Ce qu’il faut savoir sur les « droppers », ces facilitateurs de cyberattaques
Par Daxia ROJAS / AFP
Pierre angulaire de nombreuses cyberattaques, les « droppers » sont au cœur du dernier coup de filet international d’Europol contre des logiciels malveillants, annoncé jeudi, qui a conduit à plusieurs arrestations et à la mise hors ligne d’une centaine de serveurs.
Ces logiciels, peu connus du grand public, ont facilité les cyberattaques d’entreprises, d’autorités et d’institutions nationales, occasionnant des centaines de millions d’euros de dommages. Mais de quoi s’agit-il?
Qu’est-ce qu’un « dropper »?
Un « dropper », aussi appelé programme injecteur en français, est un logiciel qui a pour fonction principale « d’ouvrir la porte à d’autres logiciels malveillants », explique à l’AFP Jérôme Saiz, expert en cybersécurité et fondateur de la société OPFOR Intelligence.
« Ce n’est pas lui qui réalise l’action malveillante », précise-t-il.
Petit, léger, façonné pour passer inaperçu et tromper les antivirus, ce logiciel peut arriver sur l’ordinateur d’un internaute qui clique sur une publicité malveillante, navigue à son insu sur un site malveillant ou télécharge une application légitime dans laquelle il se cache.
Ils peuvent aussi être déposés sur un ordinateur via des courriels avec des liens infectés ou des pièces jointes Word et PDF, indique l’agence judiciaire européenne Eurojust.
« C’est au moment de l’installation du logiciel que la charge virale se déclenche » et qu’on « ouvre la poupée russe », détaille Jean-François Beuze, président de la société de cybersécurité Sifaris.
Comment ça fonctionne?
Une fois installé, le « +dropper+ ouvre le champ des possibles aux pirates », souligne Jérôme Saiz.
Soit il est autonome et embarque déjà avec lui des logiciels malveillants, soit il va chercher des logiciels malveillants sur internet, faciliter leur installation et leur activation.
Cela peut être un rançongiciel, qui exploite des failles de sécurité d’une entreprise ou d’un individu pour chiffrer et bloquer ses systèmes informatiques, exigeant une rançon pour les débloquer, mais aussi « un logiciel qui va miner du bitcoin (valider des transactions en cryptomonnaie, NDLR) ou encore un logiciel qui va intercepter des mots de passe », énumère M. Saiz.
Dans le cas de l’opération d’Europol, les « droppers » ciblés sont associés à au moins 15 groupements de rançongiciels, dont certains ont été utilisés pour rançonner des hôpitaux et centres de santé aux États-Unis pendant la pandémie de Covid-19.
« Les attaquants font ça parce que ça leur permet, grâce à un seul petit logiciel, d’installer de manière très modulaire et granulaire ce qu’ils veulent », poursuit-il.
Sa mission accomplie, le « dropper » peut « se supprimer totalement de votre machine », note Jean-François Beuze.
Comment s’en prémunir?
Si les grandes entreprises ont des systèmes de détection d’activités malveillantes assez poussés, notamment avec de l’intelligence artificielle, qui leur permettent de se prémunir contre les « droppers », c’est beaucoup plus compliqué pour les petites entreprises, remarque M. Beuze.
Les deux experts saluent ainsi l’opération d’Europol qui a permis de déstabiliser un écosystème criminel difficile à appréhender.
« Le réseau de +droppers+ est un morceau de l’infrastructure qui facilite la vie de plein groupes de cybercriminels », relève Jérôme Saiz.
En s’attaquant à cet outil, les forces de l’ordre « créé un effet de levier » qui « coupe l’herbe sous le pied des attaquants avec un maximum de flexibilité », conclut-il.
- Ce que l’acquisition d’ABOUT YOU par ZALANDO révèle sur l’évolution du B2B dans la mode - 11/12/2024
- Le danois Ageras prend une sérieuse position en France avec l’acquisition de Shine - 11/12/2024
- KLAXOON trouve son allié stratégique avec l’américain WRIKE et offre une porte de sortie à ses actionnaires. - 11/12/2024