Game Of Thrones, série la plus touchée par les malwares

0
104

Les auteurs de malware ont déjà gagné « Le trône de fer » ! Dimanche 14 avril, la diffusion de la série la plus populaire au monde, Game Of Thrones, reprenait sur la chaîne américaine HBO avec la saison 8. Après 2 ans d’absence, les inconditionnels de la série étaient impatients. Il n’aura pas fallu attendre plus d’une semaine pour voir la première fuite de cette ultime saison. L’épisode 2 de la série était disponible dès samedi, avant même sa diffusion aux Etats-Unis. Mais attention, télécharger cet épisode n’était pas sans risque.

Tribune par Christopher Louie, CISSP, Sales Engineer, Zscaler.

La série la plus utilisée au monde pour propager des malwares !

Alors que des millions de personnes se préparaient à regarder Game of Thrones, une foule d’activités se déroulait en coulisses pour assurer une première sans fausse note. Pour cette grande occasion, la chaîne avait augmenté la capacité de ses réseaux de diffusion de contenu (CDN) et embauché davantage de personnel pour plus de réactivité. Après le crash de 2017, aucune erreur n’était permise. Pendant ce temps, les auteurs de malware augmentaient également leurs capacités et préparaient leurs campagnes en sachant qu’ils disposaient d’un grand nombre de cibles. C’est pour cela que les chercheurs en cybersécurité ont donné à Game Of Thrones le titre de « série la plus touchée par les malwares ».

Game of Thrones est la série la plus populaire à travers le monde. Pour la regarder, il faut être abonné d’une chaîne câblée premium ou utiliser une application de streaming dédiée. Mais, en raison d’accords de licence et de contrats, la série n’a, pendant longtemps, pas été légalement accessible dans de nombreuses régions du monde. Jusqu’à la 5e saison, beaucoup de personnes recevaient les épisodes des semaines ou des mois après leur diffusion aux États-Unis. Pour faire face à leur propre frustration, nombreux sont ceux qui ont commencé à pirater la série. Il n’est donc pas étonnant que le 1er épisode de la saison 8 ait été téléchargé illégalement 55 millions de fois, un record. Dans ce contexte, Game Of Thrones et HBO doivent se préparer à tous les abus.

De multiples techniques d’attaque

La plus ancienne : faire de la publicité pour des sites web avec de faux liens de streaming ou de téléchargements. Les réseaux sociaux, tels que Twitter, Reddit et Twitch.tv, permettent de donner à ces faux liens un public encore plus large. Le fait de cliquer sur l’un de ces liens déclenche généralement une attaque d’ingénierie sociale pour amener l’utilisateur à télécharger et installer un « lecteur » ou un « codec » spécial pour regarder la série depuis un site Web. Même si le site Web charge un flux vidéo où l’utilisateur peut regarder la série, d’autres éléments malveillants sur la page Web peuvent charger et attaquer le système ou le navigateur.

La plus populaire : utiliser le protocole BitTorrent peer-to-peer décentralisé pour « partager » le fichier avec d’autres utilisateurs. De par sa conception, le protocole BitTorrent ne peut pas être arrêté à partir d’un seul emplacement. Aucun ordre de retrait ne forcera un fournisseur de services à cesser de partager la série. En réponse à ce dilemme, des créateurs de contenu comme HBO se sont tournés vers le droit d’auteur et le système juridique en envoyant des avis de retrait aux utilisateurs qui téléchargent illégalement  la série, les menaçant souvent de poursuites judiciaires si les agissements continuent. En raison de la nature décentralisée de BitTorrent, personne ne peut réglementer l’échange de fichiers afin de s’assurer que seuls les fichiers légitimes soient échangés et qu’aucun malware ne soit ajouté. Les auteurs de malware profitent pleinement de ce manque de surveillance pour diffuser de faux fichiers vidéo ayant l’air corrompus lorsqu’un utilisateur tente de l’ouvrir. Dans ces fichiers vidéo, on trouve un fichier readme.txt qui indique à l’utilisateur de télécharger un lecteur ou codec spécial pour visionner la vidéo téléchargée. Comme dans l’exemple précédent, il s’agit d’une attaque d’ingénierie sociale destinée à inciter les utilisateurs à installer des logiciels malveillants sur leurs systèmes.

La plus ingénieuse : elle implique une copie légitime du fichier vidéo et un fichier de sous-titres malveillants. En 2017, les chercheurs en sécurité ont découvert une vulnérabilité dans de nombreuses applications de lecture vidéo, y compris le très populaire VLC, où un fichier de sous-titres malicieusement conçu pouvait conduire à l’exécution de code à distance. Bien que la plupart des lecteurs soient sécurisés, le processeur de sous-titres est un interpréteur. Son code n’est pas scruté autant que l’application du lecteur principal. Par conséquent, les utilisateurs qui regardent des fichiers vidéo piratés chargent en même temps du code malveillant.  

Les sites et plateformes de diffusion légale, également victimes

Les sites Web légitimes où les utilisateurs paient pour regarder légalement les épisodes de la série ne sont pas non plus à l’abri des comportements malveillants. En 2017, Showtime a été la cible d’une attaque par injection de code malveillant dans laquelle des abonnés se sont fait voler leurs cycles CPU pour exploiter, pour les attaquants, la crypto-monnaie Monero. En 2018, YouTube a également été frappé par une campagne de publicité malveillante qui a incité les téléspectateurs à charger des publicités remplies de JavaScript qui minaient Monero au nom des pirates. Même lorsque les utilisateurs ont de bonnes intentions et paient pour les services de streaming, ils peuvent être la cible de cyberattaques.  

De nombreux moyens de défense

Il existe de nombreux moyens de défense que les entreprises peuvent déployer afin de réduire les risques pour les amateurs de la série. De nombreuses solutions de sécurité « assez bonnes » s’appuient sur la réputation et les listes « top 1000 » pour effectuer l’inspection du contenu en raison des limitations de la plate-forme ou du matériel, en particulier lors de l’inspection SSL. Les CDN et les « sites Web de confiance » tels que YouTube et Showtime sont exemptés de l’inspection pour économiser de précieux cycles CPU et ainsi éviter d’affecter l’expérience utilisateur. Les solutions de sécurité qui n’évoluent pas vers le cloud ou qui n’ont pas été conçues pour l’inspection SSL sont souvent confrontées à des problèmes de performance une fois que toutes les catégories de trafic sont définies pour inspection.

Les proxies de sécurité Cloud analyseront chaque octet de données indépendamment de la destination de l’URL ou de la réputation du site. Cette analyse, à l’aide de l’inspection SSL, est essentielle pour empêcher les pirates de tirer parti des lacunes des autres solutions de sécurité. Le contrôle du type de fichier garantit que les utilisateurs ne téléchargent pas de fichiers exécutables (EXE) déguisés en faux lecteurs ou codecs. Un bac à sable Cloud permet aux entreprises de faire exploser un fichier inconnu dans un environnement contrôlé et de rendre un verdict avant que les utilisateurs ne soient autorisés à télécharger de fichiers douteux. Un pare-feu de nouvelle génération basé sur le cloud peut bloquer les applications de port-hopping telles que BitTorrent. Il protège également les entreprises contre les risques juridiques, comme techniques, associés au téléchargement de contenus illégaux et douteux. Cela sans qu’aucun matériel ne soit requis.  

Les auteurs de malware et les attaquants profitent souvent d’événements internationaux pour catalyser leurs campagnes d’attaque. Les amateurs de Game of Thrones attendent depuis près de deux ans le début de la dernière saison et les pirates se nourrissent de cette impatience pour répandre leurs malwares chez les moins méfiants d’entre eux. Le cadre d’exigences légales et réglementaires oblige souvent les utilisateurs à passer par des services de streaming douteux ou illégaux, même s’ils souhaitent payer pour le service. Les solutions de sécurité « suffisantes » révèlent de nombreuses failles que les attaquants exploitent, telles que la diffusion de malware via des sites Web « de confiance » et le chiffrement SSL ou TLS.