne conçoit pas un malware » relate le chercheur d'Excellium.
Malgré tout, il fournit un empaqueteur pour échapper aux antivirus et démontre le contournement d'Avast en vidéo. Les mises à jour, elles, ne servent pas qu'à la technique. Il va par exemple soigner l'interface du panneau d'administration, à l'inverse de malwares plus artisanaux. Il publie d'ailleurs régulièrement des notes de version, les dernières datant du 2 mars.
Malgré cette publicité, il est difficile d'agir contre son concepteur turc, en l'absence de plainte. « Pourtant, à la base, tous les acheteurs viennent se mettre à jour sur ce site » relance Paul Jung, qui note que cette vitrine publique peut bien attirer des ennuis. L'auteur américain de NanoCore, un outil connu de prise de contrôle de PC, a été arrêté en mars 2017, avant de plaider coupable en juillet.
La promotion des voleurs de mots de passe se fait aussi par des vidéos de didacticiels, à destination de clients à la pratique « amateur ». « Ils utilisent les produits, mais ce n'est pas de la haute voltige. Ils essaient ça sur leur poste, sur leur propre serveur de contrôle... On les voit » se désole presque le chercheur interrogé.
Une vidéo pour Infinite Keylogger, aujourd'hui disparue, jouait même sur le sex appeal de deux femmes pour vendre le voleur de mots de passe, en déclamant avec passion les caractéristiques du produit. Une vision surréaliste qui avait eu son succès à la Botconf, devant un parterre de spécialistes en sécurité.
Une réaction trop lente, la plainte encore rare
La réaction face à ces campagnes, qui peuvent voler les mots de passe en quelques minutes, est jugée trop lente par Paul Jung. Les sociétés ont trop rarement les procédures adéquates pour prévenir un utilisateur qu'il doit changer tous ses identifiants, personnels et professionnels, selon lui.
L'absence de plainte est un frein important à toute action future. « À chaque fois, ce sont des petits caïds. Une personne qui infectera 30, 40 personnes... Bonne chance à la police pour traquer ce genre de chose. C'est bien plus compliqué que de faire tomber un grand réseau » estime le chercheur. Contrairement à d'autres fraudes voyantes, celle-ci passerait généralement inaperçue. Lier le vol de mots de passe à une fraude bancaire ultérieure serait aussi compliqué.
Côté hébergeurs, les cellules « abuse », qui traitent les signalements de cybercriminalité, ne seraient pas efficaces contre ces campagnes. « Il faut en général de 8 à 20 heures pour qu'il se passe quelque chose » alors qu'un pirate peut bouger très rapidement, regrette l'expert.
Le blocage par le réseau ou la détection par les hébergeurs convainquent peu notre interlocuteur, qui y voit trop de problèmes éthiques. Il pointe plutôt les problèmes de coopération judiciaire entre pays, voire la lenteur du système judiciaire, même luxembourgeois, qui demande quatre jours pour mettre un serveur sur écoute. « Il y a la même difficulté entre les entreprises. Les gens ne partagent pas les indicateurs de compromission. C'est un vaste débat » ajoute-t-il.
« Depuis quatre ans à ce CERT, nous avons le sentiment de vider la mer à la cuillère. On le fait parce qu'il faut le faire, mais on sait très bien que souvent il ne se passera rien derrière. » Excellium conserve tout de même les preuves accumulées au fil des années, dans l'espoir qu'elles servent un jour dans le cadre d'une plainte.
Sollicitée, la gendarmerie n'a pas répondu à nos sollicitations sur le sujet. OVH n'a pas retourné de réponse à une série de questions envoyées il y a plusieurs semaines, concernant notamment ce dossier. Les voleurs de mots de passe semblent encore avoir de belles années devant eux.
