Le 13 janvier dernier, Philippe-Antoine Plante navigue dans Internet. Devant le site d’une PME, les pages se brouillent et une fenêtre s’ouvre : on lui indique que la police de caractère « Hoefler » est requise sur son ordinateur pour que la page puisse s’afficher correctement. Une grosse flèche verte l’encourage à cliquer pour télécharger un document.

Sur les traces d’une attaque informatique

Or, Philippe-Antoine Plante est diplômé du baccalauréat en informatique de la Faculté des sciences de l’Université de Sherbrooke et il poursuivra sous peu sa maîtrise auprès du Pr Marc Frappier, spécialiste de l’ingénierie du logiciel, avec qui il collabore déjà sur des projets de recherche. Il a tout de suite su que la fenêtre qui s’est ouverte pose des risques. Seulement, pour lui comme pour ses collègues, ce n’est pas une arnaque, c’est un défi. « Dès que j’ai constaté que c’était une campagne malicieuse, j’ai contacté un collaborateur pour entreprendre une recherche sur son mode de fonctionnement ». Le collègue Anthony Branchaud est analyste en sécurité et étudiant au baccalauréat à l’Université Laval.

En trois jours seulement, le duo a découvert que cette campagne de diffusion d’un logiciel malveillant (« malware » ou maliciel) a infecté des milliers de sites de partout au monde, dont 5 % sont canadiens. Ce maliciel est distribué par des sites web construits à l’aide de WordPress, Joomla ou encore Drupal, des outils très populaires qui permettent de créer facilement des sites web.

Les chercheurs ont pris l’initiative, dès le 16 janvier, d’informer le Centre canadien de réponse aux incidents cybernétiques (CCRIC) de la prévalence de la campagne en lui transmettant toute l’information nécessaire au suivi de dossier, avec entre autres une liste des sites web infectés qui propagent le maliciel.

Cette campagne de diffusion du maliciel, nommée EITest, est très bien orchestrée. Elle détermine quel est le logiciel malicieux le plus adéquat à fournir à l’utilisateur. La force de cette campagne est qu’elle se diffuse à partir de sites d’organismes légitimes et qu’elle peut s’ajuster au fil du temps, c’est-à-dire adapter le type de logiciels diffusés. À titre d’exemple, les auteurs pourraient utiliser la campagne pour propager un rançongiciel : ce type de maliciel permet à un criminel de bloquer les accès aux données d’un utilisateur, en l’échange d’une rançon (en anglais « ransomware »).

La supposée police de caractère « Hoefler »

Ce que les chercheurs ont noté à l’origine, c’est que lorsque les sites infectés sont visités à partir du navigateur Chrome sous Windows à travers un lien (par exemple une recherche avec un moteur de recherche comme Google ou Bing ou une référence au site infecté dans une page web), ils affichent une page inintelligible ainsi qu'une fenêtre contextuelle (pop-up). Le message « The HoeflerText font wasn't found » apparaît alors dans cette fenêtre et suggère de télécharger la police manquante, « Hoefler text », pour afficher la page correctement. Si le téléchargement est accepté, le fichier malicieux est téléchargé et la page infectée demande à l'utilisateur d'exécuter ce fichier. En l'exécutant, l’ordinateur devient membre d'un réseau de « zombies virtuels », des machines contrôlées à l'insu de leurs utilisateurs par les cybercriminels. Lors de la découverte, le maliciel propagé par cette campagne utilisait l'ordinateur « zombie » pour générer des clics, ce qui engendre des revenus de publicité pour les pirates. De plus, les chercheurs ont pu confirmer quelques jours plus tard que la campagne cible également d’autres navigateurs web populaires.

À ce stade-ci de l'analyse, les sites web infectés propageant le maliciel sont de diverses natures, comme des administrations publiques (ville, université, gouvernements) ainsi que des petites entreprises et des particuliers, provenant de plusieurs pays à travers le monde, dont le Québec et le Canada.

Les virus informatiques dans le monde

On estime que 32 % des ordinateurs dans le monde sont infectés par un maliciel quelconque. Les pertes engendrées par les logiciels malicieux sont estimées à plusieurs dizaines de milliards par année. En 2015 seulement, les utilisateurs infectés par un cryptovirus ont payé tout près de 325 M$ en rançon. On estime que ce montant a triplé pour 2016. Sécurité publique Canada s’attend à ce que le marché mondial actuel pour les produits et les services de cybersécurité augmentent à plus de 170 milliards $ d’ici 2020 et que le marché de l'emploi pour les professionnels en cybersécurité augmentera de six millions au cours des quatre prochaines années. Environ 70 % des entreprises canadiennes ont été victimes de cyberattaques, au coût moyen de 15 000 $ par incident.

« À l’avenir, on peut entrevoir de nouvelles menaces, mais tant que les opérations s’avèrent efficaces, ils continueront d’être un danger pour les utilisateurs, commente Philippe-Antoine Plante. C’est une bataille constante, mais il est rassurant de savoir que les gens commencent à être plus sensibilisés à ce type de menace ».

Note : un rapport détaillé sera bientôt disponible expliquant la démarche des chercheurs, la façon de se débarrasser de ce maliciel et les indicateurs de compromission.

Pour plus d'information, les personnes intéressées peuvent contacter les chercheurs à l’adresse courriel suivante : research@brillantit.com

La compagnie Proofpoint a aussi publié une analyse sommaire de la campagne le 17 janvier.