Mobilité

EvilProxy : l’outil qui automatise le hacking pour les

EvilProxy : l'outil qui automatise le hacking pour les pirates du dimanche

Le phishing, ou « hameçonnage » en français, est l’une des principales techniques utilisées par les hackers pour dérober des données. Elle repose sur de faux sites web ou des emails qui imitent une marque, un service ou un contact connu de la cible. Ces courriels et ces pages web sont souvent facilement détectables, mais parfois, ils sont tellement bien conçus que l’on pourrait s’y laisser prendre ; jusqu’à fournir ses identifiants, des informations personnelles, ou cliquer sur un lien vérolé.

Le phishing n’est pas à la portée de n’importe qui, car il nécessite de solides compétences techniques, à l’ère de l’authentification à double facteur. Cette mesure de sécurité, qui consiste à confirmer son identité par un autre moyen que le mot de passe lors d’une seconde étape (par SMS, bien souvent), a en effet considérablement compliqué la tâche des hackers ces 10 dernières années. Mais des outils commencent à sortir sur le dark web, qui pourraient leur faciliter le travail, et ouvrir les portes du phishing à de parfaits néophytes.

Comme l’ont constaté des chercheurs en cybersécurité de Resecurity, des outils permettent de contourner l’authentification à double facteur (2FA) des services en ligne, d’une façon presque « automatique ». Ils se multiplient et sont accessibles à tous les hackers, même les moins compétents, contre des abonnements à prix cassés. C’est le cas du service « EvilProxy », qui est mis en avant sur les principaux forums de hackers du darkweb (ou plutôt, sur la partie accessible via Tor).

 

Comment fonctionne EvilProxy ?

 

EvilProxy utilise la méthode du « proxy inversé » (« reverse proxy »), afin de voler des « tokens » (jetons) d’authentification. Des jetons 2FA qui permettent donc de contourner l’authentification à double facteur, sur Apple, Google, Facebook, Twitter, Microsoft, Github, Dropbox, Yandex, GoDaddy… ou encore PyPi, le dépôt officiel de logiciels pour le langage Python, qui a récemment été l’objet d’attaques par phishing (à direction des développeurs), via un autre outil automatisé, baptisé « JuiceLedger ».

Il s’agit d’attirer l’internaute vers un faux site de connexion. Ce site est relié à un serveur, qui est lui-même connecté en parallèle au « vrai » site du service réel (Google, Twitter…). Sachant que la page web vérolée affiche le formulaire de connexion « légitime » du service officiel, le proxy pirate fait ainsi office de « passe-plat ». Il transmet l’identifiant et le mode de passe renseignés par la victime au service réel, et attend que ce service demande à l’utilisateur de renseigner un code à usage unique (par SMS ou via une notification sur une appli mobile). Ensuite, il attend que ce dernier saisisse son code éphémère sur la fausse page. Ce code est transmis au serveur de la plateforme réelle, qui renvoie un cookie de session.

Comme le proxy inversé se situe « au milieu », entre le site réel et l’internaute, il est alors capable de voler ce cookie de session, qui contient le jeton d’authentification. Le hacker peut finalement se connecter au site officiel, à la place de l’utilisateur. « Le proxy inversé peut récupérer tout le contenu légitime auquel l’utilisateur s’attend, y compris les pages de connexion. Il renifle le trafic lorsqu’il passe par le proxy. De cette façon, il est possible de récolter des cookies de session valides et contourner la nécessité de s’authentifier avec des noms d’utilisateur, des mots de passe et / ou des jetons 2FA », résume Resecurity.

evilproxy resecurity 

La configuration d’un proxy inversé est toutefois très complexe, et donc (a priori) réservée à des hackers expérimentés, souvent au service d’organisations mafieuses ou étatiques. Mais avec un outil comme EvilProxy, rien de plus facile. L’outil contient un « kit » de phishing (apparemment développé par des hackers à l’origine d’attaques contre des banques et des sites de e-commerce), qui permet à son utilisateur, même inexpérimenté, d’attaquer sa cible sans avoir besoin de pirater les services en amont.

Selon Resecurity, EvilProxy est un véritable service « tout-en-un », un « Phishing-as-a-Service » (PaaS), qui permet de « hameçonner » quelqu’un en quelques clics, ou presque. Il suffit de choisir le type de compte que l’on souhaite attaquer (Google, Microsoft, Facebook, Twitter…), de sélectionner la durée de la « campagne » de phishing désirée, et de lancer l’outil. Celui-ci s’occupe de tout : il met en place une infrastructure d’attaque, et crée de fausses pages de connexion. Cerise sur le gâteau : l’abonnement à EvilProxy, acquitté via Télégramme, est dégressif : 150 dollars US pour 10 jours, 250 dollars pour 20 jours et 400 dollars pour 31 jours.

evilproxy darkweb

Particulièrement sophistiqué, EvilProxy utilise des techniques variées pour « protéger le code du kit de phishing » de toute détection par les machines virtuelles utilisées par les spécialistes en cybersécurité. « « À l’instar des solutions de prévention de la fraude et de renseignement sur les cybermenaces (CTI), il agrège des données sur les services VPN connus, les proxys, les nœuds de sortie TOR et d’autres hôtes susceptibles d’être utilisés pour analyser la réputation IP des victimes potentielles », explique Resecurity. Si un outil de CTI est détecté, EvilProxy interrompt la connexion.

 

Un outil qui facilite beaucoup trop le phishing 

La méthode des proxy inversés n’est pas nouvelle. Mais jusqu’ici, elle était surtout le pré-carré de groupes de hackers chevronnés, utilisant leurs propres outils, ou des kits peu accessibles, comme Modlishka, Necrobrowser et Evilginx2). Désormais, EvilProxy (et d’autres outils similaires, disponibles sur le darkweb) « démocratise » cette technique redoutable pour la 2FA, de par sa simplicité d’utilisation.

Facile à installer, ce service va jusqu’à proposer des didacticiels vidéos et des tutoriels, avec « une interface graphique conviviale, et une grande collection de sites de phishing clonés à l’effigie de plateformes célèbres », décrit Resecurity. Selon les chercheurs, « bien qu’EvilProxy ne soit pas gratuit, les cybercriminels disposent désormais d’une solution rentable et évolutive pour réaliser des attaques de phishing avancées visant à compromettre les utilisateurs de services en ligne populaires, où l’authentification à plusieurs facteurs est activée ».

 

De prime abord, il est facile de penser que les hackers du dimanche susceptibles d’utiliser un tel service ne causeront de toute façon que peu de dommages. Il ne s’agira jamais que de pirates informatiques débutants. Des “script kiddies”, qui utilisent déjà des scripts et des programmes mis au point par d’autres ; pour mener des attaques DDOS, ou créer de faux sites web de phishing. Leurs faibles connaissances en création de logiciels malveillants et en piratage avancé les restreint ainsi à l’ingénierie sociale, et à la création de sites Web (ou e-mails) frauduleux (l’apprentissage du HTML étant moins difficile), dont la qualité laisse à désirer. En outre, ils commettent bien souvent des erreurs (de débutant) et laissent tant de traces derrière eux qu’ils se font facilement repérer. Si bien que la portée de leurs attaques reste (du moins jusqu’ici) très limitée.

Mais avec un outil comme EvilProxy, qui permet de contourner la 2FA facilement, et surtout sans se laisser de traces, ces hackers débutants pourraient bien se révéler aussi redoutables que des pirates « confirmés ».

Que faire, dès lors ? Certes, il existe des techniques d’authentification forte qui rendent EvilProxy inopérant, comme le protocole FIDO, où l’identité du site web est systématiquement vérifiée avant d’envoyer le token 2FA. Mais peu de services en ligne utilisent cette technologie pour le moment. En attendant la généralisation du protocole FIDO, il nous appartient à nous, utilisateurs, de rester vigilants, en vérifiant manuellement, et constamment, l’identité du site sur lequel nous nous connectons. Ou encore mieux, en saisissant soi-même l’adresse du site dans son navigateur, plutôt que de suivre un lien… et en vérifiant que cette adresse a été correctement orthographiée.


Source link

Articles similaires

Bouton retour en haut de la page