par La cybercriminalité fonctionne de plus en plus comme une industrie, avec sa propre division du travail. Certains pirates ne réclament plus de rançon, ils se contentent de forcer l’entrée des réseaux d’entreprise pour ensuite revendre cet accès à d’autres. Une nouvelle porte dérobée baptisée Mistic, analysée fin juin par plusieurs sociétés de cybersécurité, illustre à quel point ce commerce est devenu redoutable.
Rappelons ce qu’est une porte dérobée, un programme qui ouvre discrètement un accès caché à un intrus déjà présent dans un réseau. Mistic en est une, mais avec une particularité qui complique sérieusement la tâche des défenseurs.
Elle ne dépose jamais le moindre fichier sur le disque dur. Le logiciel vit entièrement dans la mémoire vive de l’ordinateur, un fonctionnement que les spécialistes appellent fileless, autrement dit sans fichier. Conséquence directe, les antivirus classiques, qui passent les fichiers au scanner, ne trouvent rien à inspecter. Symantec, l’une des sociétés qui l’a décortiquée, prévient noir sur blanc qu’une analyse des fichiers passera à côté.
Pire, Mistic embarque un véritable bouton d’autodestruction. Sur ordre de ses opérateurs, elle se supprime elle-même et efface au passage les traces dont auraient eu besoin les enquêteurs débarquant après coup. Pour se faufiler, elle détourne un programme Microsoft parfaitement légitime et le pousse à charger une bibliothèque piégée, déguisée en composant de sécurité Windows.
Pour blinder vos comptes en ligne contre le piratage et le hameçonnage, une clé de sécurité physique reste l’une des meilleures parades :
Yubico YubiKey 5 NFC (clé de sécurité 2FA) → voir sur Amazon
Lien affilié Amazon. En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions requises.
Mais le plus inquiétant tient à l’identité de son fournisseur. Les chercheurs rattachent Mistic à un groupe de courtiers d’accès, ces criminels spécialisés dans l’effraction de réseaux qu’ils revendent ensuite clés en main. Et la clientèle de ce groupe a de quoi donner des sueurs froides, puisqu’on y retrouve six des opérations de rançongiciel les plus actives du moment, dont Qilin, Akira ou Black Basta. Autrement dit, une seule intrusion peut atterrir chez n’importe lequel d’entre eux.
Les victimes recensées jusqu’ici se concentrent dans l’assurance, l’éducation et les services aux entreprises. L’infection démarre le plus souvent par une arnaque appelée ClickFix, qui pousse l’internaute à copier-coller lui-même une commande piégée, sous prétexte de corriger un bug affiché à l’écran.
Au bout du compte, on a donc un logiciel invisible aux scanners, capable de s’effacer sur commande et qui ravitaille les pires gangs du moment. Difficile de faire plus sournois, et c’est un bon rappel qu’on ne colle jamais une commande dans son ordinateur juste parce qu’un message à l’écran nous le demande.
Crédit photo : Illustration générée par IA
