SÉCURITÉ - Branle-bas de combat chez les éditeurs d’antivirus Gozi : un cheval de Troie ingénieux et auto-activable

Le cheval de Troie Gozi, de fabrication russe, ne fera probablement pas couler autant d’encre que son acolyte Kardphisher, dont le renom tient uniquement à son aptitude à se travestir en une mise à jour du système WGA de Microsoft (Windows Genuine Advantage). Il aura néanmoins provoqué le branle-bas de combat parmi les éditeurs d’antivirus, spéculant sur l’apparition imminente d’une génération de codes malveillants faisant appel au social engineering, à l’image de Kardphisher. Le troyen Gozi, qui n’en est déjà plus à sa première version puisque la souche daterait de janvier, circule sur Internet depuis le 17 avril. Spécialisé dans le vol de données, il aurait d’ores et déjà abusé plus de 2 000 utilisateurs (5 200 selon SecureWorks qui serait remonté jusqu’au serveur stockant le butin). Parmi les informations compromises figurent des numéros de comptes bancaires et de cartes de crédit, sans oublier le code de sécurité réclamé pour valider une transaction, ou bien encore des numéros de Sécurité sociale et des identifiants de connexions à des services en ligne. Gozi dispose pour mener ses exactions de certaines aptitudes particulièrement efficaces. Le cheval de Troie comporte en effet deux améliorations techniques majeures par rapport à ses prédécesseurs. Tout d’abord, et c’est ce qui le rend virulent, c’est sa capacité à se protéger d’une détection antivirale par signatures en cryptant, modifiant, compressant, voire en effaçant des portions de son code. D’après SecureWorks, qui a découvert Gozi, seuls certains moteurs antivirus (15 sur les 30 testés) parviendraient à détecter sa présence. Quant à savoir lesquels, le spécialiste de la sécurité n’a communiqué aucun nom. Si Gozi s’avère réellement représenter une innovation en matière de code malveillant, les éditeurs ne devraient pas tarder à se déclarer aptes à identifier sa présence. Seconde aptitude de Gozi : ses fonctionnalités de keylogger ou d’enregistreur de frappes clavier qui lui permettent ainsi de dérober des identifiants de connexions et des informations sensibles. La particularité ne tient toutefois pas à ce seul composant, mais à sa capacité à s’activer lorsque l’utilisateur navigue sur un site de banque en ligne ou initie une session sécurisée SSL. La session achevée, Gozi se remet en sommeil. Une session chiffrée SSL amorcée, Gozi parvient donc néanmoins à dérober les données dans les flux SSL, puis à les acheminer vers un serveur situé en Russie et administré par un prestataire de services d’origine panaméenne. Le serveur a depuis été déconnecté par le prestataire. Pour infecter les ordinateurs, Gozi tire profit d’une vulnérabilité, désormais corrigée, dans Internet Explorer. D’après les spécialistes, les internautes auraient été contaminés en visitant des sites Web hébergeant le cheval de Troie. Quant au serveur hébergeant dans son cache les données dérobées, il était géré par un groupe russe baptisé 76Service. Celui-ci n’aurait toutefois pas développé lui-même le programme malveillant, mais l’aurait acheté auprès d’une autre équipe de pirates : le HangUp Team.