Qu’est-ce qu’un “dropper”, ce minuscule facilitateur de cyberattaques?

© getty

Pierre angulaire de nombreuses cyberattaques, les “droppers” sont au cœur du dernier coup de filet international d’Europol contre des logiciels malveillants, annoncé jeudi, qui a conduit à plusieurs arrestations et à la mise hors ligne d’une centaine de serveurs.

Ces logiciels, peu connus du grand public, ont facilité les cyberattaques d’entreprises, d’autorités et d’institutions nationales, occasionnant des centaines de millions d’euros de dommages. Mais de quoi s’agit-il?

Qu’est-ce qu’un “dropper”?

Un “dropper”, aussi appelé programme injecteur, est un logiciel qui a pour fonction principale “d’ouvrir la porte à d’autres logiciels malveillants”, explique à l’AFP Jérôme Saiz, expert en cybersécurité et fondateur de la société OPFOR Intelligence. Mais “ce n’est pas lui qui réalise l’action malveillante”, précise-t-il.

Petit, léger, façonné pour passer inaperçu et tromper les antivirus, ce logiciel peut arriver sur l’ordinateur d’un internaute qui clique sur une publicité malveillante, navigue à son insu sur un site malveillant ou même télécharge une application légitime dans laquelle il se cache. Ils peuvent aussi être déposés sur un ordinateur via des courriels avec des liens infectés ou des pièces jointes Word et PDF, indique l’agence judiciaire européenne Eurojust.

“C’est au moment de l’installation du logiciel que la charge virale se déclenche” et qu’on “ouvre la poupée russe”, détaille Jean-François Beuze, président de la société de cybersécurité Sifaris.

Comment ça fonctionne?

Une fois installé, le “dropper ouvre le champ des possibles aux pirates”, souligne Jérôme Saiz. Soit il est autonome et embarque déjà avec lui des logiciels malveillants, soit il va chercher des logiciels malveillants sur internet, faciliter leur installation et leur activation.

Cela peut être un rançongiciel, qui exploite des failles de sécurité d’une entreprise ou d’un individu pour chiffrer et bloquer ses systèmes informatiques, exigeant une rançon pour les débloquer, mais aussi “un logiciel qui va miner du bitcoin (valider des transactions en cryptomonnaie, NDLR) ou encore un logiciel qui va intercepter des mots de passe”, énumère M. Saiz.

Dans le cas de l’opération d’Europol, les droppers ciblés sont associés à au moins 15 groupements de rançongiciels, dont certains ont été utilisés pour rançonner des hôpitaux et centres de santé aux États-Unis pendant la pandémie de Covid-19. “Les attaquants font ça parce que ça leur permet, grâce à un seul petit logiciel, d’installer de manière très modulaire et granulaire ce qu’ils veulent”, poursuit-il. Sa mission accomplie, le dropper peut “se supprimer totalement de votre machine”, note Jean-François Beuze.

Comment s’en prémunir?

Si les grandes entreprises ont des systèmes de détection d’activités malveillantes assez poussés, notamment avec de l’intelligence artificielle, qui leur permettent de se prémunir contre les droppers, c’est beaucoup plus compliqué pour les petites entreprises, remarque M. Beuze.

Les deux experts saluent ainsi l’opération d’Europol qui a permis de déstabiliser un écosystème criminel difficile à appréhender. “Le réseau de droppers est un morceau de l’infrastructure qui facilite la vie de plein groupes de cybercriminels”, relève Jérôme Saiz. En s’attaquant à cet outil, les forces de l’ordre “créé un effet de levier” qui “coupe l’herbe sous le pied des attaquants avec un maximum de flexibilité”, conclut-il.

Partner Content