211service.com
La menace croissante de la stéganographie en réseau
En 2011, des chercheurs du Laboratoire de cryptographie et de sécurité des systèmes à Budapest, en Hongrie, ont découvert une forme inhabituelle de logiciel malveillant. Ce malware s'incruste dans les machines Microsoft Windows, recueille des informations notamment sur les systèmes de contrôle industriels puis les envoie via Internet à son centre de commande et de contrôle. Après 36 jours, le malware se supprime automatiquement, ce qui le rend particulièrement difficile à trouver.
Ils ont appelé ce malware Duqu car il crée des fichiers avec le préfixe ~DQ.
Le logiciel était inhabituel à plusieurs égards. Premièrement, les chercheurs en sécurité ont remarqué que Duqu avait une ressemblance remarquable avec le malware Stuxnet prétendument développé par les équipes de cyberguerre américaines et israéliennes pour attaquer les capacités nucléaires de l'Iran. Une équipe de sécurité a déclaré qu'il était presque identique à Stuxnet mais avec un objectif complètement différent de collecter des informations plutôt que d'attaquer.
Le plus intriguant, cependant, est la façon dont Duqu transmet les informations à son centre de contrôle. Il crypte d'abord ces informations, puis les intègre dans un fichier JPEG afin qu'elles ressemblent à une image innocente, une pratique connue sous le nom de stéganographie. Alors que le cryptage protège l'information, la stéganographie cache en premier lieu l'existence d'un message.
Les chercheurs étudient toujours Duqu pour déterminer exactement son objectif et comprendre qui l'a créé. Mais le fait que ce malware utilise la stéganographie pour envoyer des informations sur Internet s'inscrit dans une tendance inquiétante. En 2008, le ministère américain de la Justice a été victime d'une stéganographie lorsque des détails financiers sensibles auraient été divulgués cachés dans des images JPEG. En 2002, il a été découvert qu'un réseau de pornographie juvénile échangeait des informations à l'aide de la stéganographie. Et un réseau d'espionnage russe découvert à New York est connu pour avoir utilisé la stéganographie pour renvoyer des informations à ses maîtres.
Cela soulève un certain nombre de questions importantes. Dans quelle mesure la stéganographie sur Internet est-elle répandue, quel type de techniques exploite-t-elle et comment peut-elle être combattue ?
Aujourd'hui, nous obtenons une réponse partielle grâce aux travaux de Steffen Wendzel du groupe de recherche en cyberdéfense de l'Institut Fraunhofer pour la communication, le traitement de l'information et l'ergonomie à Bonn, en Allemagne, et de quelques amis. Ces gars-là donnent un aperçu de la façon dont les logiciels malveillants cachent des informations secrètes dans les transmissions réseau ordinaires et montrent que le nombre de méthodes différentes a considérablement augmenté ces dernières années.
Ils se concentrent particulièrement sur la stéganographie du réseau - la dissimulation d'informations dans les transmissions réseau ordinaires plutôt que sur des clés USB ou dans des images physiques, etc. Ils soulignent que cette stéganographie en réseau est particulièrement intéressante car il n'y a pas de limite en principe à la quantité d'informations pouvant être envoyées, contrairement à une clé USB par exemple.
De plus, les opportunités de cacher des informations dans les transmissions réseau se sont multipliées à un rythme rapide. En particulier, un certain nombre d'approches ont ciblé des programmes de téléphonie IP tels que Skype, qui sont devenus de plus en plus populaires ces dernières années.
Dans le passé, les stéganographes de réseau ont exploité les protocoles TCP/IP qui ont des en-têtes contenant des informations pour acheminer les données sur Internet. Ces en-têtes ont également des champs inutilisés qui peuvent être utilisés pour transporter des informations cachées relativement facilement.
Wendzel et ses collègues affirment qu'au cours des dernières années, l'objectif des attaques s'est déplacé vers des applications et des services de couche supérieure tels que Skype, Bit Torrent et la recherche Google et vers de nouveaux environnements de réseau tels que le cloud computing. Récemment, nous avons connu un changement dans la sélection des supports de données cachés, disent-ils.
Par exemple, une approche appelée stéganographie de transcodage ou TranSteg, consiste à compresser les données vocales afin qu'elles prennent moins d'espace et à utiliser l'espace libéré pour transporter des données secrètes.
Une autre attaque contre les données vocales consiste à identifier les paquets de données associés au silence entre les mots. Ceux-ci peuvent ensuite être emballés avec des données secrètes.
Une autre approche consiste à attaquer les recherches Google, qui affichent une liste des 10 expressions de recherche connexes les plus populaires selon les types d'utilisateurs. Une attaque intercepte les suggestions des serveurs de Google et ajoute un mot unique à la fin de chacune des 10 phrases suggérées. Le récepteur extrait simplement ces mots ajoutés et les convertit en un message à l'aide d'une table de recherche précédemment partagée.
La tendance la plus inquiétante est peut-être la capacité croissante des téléphones intelligents, qui ont aujourd'hui des capacités qui n'étaient disponibles que sur les ordinateurs de bureau et les ordinateurs portables dans un passé récent. Les téléphones intelligents offrent une panoplie de possibilités stéganographiques en raison de leur capacité à enregistrer et envoyer de l'audio, de la vidéo, des images fixes ainsi que des fichiers texte de différents types. De plus, ils sont évidemment mobiles et peuvent se connecter automatiquement à une variété de réseaux différents.
Le plus effrayant de tous, ces appareils sont particulièrement vulnérables. Les couches de sécurité utilisées dans les systèmes d'exploitation mobiles s'avèrent à peine adéquates, selon Wendzel and co.
Une forme de logiciel malveillant appelée SoundComber capture des données personnelles telles que les chiffres saisis dans le clavier d'un téléphone intelligent pendant un appel téléphonique, puis les transmet à l'aide de l'une des différentes méthodes telles que des modèles de vibration prédéfinis, en modifiant le niveau de volume de la sonnerie, en verrouillant et déverrouillant l'écran et ainsi de suite.
Tout cela représente une menace importante. Il reste plus d'une centaine de techniques qui transfèrent des données secrètes à l'aide de méta-informations, telles que des éléments d'en-tête ou la synchronisation des paquets réseau, selon Wendzel and co.
Le problème, bien sûr, est de repérer les ordinateurs infectés par des logiciels malveillants stéganographiques, soit en recherchant directement le logiciel malveillant lui-même, soit en recherchant les signes révélateurs de la stéganographie dans les données qu'ils transmettent.
C'est plus facile à dire qu'à faire. Les logiciels anti-malware recherchent généralement un ensemble prédéfini de fichiers connus pour être problématiques. Il existe également un logiciel qui offre une protection contre les fuites de données qui normalise le trafic diffusé dans l'espoir que cela empêche la stéganographie du réseau. D'autres systèmes utilisent l'apprentissage automatique pour détecter les signes révélateurs de la stéganographie.
Cependant, aucune de ces approches n'est parfaite ou n'en est proche. Les contre-mesures ne peuvent pas traiter toutes ces techniques de masquage disponibles simultanément en raison de la complexité et de la diversité des protocoles et des services, déclarent Wendzel and co.
Ils soulignent qu'avant qu'une contre-mesure qui fasse cela puisse être construite, les chercheurs devront proposer un nouvel ensemble d'approches fondamentales pour contrer les nouvelles formes évolutives de la stéganographie.
Une chose est sûre : la détection et la prévention de la stéganographie du réseau sont appelées à devenir de plus en plus difficiles à mesure que la menace des logiciels malveillants tels que Duqu se propage. Être averti!
Réf : arxiv.org/abs/1407.2029 : Caché et incontrôlé – Sur l'émergence des menaces stéganographiques sur les réseaux