Des assemblages improbables aux produits rutilants, les voleurs de mots de passe ont toujours la côte auprès de certains criminels du Net. Simples d’utilisation, ils posent pourtant nombre de problèmes aux équipes de sécurité qui veulent leur mettre la main dessus. Entretien avec Paul Jung, un chercheur qui les a suivi à la trace.

Il y a des logiciels qui survivent au temps et aux modes. Parmi eux, les voleurs de mots de passe font figure de vétérans. Dans une conférence à la Botconf, début décembre (voir notre compte rendu), le chercheur en sécurité Paul Jung a présenté une étude de ces outils, à la fois très simples et robustes, toujours capables de récupérer de grandes quantités d’identifiants sans être immédiatement repérés par les antivirus.

Retrouvez l’intégralité de cet article sur NextINpact.com

Sa recherche a été menée dans le cadre du centre de réponse à incident (CERT) d’Excellium, qui travaille pour le monde luxembourgeois des banques et assurances. Si ces voleurs de mots de passe peuvent occuper l’équipe, ils ne représentent pas un grand intérêt en termes de sécurité. « Les campagnes visent tout le monde. Si elles fonctionnent, l’outil vole des mots de passe puis sort. Il n’y a pas de menace plus grande que cela. Il est tout de même intéressant de rapidement détecter ces campagnes et de les terminer » nous explique le spécialiste.

L’étude se concentre sur les logiciels pour ordinateurs, les mobiles étant hors de son champ. Ils sont capables de subtiliser les identifiants dans les navigateurs, dans des fichiers de configuration (voire le registre Windows), des portefeuilles de crypto-monnaies ou encore des numéros de série. Paul Jung en liste une vingtaine, des plus artisanaux aux plus élaborés, leur conception et revente étant devenues une activité en soi.

De vieux outils à la diffusion très classique

Agent Autolog, Tesla, Lockybot, Pony ou encore Predator Pain sont certains des logiciels rencontrés par l’expert. Leur longévité ne fait pas de doute. Predator Pain, au fonctionnement plutôt rudimentaire, existe depuis 2008 avec plusieurs déclinaisons.

Pourquoi de si vieux outils sont-ils encore actifs ? « Ils sont simples et robustes. Ce ne sont pas des outils avancés, donc ils ne passeront pas à la télé. Ils peuvent être déployés rapidement. Quand quelqu’un achète un Pony, il a simplement besoin d’un serveur avec PHP (qu’il l’achète ou en utilise un qui n’est pas à lui) et récupère ce qu’il souhaite à partir d’une campagne d’e-mails. C’est facile, jetable rapidement, il n’y a pas d’infrastructure à maintenir. Il n’y a aucun problème » résume le chercheur.

La diffusion passe d’ordinaire par des campagnes d’e-mails, mais d’autres canaux sont possibles. C’est le cas du JPRO Crack, une version piratée d’un logiciel pour mallette de diagnostic automobile. Une méthode « opportuniste », pour Paul Jung. « JPro Crack vise vraiment l’artisan, la petite société qui n’a pas le budget pour mettre à jour sa mallette. À côté de ça, ils se font voler leurs mots de passe » estime-t-il. Il n’y a rien de foncièrement innovant à cette technique, mais elle s’avère toujours . . .

Cet article est de Guénaël Pépin ( NextINpact.com )
Crédits : milindri/iStock