Stegosploit : Une simple image piégée pour pirater un ordinateur !

7
651

La technique présentée au cours de la conférence Hack In The Box d’Amsterdam fait froid dans le dos et semble ultime. Présentation de Stegosploit, un injecteur de code malveillant dédié aux images.

C’est au cours de la conférence Hack In The Box qui s’est déroulée à Amsterdam que le chercheur en sécurité informatique indien Saumil Shah a présenté son outil Stegosploit, permettant de cacher un code malveillant dans une image dans le but de pirater une machine en toute transparence. L’outil permet de camoufler une charge malveillante au sein même des pixels d’une image au format JPEG ou PNG !

La technique parait surréaliste mais est pourtant bien réelle, comme l’a démontré le chercheur indien Saumil Shah durant sa conférence intitulée “Stegosploit: Hacking With Pictures“. Dans la pratique, cette technique pourrait bien s’avérée beaucoup plus dangereuse que les fichiers PDF malveillants ou les archives compressées infectées largement distribuées via les pièces jointes des mails envoyés par les cybercriminels.

Pour faire simple, imaginez l’attaque parfaite : vous surfez sur Internet et tout à coup, vous perdez le contrôle de votre ordinateur. En toute transparence, un malware vient d’être installé sur votre machine alors que vous avez un système à jour (OS & logiciels) ainsi qu’un antivirus ! Le vecteur ? Une simple image qui s’est affichée sur l’un des sites que vous venez de visiter… Le pire étant que cela n’est pas de la science-fiction mais un PoC exploitant des techniques avancées de stéganographie présenté par le chercheur Saumil Shah (PDF de présentation disponible ici).

L’ingénieur a expliqué lors de la conférence Hack In The Box que des pirates étaient très certainement déjà en train d’exploiter sa découverte sur le Net. L’exploitation se ferait via l’interprétation dynamique de l’image par HTML 5 Canvas element. Le code malveillant est baptisé IMAJS, et résulte d’une combinaison de code image (pixels) et de code JavaScript, caché au sein d’un fichier image au format JPG ou PNG.

Deux vidéos de démonstration ont été publiées par le chercheur, aboutissant à l’affichage d’un message “You are HACKED!” sur la machine infectée lors d’une banale session de surf :

La prochaine fois, vous y réfléchirez à deux fois avant de contempler une image d’un chaton super mignon ou d’une babe sexy…

7 Commentaires

  1. Les attaques sont de plus en plus variées et bien structurées et presque personne ne peut y échapper. C’est pourquoi il est essentiel de toujours mettre à jour tous les anti-virus. Concernant stegosploit, vous avez raison, c’est quand même inimaginable mais bon elle est bien réelle. Mais force est de se demander comment éviter que cela se produise ?

  2. @Terd
    Ouais c’est sûr, le code pourrait très bien être caché dans un simple noeud d’une page html, simplement en le mettant en hidden…
    La faille présentée ici, c’est une faille IE

  3. Au lieu de raconter des conneries, informez vous un peu plus. À part si vous êtes pleinement conscients de ce que vous dites et que c’est pour avoir des vues maks c’est encore pire. L’image dans ce cas là elle permet juste de contenir du code javascript. Donc pour une machine avec un browser à jour, ça risque rien. Pour que l’ordinateur soit infecté par l’image, il faut déjà que son navigateur soit faillible à la base et l’image n’est pas nécessaire à l’exploit mais juste un moyen d’obfuscation.

Les commentaires sont fermés.