Un nouveau logiciel malveillant détecté par Kaspersky, permet à des hackers de suivre le trafic sécurisé dans Chrome et Firefox très habilement. Cette menace à ne pas prendre à la légère, est toujours en active.

Découverte par Kaspersky en avril dernier et toujours en cours, cette attaque menée par des hackers russes relève d’une grande ingéniosité. En effet, afin de saper comment nos navigateurs mettent en place les connexions sécurisées “https”, ceux-ci infectent leurs victimes avec un cheval de Troie nommée « Reductor ». Une fois celui-ci en place, il leur donne un accès distant à la machine de la victime leur permettant de compromettre le trafic internet sécurisé en enchaînant deux étapes.

La technique utilisée est inédite

D’abord, le Reductor va greffer ses propres certificats numériques sur la machine infectée. Ce qui va permettre aux pirates de repérer la machine afin d’y ajouter des certificats complémentaires à distance. Ensuite, la partie la plus subtile qui consiste à marquer le trafic TLS sans y toucher, s’opère en modifiant l’installation locale de Chrome ou de Firefox (ou tout autre navigateur internet) de façon à patcher leurs fonctions de génération de nombres pseudo-aléatoire (PRNG) dans la mémoire du processus.

Le PRNG permet aux navigateurs de générer « côté client » des nombres aléatoires nécessaires au début du processus d’échange TLS pour l’établissement de chaque nouvelle connexion sécurisée https. Ces fonctions PRNG modifiées portent une empreinte numérique unique permettant aux hackers de suivre le trafic de chaque victime.

Quel est l’intérêt de procéder à un tel marquage ?

Pour le moment, Kaspersky n’a trouvé aucune raison valable pour justifier le marquage du trafic TLS. En effet, le cheval de Troie installé au début du piratage suffit à lui seul pour permettre aux attaqueurs de prendre le contrôle total de la machine des victimes et de regarder leur trafic internet en temps réel.

Même s’ils n’ont pas pu expliquer l’intérêt du marquage, les chercheurs de Kaspersky n’ont pas manqué faire la lumière sur la technique utilisée par les hackers pour infecter les victimes avec le cheval de Troie « Reductor ». En effet, pendant le téléchargement de logiciels populaires comme IDM ou Winrar… (sur des sites sécurisés https), les pirates infectent les fichiers pendant qu’ils sont en transit sur internet. Plus simplement, les fichiers sains téléchargés au début sont substitués par des fichiers infectés au Reductor pendant le téléchargement.

Cela soulève également une autre question : comment les hackers arrivent-ils à remplacer les fichiers pendant le transit sur internet ? Pour l’éditeur de solutions antivirus, il est vraisemblable que les pirates aient compromis des fournisseurs d’accès internet. Ce qui leur permet de suivre facilement le trafic internet pour y injecter leurs fichiers vérolés.

Une attaque menée par un groupe de hackers proche du gouvernement russe

Kaspersky attribue cette attaque inédite débutée en Russie et en Biélorussie à Turla, un groupe de hackers qui serait protégé par le gouvernement russe. Ce groupe qui compte parmi l’élite des hackers avait déjà mené plusieurs campagnes de piratage très spectaculaires, dont le piratage de plusieurs FAI en Europe de l’Est.

Source: KASPERSKY

Alors qu’habituellement les nouvelles versions du navigateur apparaissent dans un intervalle de six à huit semaines, Mozilla prévoit de réduire ce délai d’ici début 2020.

Sur un marché très concurrentiel comme celui des navigateurs web, où Google Chrome règne en maître, il est évident que pour rester dans la course, Firefox doit se faire violence et sortir des sentiers battus. Par un billet de blog, la fondation Mozilla vient d’annoncer le passage à un cycle de mise à jour plus rapide de 4 semaines dès 2020. Ce nouveau virage qui débutera dès le premier trimestre 2020, leur permettra d’augmenter leur agilité afin d’apporter de nouvelles fonctionnalités plus rapidement comme le demandent les utilisateurs.

Concilier rapidité et qualité

Cependant, conscient des conséquences négatives que l’adoption de ce nouveau cycle pourrait avoir sur la qualité du navigateur, Firefox poursuivra à déployer les mises à jour par étapes ( Firefox Nightly, Beta et Developer Edition) tout en étant plus rapide quant à la détection des problèmes et le déploiement des correctifs. Firefox continuera également d’encourager l’expérimentation de fonctionnalités et les tests AB avant le lancement des versions stables.

Selon le calendrier de déploiement des mises à jour (ci-dessous) établi à cet effet, ce nouveau cycle débutera par la version 71 de Firefox en décembre prochain. Il faut noter que cet accroissement de rythme ne concernera pas Firefox ESR (Version de support étendu) qui est destiné aux entreprises.

En 2020, Firefox proposera des mises à jour par cycle de quatre semaines

En attendant de voir les avantages de tout ça pour nous les utilisateurs, il serait intéressant de voir comment vont réagir les concurrents, notamment Google Chrome. En effet, ce fut ce dernier qui a bouleversé les habitudes en instaurant le cycle de six à huit semaines. Portée par une entreprise comme Google, il est évident que les moyens, ce n’est pas ce qui fera défaut pour suivre la nouvelle cadence que Mozilla veut introduire.

Toujours soucieux de la protection des données et du respect de la vie privée de ses utilisateurs, la fondation Mozilla ne cesse d’améliorer son navigateur en y intégrant les outils nécessaires à cet effet. Cette fois-ci, elle teste un VPN.

Le fruit d’une nouvelle renaissance du programme Test Pilot

Nommé Mozilla Pivate Network, ce VPN est le fruit d’une nouvelle vie accordée au programme Test Pilot. En effet, comme l’a mentionné Mozilla au début de son billet de blog, le programme Test Pilot a eu de nombreuses vies depuis qu’il a été relancé il y a trois ans comme une extension pour Firefox 3.5. Fermé en janvier dernier avant d’être relancé cette fois-ci, il a permis à l’organisation de beaucoup apprendre grâce aux retours de quelques utilisateurs fidèles. Cette nouvelle version de Test pilot a la particularité d’apporter des produits et services qui peuvent être testés en dehors du navigateur Firefox avant de sortir en version grand public. C’est le cas de l’extension Firefox Private Network qui compte parmi un lot de produits en bêta, conçus pour répondre aux besoins réels des utilisateurs quand ils sont connectés à internet.

Une version bêta disponible uniquement aux États-Unis

Firefox : à l’image d’Opera, le navigateur se dote d’un VPN
© Mozilla

Très sensible aux questions qui touchent à la protection des données des internautes, Mozilla Private Network est réponse la réponse de la fondation Mozilla à la « demande croissante de fonctionnalités de confidentialité ». En effet, grâce à cette extension qu’il faudra ajouter à son navigateur Firefox, les utilisateurs pourront bénéficier d’une connexion internet sécurisée et cryptée quand ils se connectent à internet chez eux ou via des points d’accès wifi public (où le risque d’exposer ses données ou de se faire pirater est le plus élevé).

Malheureusement, comme le service est encore en phase de test, la version bêta n’est disponible qu’aux États-Unis (gratuitement) pour une durée limitée . Il convient également de mentionner que l’extension n’est pas disponible pour les versions mobiles de Firefox et qu’il faut passer nécessairement par un ordinateur pour l’utiliser.

Source: Mozilla