Les fabricants pensent bien faire en laissant un backdoor sur leur produit. C’est le cas de Gygabyte, un fabricant de composants informatiques, qui a caché une porte dérobée sur ses cartes mères. Pourtant, les hackers risquent de la détourner pour installer des malwares sur l’appareil des millions d’utilisateurs.
Le backdoor est un sujet qui revient souvent dans les actualités informatiques. Des entreprises sont régulièrement remises en cause pour intégrer un backdoor dans leurs produits. C’est le cas par exemple de WhatsApp, Samsung, Huawei et dernièrement, Gygabyte. Les entreprises l’utilisent pour accéder à distance au logiciel ou à l’appareil pour effectuer des mises à jour. Les hackers qui sont au courant de son existence peuvent s’en servir à des fins malveillantes.
Un backdoor est similaire aux autres logiciels malveillants, il est presque impossible de détecter sa présence. Le hacker se sert pourtant de cette porte d’entrée pour gérer les fichiers sur l’appareil, contrôler un site grâce au droit d’administrateur, installer d’autres malwares, etc.
Qu’est-ce qu’un backdoor exactement ?
Un backdoor se traduit en français par « porte dérobée ». Dans le domaine informatique, cette porte donne à un utilisateur l’accès à un système qui requiert normalement un privilège. Il permet ainsi de contourner les mesures de sécurité existantes.
La porte s’installe sur un appareil ou un réseau à travers un élément matériel (une puce présente dans un smartphone par exemple) ou un logiciel. Le backdoor fournit un root access, c’est-à-dire un accès intégral à un appareil grâce à ses droits administrateur.
Si cette porte est initiée par des acteurs malveillants, ces derniers peuvent aller et venir pour copier des données stockées, supprimer des fichiers, prendre le contrôle du système, etc. Les hackers se servent également du backdoor pour installer d’autres malwares.
Une porte dérobée est souvent confondue avec une faille de sécurité. Pourtant, la faille de sécurité est généralement accidentelle, mais les cybercriminels peuvent les exploiter. À l’inverse, l’installation d’un backdoor est un acte volontaire, qu’il s’agisse d’éditeurs et de fabricants ou des hackers.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Comment fonctionne un backdoor ?
Un backdoor est similaire à une porte à l’arrière de la maison dont on a oublié de fermer. Les voleurs peuvent entrer librement sans signe d’effraction. Il peut se passer des mois, voire des années avant qu’un backdoor soit découvert. Pour cause, il a été installé à l’insu de l’utilisateur.
La porte dérobée fonctionne en arrière-plan. Il est impossible de le voir dans la liste des logiciels en cours d’utilisation.
Pendant cette période, les hackers ont donc un accès aux informations sur l’appareil de la victime. Certains backdoors ressemblent fortement à un ver informatique, ils se répliquent de manière autonome.
Une porte dérobée peut être installée volontairement par l’éditeur d’un programme ou d’un fabricant de matériel. Les fabricants s’en servent pour accéder à distance à l’appareil en cas de problèmes. Néanmoins, cette pratique n’est pas à l’abri de dérives et suscite des scandales.
En 2011, Huawei, le fabricant d’équipements de télécommunication chinois a été accusé par le gouvernement américain d’avoir installé des portes dérobées sur ses appareils. Les révélations de Snowden en 2013 rapportent également l’existence de portes dérobées sur les appareils des constructeurs comme Samsung, Juniper ou Cisco.
La porte dérobée peut également être introduite par les hackers. Elle s’installe sur les objets connectés, le réseau informatique, l’ordinateur de l’utilisateur, etc.
Un backdoor sert généralement d’outil d’espionnage à un utilisateur. Les hackers détiennent le contrôle de l’appareil et la gestion des fichiers. Grâce à leur accès administrateur, ils peuvent installer des malwares et d’autres logiciels supplémentaires pour une surveillance généralisée.
Une fois le backdoor installé, les attaquants en profitent pour installer des logiciels comme l’enregistrement de frappes, le ransomware pour crypter les fichiers, etc.
L’intégration d’une porte dérobée peut également se faire à la demande du gouvernement. Les pays membres du Five Eyes (États-Unis, Royaume-Uni, Canada, Nouvelle-Zélande et Australie) ont demandé aux géants Google, Facebook et Apple d’installer une porte dérobée dans leur service. L’objectif de la demande était de faciliter l’obtention des informations dans le cadre d’une enquête criminelle. Les trois entreprises ont néanmoins refusé la demande.
Quelques exemples de portes dérobées
Il y a encore deux décennies, l’existence de portes dérobées dans les programmes informatiques était inconcevable pour le public. Néanmoins, les révélations de Snowden, un ancien consultant de la NSA, ont remis tout en cause.
Cela n’est plus un secret, les gouvernements britanniques et américains ont avoué leur volonté d’installer des portes dérobées dans les systèmes au profit des services de renseignement. Le FBI a par exemple demandé à Apple de fournir une porte dérobée pour faciliter leur enquête. Malgré la pression, la marque à la pomme a décliné la demande.
Dès le début des années 1990, la NSA se positionne comme un pionnier dans l’installation d’un backdoor avec Clipper Chip. Il s’agit d’un crypto processeur permettant à la NSA d’accéder à tous les systèmes. Dans l’univers des renseignements, tant qu’une porte dérobée reste secrète, son utilisation reste pertinente. Par contre, lorsque son existence est découverte, elle n’a plus d’intérêt.
Des entreprises installent volontairement des portes dérobées dans leur produit. Chaque année, les scandales autour de cette pratique font surface. En 2014, des développeurs de logiciels ont découvert accidentellement un backdoor sur la gamme Galaxy de Samsung. Il donne un accès à distance à tous les fichiers stockés sur les appareils. En conférence de presse, le géant coréen a rapporté que la porte dérobée ne présentait aucun risque pour la sécurité des utilisateurs.
Les CMS comme WordPress, Drupal et Joomla ont été également la cible des hackers à travers les plugins. En 2017, un plugin WordPress destiné à la gestion du Captcha ouvrait une porte dérobée sur le site. L’attaquant dispose ainsi de l’accès administrateur lui permettant d’intégrer des liens cachés qui dirigent vers son site de prêt sur salaire. Les liens présents dans les autres sites sont bénéfiques pour le SEO. Cette arnaque a touché plus de 300 000 sites utilisant le CMS.
Clipper Chip « MYK-78 » (credit)
Comment les hackers utilisent-ils une porte dérobée à leur avantage ?
L’installation d’une porte dérobée ne représente que la première étape dans une attaque plus vaste. Celle-ci ouvre la voie à d’autres étapes comme :
- l’installation d’un ransomware : ce malware chiffre tous les fichiers sur un appareil, les rendant inaccessibles et illisibles. Pour retrouver les fichiers, l’utilisateur doit payer une rançon, généralement en bitcoin à l’attaquant.
- la constitution d’un botnet : la porte dérobée permet au hacker d’avoir le contrôle de l’appareil en tant qu’administrateur. L’ordinateur est considéré comme un bot et fait partie d’une armée d’appareils piratés, appelée botnet. Les pirates se servent du botnet pour mener une attaque DDos.
l’installation d’un logiciel espion : l’attaquant déploie un spyware pour collecter des informations sur l’utilisateur : identifiants, mots de passe, historique de navigation, etc. Le spyware le plus connu est l’enregistreur de frappe qui rapporte chaque clic et frappe réalisés sur le clavier de l’appareil.
Comment se protéger contre le backdoor ?
Il est possible d’empêcher l’installation de backdoor grâce à quelques mesures de sécurité.
Une bonne hygiène de mots de passe
Les administrateurs informatiques attribuent à un nouveau salarié des identifiants et mots de passe par défaut. Ces mots de passe sont faciles à deviner pour les hackers. D’après une analyse de plus de 1,8 million de mots de passe, « admin » est celui qui revient le plus régulièrement. Pourtant, ces mots de passe faibles constituent une porte dérobée. Il est donc important de les modifier dès la prise de fonction.
L’activation de l’authentification multifacteur rajoute une couche de sécurité supplémentaire au compte. De son côté, l’utilisation d’un gestionnaire de mots de passe permet d’éviter l’emploi d’un même code sur plusieurs comptes.
Des solutions de cybersécurité
Un antimalware ou antivirus performant est capable d’identifier et de bloquer les malwares comme les chevaux de Troie et les rootkits. Les hackers se servent de ces deux formes de programmes malveillants pour introduire une porte dérobée.
Si beaucoup de fournisseurs proposent des antivirus et antimalware gratuits, il est préférable de choisir la formule payante pour bénéficier d’une protection optimale.
Une analyse minutieuse des plugins et des applications
Les cybercriminels proposent des services utiles pour les utilisateurs afin de mieux cacher la porte dérobée. Les applications, extensions et plugins gratuits doivent toujours susciter la méfiance. Pour s’assurer de la fiabilité de ces programmes, il est préférable de les télécharger uniquement via Play Store ou App Store.
Il vaut mieux réfléchir à deux fois avant d’accepter que l’application puisse accéder aux données de l’appareil. En effet, certaines applications arrivent quand même à passer le filtre de sécurité d’Apple et Google.
Une utilisation responsable des équipements professionnels
L’utilisation d’un appareil professionnel à des fins personnelles est à proscrire. Même si les activités du collaborateur ne présentent pas de risques, il peut accidentellement cliquer sur un lien de phishing. Les hackers vont installer la porte dérobée à partir de cet appareil.
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110
Imaginez une maison avec une porte cachée à l'arrière, invisible depuis la rue. C'est un peu l'idée d'une backdoor, ou porte dérobée en français, dans le monde informatique. Il s'agit d'un accès secret et non intentionnel créé dans un logiciel, un système ou un matériel, permettant à des personnes non autorisées d'y accéder, contournant les protections habituelles.
Les backdoors, accès secrets dans les systèmes informatiques, sont prisés par les cybercriminels pour voler des données ou lancer des attaques, mais aussi par certains développeurs pour faciliter le débogage. Leur utilisation par les États à des fins de sécurité nationale suscite des débats sur la vie privée. En tout état de cause, les backdoors posent une menace pour la cybersécurité et nécessitent des mesures de protection renforcées.
Les backdoors sont des menaces majeures pour la cybersécurité car elles permettent un accès non autorisé aux systèmes informatiques, entraînant divers risques :
- Vol de données sensibles.
- Espionnage des utilisateurs.
- Attaques par déni de service.
- Prise de contrôle du système.
