Passer au contenu

Simple mais efficace : les cyberespions siphonnent les réseaux par… Gmail

Pour recevoir ses ordres ou exfiltrer ses données, un nouveau type de malware d’espionnage s’appuient sur le mode brouillon de la messagerie de Google. Ce qui rend les échanges particulièrement discrets.

Une nouvelle technique de cyberespionnage particulièrement discrète vient d’être découverte aux Etats-Unis, par les experts de la société Shape Security. En analysant l’infiltration subie par une entreprise cliente, ils ont remarqué que le pilotage du malware et l’exfiltration des données se faisait par un canal redoutablement efficace : le mode brouillon de Gmail. 

Comme le rappelle Wired, qui a interrogé Shape Security, cette technique avait déjà été utilisée par le passé dans un contexte totalement différent, à savoir l’échange de billets doux en 2012 entre le général David Petraeus, chef de la CIA, et sa maîtresse Paula Broadwell. Ce mode de communication avait un sérieux avantage : il ne génère aucun trafic suspect. Les deux amoureux disposaient d’un compte Gmail commun. Ils écrivaient leurs messages tour à tour sans jamais les envoyer, mais en les sauvegardant dans le dossier Brouillon.

Les pirates ont maintenant adapté cette façon de faire au cyberespionnage. Comme n’importe quel mouchard de ce type, le malware détecté par Shape Security communique avec un serveur externe pour recevoir ses ordres et transférer les données. Généralement, ces échanges se font par HTTP ou IRC. Mais, dans ce cas, ils s’appuient sur des messages brouillons Gmail. Après avoir infecté une machine, la malware lance une instance invisible d’Internet Explorer et se connecte à un compte précédemment configuré. Tout se passe donc comme si l’utilisateur se connectait à son compte Google.

Une variante avait déjà été détectée en août, basée sur Yahoo

Selon Shape Security, cette technique est particulièrement difficile à détecter pour les outils de prévention d’intrusion ou de perte d’informations. D’une part, Gmail est un domaine web considéré comme digne de confiance. D’autre part, les pirates prennent soin de chiffrer les données reçues ou envoyées, ce qui rend impossible toute analyse en temps réel du contenu transféré. Pour se protéger, il faudrait bloquer toutes les flux avec Gmail, ce qui est quasi impossible.

Une variante de ce malware avait été détectée en août dernier par les experts en sécurité de GData. Mais à l’époque, les échanges de données se faisaient par des emails Yahoo. Depuis, les pirates ont donc amélioré leur technique.

Lire aussi :

Comment les hackers du gouvernement Poutine espionnent l’Europe, le 28/10/2014

Source :

Wired

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert Kallenborn
Les dernières actualités
Nintendo Switch
Nintendo : des Joy-Con magnétiques pour la Switch 2 ?
Smartphone Mains
Apple supprime des apps IA permettant de « dénuder » n’importe qui
Le démarchage téléphonique est désormais limité par de nouvelles règles entrées en vigueur le 1er mars dernier. appel telephone
Face au démarchage téléphonique, les Français ne prennent plus les appels des numéros inconnus
Iphone 14 Ifixit
Apple est accusée d’exploiter des « minéraux de conflit »
Shein site web textile plateforme
Shein, sous contrôle renforcé de l’UE, a quatre mois pour montrer patte blanche
Aptoide
Un magasin d’application alternatif célèbre sur Android arrive sur iPhone
Site Pirate Streaming Illegal
Torrent : dopé à l’IA, ce moteur de recherche anonyme est impossible à stopper
Glance
Un premier pas vers les pubs sur l’écran de verrouillage de smartphones Android pas chers aux États-Unis
Top téléchargements