Ayant pris connaissance d'une page web avec un contenu "suspect", j'ai pu remarquer un comportement plus étrange. Le site était censé être un site de blog ou apparenté, mais la page ne donnait pas du tout le même contenu en fonction de si elle était surfée depuis un mobile (tablette ou mobile) ou un poste fixe (desktop). Donc la page d'arnaque, une alerte que la Chine allait soi-disant utiliser une crypto-monnaie comme monnaie principale, ne s'affichait que sur les mobiles.

L'analyse technique

L'identification du type de navigateur du client, pour afficher un contenu hybride différencié, devait se faire via le paramètre "User Agent" du navigateur. Paramètre qui n'est normalement pas modifiable par l'utilisateur. Mais le navigateur Brave sur Android permet l'option "Version pour ordinateur", qui modifie notamment le paramètre "User Agent" pour se faire passer pour un navigateur desktop. L'utilisation de cette option permet en effet d'afficher les 2 versions de la même page et de voir ce contenu "hybride" différencié. Voici les 2 printscreens, on peut vérifier que l'url de page affichée est bien la même :

De plus, la page d'arnaque usurpe l'identité du media financier Forbes. Dans le texte on trouve aussi sans doute de faux dires du milliardaire Richard Branson (de plus écrit avec une erreur "Bronson", vraisemblablement volontaire ...?).

Ci-dessous le printscreen de l'option de menu du navigateur Brave sur Android, pour obtenir l'un où l'autre des contenus.

Mais l'utilisation forcée du "User Agent" pour récupérer la page depuis une ligne de commande sur un desktop (i.e. par exemple "curl" ou "wget") ne fonctionnait pas. Si on modifiait avec un "User Agent" Android, la page "normale" (non arnaque) était retournée, ou parfois même aucune donnée. Pour cela il fallait récupérer tous les paramètres d'en-tête de requête utilisés par un vrai navigateur Brave Android et modifier toutes les en-têtes du client ligne de commande pour se faire passer quasi à l'identique d'un vrai navigateur Android. Donc le site de blog, avait un code assez poussé pour analyser l'ensemble des paramètres du client et non pas seulement le simple paramètre "User Agent" de la requête reçue par le client pour tenter de l'identifier.

Ceci permettant de récupérer la page finale d'arnaque, celle-ci est une modification du site, avec un simple tage html "iframe" pointant sur un site très différent du site dot-quantum.com de départ. Il n'est pas aisé de savoir d'ailleurs si le site "dot-quantum.com" est un vrai site de blog qui a été piraté pour y insérer un détournement de redirection d'arnaque, où si c'est un vrai site contrôlé par des arnaqueurs, déguisé en faux site de blog, mais créent la redirection d'arnaque que pour certaines victimes mobiles ...?

Ce-dessous voici l'analyse via le site url-scan de l'arnaque :

https://urlscan.io/result/537ea895-42c0-4619-92dd-c35aac75d2a9/

On trouve dans une discussion reddit datant de 22 jours, le même genre de discussion sur la même arnaque avec un contenu différencié. Mais il semble que le niveau d'identification via le simple "User Agent" ait été modifié depuis ...?

https://www.reddit.com/r/JimBrowningOfficial/comments/livcn7/url_leads_to_scam_website_only_when_accessed_from/

Implications sociales

Il s'agit d'une arnaque vue plusieurs fois ces derniers temps, notamment dans de fausses crypto-monnaies pour tenter de voler des investisseurs trop naïfs. Mais le fait de différencier ici l'arnaque affichée que pour les utilisateurs mobiles a un effet pernicieux encore plus grand. Les fraudeurs savent très bien que la majorité des "utilisateurs lambda" surfent de plus en plus sur le net avec des mobiles. Mais les professionnels, administrateurs systèmes, développeurs, responsables sécurité, eux vont préférer et utiliser des ordinateurs desktop. Ceci permet donc de "cacher" l'arnaque, aux professionnels pouvant l'analyser et dévoiler publiquement la supercherie, et de ne cibler au contraire que les utilisateurs avec un faible niveau de connaissance technique, étant de plus en plus majoritaires dans les surfs mobiles. De plus si un utilisateur utilise d'abord son mobile puis son ordinateur de bureau, il ignorera sans doute la seconde page "normale" en croyant que le site a simplement changé. L'arnaque uniquement pour mobile a encore un autre avantage. Sur le mobile il n'est pas aisé d'afficher les code html des pages et d'y faire des analyses. En ne ciblant les arnaques que sur les mobiles, ou autres infections virales du genre, on limite ainsi la trop grande rapidité des professionnels de sécurité de repérer et analyser ces contenus. On augmente ainsi le potentiel de "nuisance impunie" des contenus malveillants.

Concernant la mouvance vers les mobiles, elle est notamment poussée par des grandes entreprises et notamment instituts financiers vantant de plus en plus l'utilisation de la "finance mobile" ou "banque mobile". Les arnaqueurs ont ici très bien compris ce phénomène, et cerné aussi comment l'utiliser à leur avantage. L'écosystème des mobiles devient donc beaucoup plus attractif pour y répandre des arnaques virales. La viralité des diffusions via les mobiles et tous les logiciels de communication qu'on y trouve (skype, whatsapp, telegram, etc...) augment encore la capacité des mobiles à devenir des plates-formes d'harponnage de choix. Et ce choix différencié de contenu pour le mobile est bien là pour montrer ce problème de manière flagrante.

Des débouchés pernicieux pourraient augmenter si cette méthode se répand de plus en plus dans les arnaques ...? En effet on peut imaginer des sites d'arnaques, ou plus méchamment tentant de détourner des jeunes ou mineurs qui sont plus grands utilisateurs des mobiles, et les parents qui surveillent leurs enfants mais en se servant d'ordinateurs desktop familiaux ne verraient pas les arnaques qui ne seraient que ciblées contre les jeunes victimes ...? Ici la différenciation de "contenus hybride" du web peut avoir des impacts dommageables sociaux encore plus nuisibles. Le discours global des entreprises tentant de minimiser l'insécurité sur les mobiles, ne créant qu'un flou qui augmente encore ces dommages potentiels.

Avec l'explosion de la pandémie mondiale du coronavirus, se répand en outre le désir légitime de maîtriser sa propagation, mais aussi celui d'essayer de le simuler et de contrôler les populations qui sont à la source de son accélération. Dans cette dernière démarche la technologie est vue comme le « sauveur » inespéré. Malheureusement des courses technologiques développées dans l'extrême hâte peuvent engendrer d'autres dégâts tout aussi graves que le problème de départ qu'on essaye de combattre.

À ce titre plusieurs projets d'applications mobiles se sont développés comme moyens de surveiller la propagation du coronavirus. Certaines de ces applications mobile ne sont que des relais de données statistiques et cartes géographiques, ou d'autres ne gèrent que les questions-réponses concernant la maladie. Ce ne sont pas ces applications-ci dont je parle ici, mais bien les applications mobiles oeuvrant dans la simulation ou le tracking des contaminations. Très vite la surveillance via mobile des citoyens, est devenue un problème de vie privée. Alors a émergé un protocole qui semblait moins intrusif : le Bluetooth. Sur le plan de la protection de la vie privée c'est peut-être le cas, mais certainement pas sur le plan des risques informatiques.

En Europe le projet PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) a émergé, notamment lié à l'EPFL. Tous les gouvernements semblent courir vers ce projet ou des projets similaires : la Suisse, l'Allemagne, l'Angleterre avec une application spécifique du NHS, l'Autriche avec « Stopp Corona », en France plusieurs projets semblent se lancer dans la course, à Singapour est sortie précédemment l'application TraceTogether. La liste ci-dessus n'est sans doute pas exhaustive.

Même si des avis opposés semblent se dresser sur le problème de la vie privée, très peu parlent du problème des failles de sécurité. En 2019 de nombreuses failles de sécurité sont sorties concernant le protocole Bluetooth notamment SweynTooth concernant un grand nombre de devices notamment médicaux, ou l'attaque KNOB concernant les mobiles Apple avec plus de 1.4 milliards de mobiles vulnérables à l'époque de sa sortie.

Mais plus récemment, est sortie début février 2020, la faille critique BlueFrag concernant les mobiles Android, avec plus de 42 % de mobiles Android vulnérables soit 1 milliard de mobiles vulnérables estimé début mars. Cette faille-ci est sans doute la plus problématique concernant les applications de tracking Coronavirus via Bluetooth. Notamment parce que cette faille est « wormable » c'est à dire pouvant amener des infections automatiques de malwares à de nombreuses victimes et ce sans interaction nécessaire de l'utilisateur. Concernant cette faille, du code ProofOfConcept est déjà disponible permettant aux développeurs de malwares de s'en inspirer pour tenter de monter des attaques.

De plus 2 autres aspects fond perdurer le nombre d'appareils Android vulnérables au cours du temps. Même si Google a publié un correctif, les autres fabricants ont 90 jours disponibles avant d'être obligés d'appliquer un correctif. Les fabricants de mobiles ne sont aussi pas obligés de fournir des correctifs pour des mobiles au-delà de 2 ans d'ancienneté. Les mobiles de version Android 8 ayant l'exploitation de cette faille la plus critique, ayant plus de 2 ans d'ancienneté, n'auront donc sans doute jamais un correctif de vulnérabilité. Ces aspects rendant la taille de l'écosystème Android vulnérable très grande au cours du temps.

Quelques rares articles concernant les applications mobiles de tracking Bluetooth parlent de travail orienté pour réduire les failles de ces applications. Or ces failles , notamment BlueFrag, sont des failles système, donc le niveau de sécurité des applications elles-mêmes ne changeront rien à la porte ouverte aux infections. Une application mobile de simulation d'infection coronavirus utilisant le Bluetooth pour échanger des données nécessitera forcément que la fonction Bluetooth soit activée sur le mobile. Des malwares pourront donc forcément se servir de ce même canal pour leurs contaminations numériques. Et le nombre de victimes potentielles très grand dans un espace de temps très court, sera une aubaine trop importante pour que les développeurs de malwares ne s'en servent pas pour des infections à large échelle.

Autre aspect, le protocole Bluetooth est un protocole local. Donc toute mesure de protection de réseau au sens large mise en place par des entreprises de télécoms ne serviront à rien quant aux risques cités ici. De plus la responsabilité du possesseur du mobile lui-même sera maximum au regard à une contamination potentielle par simple voisinage Bluetooth.

Tous les aspects cités soit, dangerosité d'une faille critique récente (soit BlueFrag), taille conséquente d'un écosystème vulnérable large sur le moyen terme (nombre de mobiles proches du milliard), nombre important d'utilisateurs bénévoles de nombreux pays voulant faire bénéficier la recherche sur le coronavirus permettant les attaques Bluetooth via l'ouverture du canal Bluetooth à cause des applications Coronavirus, mais aussi les gouvernements poussant à ces projets de mesures épidémiologiques, semblent réunir tous les éléments nécessaires pour qu'une épidémie numérique cette fois-ci, puisse se propager rapidement avec un nombre important de victimes et des conséquences larges sur le long terme au niveau des vols de données, des escroqueries, des piratages de moyens de paiement, de comptes bancaires etc.

Avec l'infection grandissante du Coronavirus dans le monde entier les gouvernements prennent les mesures qui semblent de bon sens, hier Emmanuel Macron en France, et tout à l'heure lors d'une conférence de presse, le Conseil Fédéral en Suisse. Dans la plupart des cas, les gouvernements poussent les entreprises à permettre aux employés de faire du télétravail. Les écoles obligatoires et grandes écoles sont fermées, ou partiellement fermées en favorisant les cours à distance.

Ce que l'actualité « standard » ne parle pas ces derniers temps, c'est la montée de manière très agressive des gangs de ransomware, du nombre et de l'étendue des infections, mais cette fois-ci numériques. Plusieurs d'entre eux ces dernières semaines ont commencé à diffuser en ligne des lots de documents volés chez les victimes précédemment à leur infection.

Ces 2 problèmes qui semblent ne pas être liés pourraient l'être plus qu'il n'y paraît. Le travail à distance, donc l'utilisation de VPN, ou d'autres logiciels de partages, va impliquer les environnements informatiques des particuliers. Ceux-ci sont moins sécurisés que les lieux de travail dans les entreprises (firmware de modems, mises à jour d'OS et de logiciels, WIFI publics, usages plus laxistes des réseaux sociaux et services non professionnels etc). Donc le travail à distance favorise aussi la mise en danger numérique des entreprises, surtout quand ceci devient une nouvelle norme sociale poussées par des gouvernements pour toute une société entière.

De plus, l'arrivée ces derniers jours de failles critiques concernant les systèmes Windows, notamment depuis mercredi celle concernant la dernière version du protocole des partages Windows (SMBv3), qui de plus est une faille « wormable », c'est à dire une faille permettant d'infecter un grand nombre de machines et ce sans action nécessaire de l'utilisateur, va peut-être encore aggraver la situation sur le plan numérique. Les semaines précédentes, les failles concernant des systèmes à distance Citrix, ou des VPN de firewall, ont permis la diffusion des ransomwares chez de nombreuses entreprises victimes.

Toutes les circonstances semblent réunies, pour que des changements de comportements, même s'ils sont souhaitables d'un point de vue social, favorisent une étendue d'infections et de piratages numériques. Dans un environnement informatique global, la sécurité au sens large n'est pas suffisante pour protéger numériquement l'arrivée de tous ces changements de comportements, et freiner tous ceux qui s'empresseront d'exploiter l'arrivée de cette manne d'imperfections permettant d'accéder à de nombreuses nouvelles victimes.

Les rapports récents montrent une très forte croissance des attaques de mobiles. Plus de 5 millions de packages malveillants installés sur les mobiles avec de nombreuses techniques d'attaques (DNS hijacking, SMS spam, Droppers, Banking Trojan ...). Le nombre d'attaques utilisant un logiciel mobile malveillant a doublé par rapport à l'année passée, soit 116 millions d'attaques. Les Trojans bancaires (chevaux de Troie) ont aussi été multiplié par 1,6.

"Users of mobile devices in 2018 faced what could be the strongest cybercriminal onslaught ever seen."

Kapsersky, Mobile malware evolution 2018

Concernant les attaques purement financières sur le mobile les éléments sont même plus dramatiques. En 2018 le nombre de malwares bancaires Android installé était de 1.8 millions. Ce nombre a triplé par rapport à 2017. Dans le même ordre, les attaques de Phishing prolifèrent de plus belle.

Kapsersky, Financial Cyberthreats in 2018

De l'autre côté les banques en suisse, continuent avec énergie les campagnes marketing vantant les avantages de l'ebanking mobile, dans un discours qui se veut jovial pour ne pas dire euphorisant ...

• UBS
• Crédit Suisse
• Raiffeisen
• Banque Cantonale de Zurich
• HSBC
• BNP Paribas
• Banque Cantonale Vaudoise
• Banque Migros
• Julius Bär
• Pictet
• ...

Pourquoi un tel discours "insouciant" en dépit des risques croissants sur le mobile ? Est-ce que la pression de la concurrence et de la nécessité de services mobile "comme les autres" est plus forte que toute décision basée sur la prudence ?

Est-ce que les personnes du marketing responsable de la promotion du mobile oublient que lorsqu'un mobile est compromis par un malware ce n'est pas juste une application qui est compromise mais toute la plate-forme mobile, avec des risques de récupération des fichiers caches, interception de communication, redirection de trafics, phishing de sites bancaires, copies d'écrans de données confidentielles, vol de documents etc ...

Vraie campagne de publicité : Voir

Fausse application : Lire

(no comment ...)

Principalement durant l'année 2014, j'ai passé une longue période sur un travail d'analyse de l'écosystème des antivirus et de celui des malwares (logiciels malveillants, « virus » informatiques). Cet article est le compte-rendu de cette analyse.

Télécharger l'article