Le piratage dont Nvidia a été victime récemment a eu des retombées très concrètes; les pirates ont directement mis leur butin à contribution pour dissimuler des malwares.
La semaine dernière, le groupe de pirates informatiques Lapsus$ s’est illustré avec une attaque de grande envergure qui a “entièrement compromis” Nvidia. Le géant américain des GPUs s’était vu soutirer environ 1 TB de données sensibles qui semblaient exploitables à grande échelle… et c’est précisément ce scénario catastrophe qui touche la marque aujourd’hui.
En effet, d’après Bleeping Computer, les données volées puis publiées par les pirates comportaient deux éléments particulièrement critiques : des Code Signing Certificate. Très sommairement, il s’agit d’une sorte de sceau numérique qui fonctionne un peu comme un autocollant de garantie; une fois apposé sur un programme ou un extrait de code, il permet d’attester du fait que ce dernier n’a pas été altéré depuis la signature.
Here we go.#Lapsus started leaking #Nvidia internal data.@SOSIntel@Cyberknow20@StarFire2258@campuscodi pic.twitter.com/UkSVdpCYXD
— Soufiane (@S0ufi4n3) February 28, 2022
Un passe-partout bien pratique pour les pirates
Si un programme ne dispose pas de ce sceau, cela peut être un signe qu’il a été modifié pour servir de support à du code malveillant; le système d’exploitation a donc pour instruction de refuser purement et simplement d’interpréter ce programme. Il s’agit d’un principe de précaution absolument central dans la totalité de l’industrie du software; en substance, il joue le rôle de label qualité et permet donc d’assurer la sécurité des utilisateurs.
En récupérant ces certificats, les pirates ont obtenu un outil très puissant. Conceptuellement, c’est un peu comme s’ils avaient volé un tampon représentant la signature du Président. Ils peuvent désormais produire ce qui s’apparente à des faux papiers numériques; si un programme malveillant ainsi certifié (on parle alors de programme “signé”) souhaite passer la douane de l’antivirus, le système d’exploitation n’y verra que du feu et n’opposera aucune résistance..
Légitimer toutes sortes de malwares
C’est un problème de taille, car en termes de sécurité, ces certificats s’apparentent à une arme de destruction massive. Et une fois armé d’un tel laissez-passer, un malware potentiellement dévastateur peut ainsi infecter de nombreuses machines. Y compris celles qui sont parfaitement à jour, et donc protégées contre les menaces habituelles.
L’autre problème réside dans la flexibilité inhérente à cette approche. Sur le principe, il est possible de “signer” tout et n’importe quoi; et sans surprise, les pirates ne s’en sont pas privés. D’après VirusTotal, un agrégateur de référence dans ce domaine, les deux certificats auraient déjà servi à dissimuler des programmes particulièrement dangereux.
VirusTotal a ainsi identifié divers chevaux de Troie, des portes dérobées construites sur des balises CobaltBlue, mais aussi des instances Mimikatz (un malware qui permet, très sommairement, de voler des mots de passe).
Aucune contremesure à portée des utilisateurs lambda
Dans l’immédiat, la seule solution pour se défendre contre cette menace est d’ajouter spécifiquement les numéros de série des certificats en question (43BB437D609866286DD839E1D00309F5 et 14781bc862e8dc503a559346f5dcc518) à la liste d’exclusion de Windows Defender. Pour cela, il faut malheureusement passer par la création d’une nouvelle règle de fichier du contrôle d’application.
Ce système, plus connu sous le nom de WDAC, est l’organe qui contrôle ces fameux certificats et décide des programmes qui peuvent ou non s’exécuter. Malheureusement, manipuler cet élément délicat comporte aussi des risques de sécurité pour les utilisateurs non avertis. Les utilisateurs avancés pourront donc créer leur propre règle en suivant les instructions sur la documentation officielle du WDAC… mais il est aussi possible de ruiner sa machine en bloquant des éléments légitimes par inadvertance.
Les utilisateurs les moins à l’aise ont donc plutôt intérêt à s’abstenir. Malheureusement, il n’existe aucune autre alternative pour l’instant. Il faudra donc patienter le temps qu’Nvidia et Windows collaborent pour révoquer et surtout remplacer les certificats en question. Et en attendant, il conviendra de faire encore plus attention que d’habitude aux programmes que l’on installe.
4 Commentaires