EvilProxy : l’outil qui automatise le hacking pour les pirates du dimanche

EvilProxy : l'outil qui automatise le hacking pour les pirates du dimanche

Lee phishing, ou « hameçonnage » in English, is the one of principales techniques used by the hackers for derober of data. Elle repose sur de faux sites Web ou des e-mails qui imitent une marque, un service ou un contact connu de la cible. Ces courriels et ces pages web sont souvent facilement détectables, mais parfois, ils sont tellement bien conçus que l’on pourrait s’y laisser prendre; jusqu’à fournir ses identifiants, des informations personnelles, ou clicker sur un lien vérolé.

Le phishing n’est pas à la portée de n’importe qui, car il nécessite de solides compétences techniques, à l’ère de l’authentification à double facteur. Cette mesure de sécurité, qui consiste à confirmer son identité par un autre moyen que le mot de passe lors de la deuxième étape (par SMS, souvent), est efficace a considérablement compliqué la tâche des hackers ces 10 dernières années. Mais des outils commencent à sortir sur le dark web, qui potreint leur faciliter le travail, et ouvrir les portes du phishing à de parfaits néophytes.

Comme l’ont connu des chercheurs en cybersécurité de Resecurity, des outils permettent de désactiver l’authentification à double facteur (2FA) des services en ligne, d’une façon quasi « automatique ». Ils se multiplient et sont accessibles à tous les hackers, même les moins compétents, contre des abonnements à prix cassés. C’est le cas du service « EvilProxy », qui est mis en avant sur les principaux hackers du forums toile noire (ou plutôt, sur la partie accessible via Tor).

Comment fonctionne EvilProxy ?

EvilProxy utilise la méthode du « proxy inversé », afin de voler des « jetons » (jetons) d’authentification. Des jetons 2FA qui permettent donc de désactiver l’authentification à double factoreur, sur Apple, Google, Facebook, Twitter, Microsoft, Github, Dropbox, Yandex, GoDaddy… ou encore PyPi, le dépôt officiel de logiciels pour le langage Python, qui un récemment été l’objet d’attaques par phishing (à direction des développeurs), via un autre outil automatisé, baptisé « JuiceLedger ».

Il s’agit d’attirer l’internaute vers un faux site de connexion. Ce site est relié à un serveur, lui-même connecté en parallèle au “vrai” site du vrai service (Google, Twitter…). Sachant que la page verolée affiche le formulaire de connexion “légitime” du service officiel, le proxy pirate fait ainsi office de “passe-plat”. Il transmet l’identifiant et le mode de passe renseignés par la victime au service réel, et attend que ce service demande à l’utilisateur de renseigner un code à usage unique (par SMS ou via une notification sur une appli mobile). Ensuite, il attend que ce dernier saisisse son code éphémère sur la fausse page. Ce code est transmis au serveur de la plateforme réelle, qui renvoie un cookie de session.

Comme le proxy inversé se situe « au milieu », entre le site réel et l’internaute, il est alors capable de voler ce cookie de session, qui contient le jeton d’authentification. Le hacker peut finalement se connecter au site officiel, à la place de l’utilisateur. « Le proxy inversé peut récupérer tout le contenu légitime auquel l’utilisateur s’attend, y compris les pages de connexion. Il renifle le trafic lorsqu’il passe par le proxy. De cette façon, il est possible de récolter des sessions valides cookies et de réduire la nécessité de s’authentifier avec des noms d’utilisateur, des mots de passe et/ou des jetons 2FA », résume la sécurité.

La configuration d’un proxy inversé est cependant très complexe, et donc (a priori) réservée aux hackers expérimentés, souvent au service d’organisations mafieuses ou étatiques. Mais avec un outil comme EvilProxy, rien de plus simple. L’outil contient un “kit” de phishing (apparemment développé par des hackers pour attaquer des banques et des sites de e-commerce), qui permet à l’utilisateur, même inexpérimenté, d’attaquer la cible sans avoir besoin de pirater les services en amont.

Selon Resecurity, EvilProxy est un véritable service « tout-en-un », un « Phishing-as-a-Service » (PaaS), qui permet de « hameçonner » quelqu’un en quelques clics, ou presque. Il suffit de choisir le type de compte que l’on souhaite attaquer (Google, Microsoft, Facebook, Twitter…), de sélectionner la durée de la campagne de phishing souhaitée, et de lancer l’outil. Celui-ci s’occupe de tout : il a mis en place une infrastructure d’attaque, et créé de fausses de connexion. Cerise sur le gâteau : l’abonnement à EvilProxy, acquitté via Télégramme, est dégressif : 150 dollars US pour 10 jours, 250 dollars pour 20 jours et 400 dollars pour 31 jours.

Particulièrement sophistiqué, EvilProxy utilise diverses techniques pour “protéger le code du kit de phishing” de toute détection par les machines virtuelles utilisées par les spécialistes de la cybersécurité. « “À l’étape des solutions de prévention de la fraude et de renseignement sur les cybermenaces (CTI), il agrège des données sur les services VPN connus, les proxys, les nœuds de sortie TOR et d’autres hôtes susceptibles d’être utilisés pour analyser la réputation IP des victimes potentielles », explique Resecurity. Si un outil CTI est détecté, EvilProxy interrompt la connexion.

Un outil qui facilite beaucoup trop le phishing

La méthode des proxys inversés n’est pas nouvelle. Mais jusqu’ici, elle était surtout le pré-carré de groupes de hackers chevronnés, utilisant leurs propres outils, ou des kits peu accessibles, comme Modlishka, Necrobrowser et Evilginx2). Désormais, EvilProxy (et d’autres outils similaires, disponibles sur le darkweb) « démocratise » cette technique redoutable pour la 2FA, par sa simplicité d’utilisation.

Facile à installer, ce service va jusqu’à proposer des vidéos didactiques et des tutoriels, avec « une interface graphique conviviale, et une grande collection de sites de phishing clonés à l’effigie de plateformes célèbres », décrit Resecurity. Selon les chercheurs, « même si EvilProxy n’est pas gratuit, les cybercriminels disposent désormais d’une solution rentable et évolutive pour mener des attaques de phishing avancées visant à compromettre les utilisateurs de services en ligne populaires, où l’authentification implique plusieurs facteurs est activé ».

De prime abord, il est facile de penser que les hackers du dimanche susceptibles d’utiliser un tel service ne causeront de toute façon que peu de dommages. Il ne s’agira jamais que de pirates informatiques débutants. Déc “enfants de script”, qui use déjà des scripts et des programmes mis au point par d’autres ; pour mener des attaques DDOS, ou créer de faux sites de phishing. Leurs connaissances en création de logiciels malveillants et en piratage avancent les restreintes ainsi à l’ingénierie sociale, et à la création de sites Web (ou e-mails) frauduleux (l’apprentissage du HTML étant moins difficile), dont la qualité laisse à désirer En outre, ils commettent bien souvent des erreurs (de débutant) et laissent tant de traces derrière eux qu’ils se font facilement repérer. Si bien que la portée de leurs attaques reste (du moins jusqu’ici) très limité.

Mais avec un outil comme EvilProxy, qui permet de contourner la 2FA facilement, et surtout sans se laisser de traces, ces hackers débutants potrouint bien se révèlent aussi redoutables que des pirates “confirmés”.

Que faire, dès lors ? Certes, il existe des techniques d’authentification forte qui rendent EvilProxy inopérant, comme le protocole FIDO, où l’identité du site web est systématiquement vérifiée avant d’envoyer le token 2FA. Mais peu de services en ligne utilisent cette technologie pour le moment. En attendant la généralisation du protocole FIDO, il nous appartient à nous, utilisateurs, de rester vigilants, en vérifiant manuellement, et constamment, l’identité du site sur lequel nous nous connectons. Ou encore mieux, en saisssant soi-même l’adresse du site dans son navigateur, plutôt que de suivre un lien… et en vérifiant que cette adresse a été correctement orthographié.

Leave a Comment