Les applications qui n’ont pas été autorisées par le service de sécurité informatique d’une entreprise – c’est à dire les applications fantômes ou clandestines – peuvent donner lieu à des attaques dites banales, initiées par des saboteurs ou des employés qui cherchent à voler des données. La “banalité” des outils utilisés par les hackers tels que PowerShell, et Cmd.exe par exemple les rendent d’autant plus difficiles à détecter et facilitent le piratage des machines à l’aide de logiciels malveillants. Ce qui fait que les applications fantômes sont de nos jours si nombreuses est qu’elles sont d’apparence normales et à même de mettre en danger une organisation en échappant à la détection et d’exfiltrer des données.
Les applications de dialogue en ligne
Les messageries instantanées sont installées sur les machines de presque tous les employés et la majorité d’entre elles ont été testées et approuvées. Dans la plupart des environnements, il s’agit de Skype ou d’un outil collaboratif comme Slack. Mais les applications de discussion inconnues et clandestines peuvent mettre les entreprises en danger. Une application telle que Pidgin – messagerie open source utilisée sur des millions de systèmes dans le monde – peut être utilisée pour autre chose qu’une simple communication avec des collègues. Dans certains environnements, la messagerie de discussion libre peut être exploitée en tant qu’outil de commande et de contrôle pour actionner des portes dérobées et exécuter des commandes arbitraires sur des terminaux infectés.
Bien que la messagerie instantanée soit un outil de communication précieux, l’utilisation d’applications non autorisées peut exposer les entreprises à des risques potentiellement nocifs pour les données.
Extensions de navigateur hostiles
Les extensions de navigateur, qui sont en mesure de fournir des URL malveillantes, capables de transformer le navigateur en arme, sont réputées pour être difficiles à sécuriser. Il est rare qu’une semaine passe sans qu’on entende que Google a supprimé des quantités d’extensions de navigateur malveillantes de Chrome Webstore. Bien que ce medium ait toujours été une cible privilégiée pour les attaquants, ces derniers temps, de nombreuses extensions ont été chargées de logiciels malveillants utilisés pour des campagnes de fraude au clic et du minage de cryptomonnaie. Vu la quantité de trafic généré, le minage de cryptomonnaie en particulier peut avoir des conséquences dévastatrices sur le terminal d’une entreprise, et par ricochet sur son réseau.
Les auteurs des extensions de cryptopiratage pour navigateur ont rapidement trouvé les moyens d’échapper à la détection. Beaucoup exécutent leurs processus via des serveurs proxy pour obscurcir le chargement des noms de services de cryptopiratage. D’autres exécutent leurs processus via des pools de minage personnalisés, qui leur permettent de séparer le minage du cryptopiratage, afin de tromper les utilisateurs.
Applications téléchargées illégalement
Des applications piratées, des applications vendues ailleurs que sur les boutiques Web officielles, se font de plus en plus fréquentes dans les boutiques, y compris celles de Microsoft. Ces applications, si l’on y adjoint un logiciel malveillant, un logiciel-espion ou pire, peuvent ouvrir la porte des réseaux aux agressions. Bien que ces applications puissent imiter des applications légitimes, dans de nombreux cas, ce sont simplement des enveloppes de ces applications, dont le code a été remplacé par des logiciels malveillants.
Le défi posé par les applications clandestines
Ces applications fantômes posent toute une série de difficultés. Certains des plus gros problèmes ne concernent même pas la présence des applications en tant que telle, mais plutôt l’impossibilité de les corriger à l’aide d’un patch comme les autres applications. Les entreprises ont généralement mis en place un processus aux règles strictes. Comme dans une machine bien huilée, on prend le temps nécessaire pour effectuer les mises à jour des logiciels, généralement peu de temps après la publication d’une mise à jour, sur le mode du Patch Tuesday de Microsoft ou de la Mise à jour des correctifs critiques d’Oracle. L’exécution d’applications vulnérables inconnues aux côtés des logiciels standards peut permettre à un attaquant d’utiliser des exploits et d’obtenir un accès non autorisé à l’appareil ou au réseau.
Il existe aussi l’éventualité qu’une application clandestine cause des problèmes d’instabilité sur un terminal de l’entreprise. Dans d’autres cas, ces applications pourraient être trafiquées pour exploiter les fonctionnalités du réseau au profit de sites tiers inconnus de l’entreprise, qui ne peut donc pas les surveiller correctement.
Une fois qu’une organisation a établi quelles applications d’un écosystème peuvent être autorisées, des précautions doivent être prises pour empêcher la prolifération d’applications supplémentaires. D’innombrables applications tierces interagissent avec des applications de stockage Cloud comme Dropbox et Box, mais si ces transferts de données ne sont pas identifiés, ils peuvent en fin de compte devenir une menace pour les entreprises.
Les technologies peuvent fournir des connaissances précieuses aux entreprises sur leurs applications – même les applications clandestines. Certains logiciels peuvent par exemple aider les administrateurs à améliorer leur visibilité sur le type de données parcourant leur système, et peuvent empêcher l’exécution d’applications non autorisées. Les services informatiques n’ont pas forcément besoin d’être restrictifs lors de leur évaluation des logiciels professionnels. Par exemple, certains logiciels peuvent contribuer à l’expérience d’apprentissage des employés en alertant les utilisateurs finaux lorsqu’ils tentent d’ouvrir des applications clandestines. Avec le temps, cela pourrait encore améliorer l’éducation des utilisateurs en décourageant les comportements à risques. Sans visibilité sur les données d’une organisation et, partant de là, sur les applications traitant ces données, les entreprises se placent dans une position très risquée.
___________
Tim Bandos est Directeur senior de la cybersécurité, Digital Guardian