What is a Backdoor Attack?

En cybersécurité, une porte dérobée est un moyen de contourner les systèmes de sécurité existants d'une organisation. Bien qu'une entreprise puisse avoir mis en place diverses solutions de sécurité, il peut exister des mécanismes qui permettent à un utilisateur légitime ou à un pirate de les contourner. Si un pirate peut identifier ces portes dérobées et y accéder, il peut pénétrer dans les systèmes de l'entreprise sans être détecté.

Lire le rapport de sécurité Planifier un démo

Comment fonctionne une porte dérobée ?

Chaque système informatique dispose d'un moyen officiel par lequel les utilisateurs sont censés y accéder. Il s'agit souvent d'un système d'authentification dans lequel l'utilisateur fournit un mot de passe ou un autre type de justificatif pour prouver son identité. Si l'utilisateur s'authentifie avec succès, il se voit accorder l'accès au système avec des autorisations limitées à celles attribuées à son compte particulier.

While this authentication system provides security, it can also be inconvenient for some users, both legitimate and illegitimate. A system administrator may need to gain remote access to a system that is not designed to allow it. An attacker may want to access a company’s database server despite lacking the credentials to do so. The manufacturer of a system may include a default account to simplify configuration, testing, and deployment of updates to a system.

Dans ce cas, une porte dérobée peut être insérée dans un système. Par exemple, un administrateur système peut mettre en place un shell web sur un serveur. Lorsqu'ils veulent accéder au serveur, ils se rendent sur le site approprié et peuvent envoyer des commandes directement au serveur sans avoir à s'authentifier ou à configurer les politiques de sécurité de l'entreprise pour accepter un protocole d'accès à distance sécurisé tel que SSH.

Comment une porte dérobée est-elle utilisée par les pirates ?

Une porte dérobée permet d'accéder à un système en contournant les mécanismes d'authentification normaux d'une organisation. Les cybercriminels, qui n'ont théoriquement pas accès aux comptes légitimes sur les systèmes d'une organisation, peuvent l'utiliser pour accéder à distance aux systèmes de l'entreprise. Grâce à cet accès à distance, ils peuvent voler des données sensibles, déployer des logiciel rançonneur, logiciel espionou d'autres logiciel malveillantet entreprendre d'autres actions malveillantes sur le système.

Souvent, les portes dérobées sont utilisées pour fournir à un attaquant un accès initial à l'environnement d'une organisation. Si un administrateur système ou un autre utilisateur légitime a créé une porte dérobée sur le système, un attaquant qui découvre cette porte dérobée peut l'utiliser à ses propres fins. Par ailleurs, si un attaquant identifie une vulnérabilité qui lui permettrait de déployer sa propre porte dérobée sur un système, il peut alors utiliser cette porte dérobée pour étendre son accès et ses capacités sur le système.

Types de portes dérobées

Les portes dérobées peuvent se présenter sous différentes formes. Voici quelques-uns des types les plus courants :

  • Trojans: La plupart des portes dérobées logiciel malveillant sont conçues pour contourner les défenses d'une organisation, permettant ainsi à un pirate de s'introduire dans les systèmes de l'entreprise. C'est pourquoi ils sont communément chevaux de Troiequi se fait passer pour un fichier bénin ou souhaitable alors qu'il contient des fonctionnalités malveillantes, telles que la prise en charge de l'accès à distance à un ordinateur infecté.
  • Portes dérobées intégréesLes fabricants d'appareils peuvent inclure des portes dérobées sous la forme de comptes par défaut, de systèmes d'accès à distance non documentés et d'autres caractéristiques similaires. Bien que ces systèmes soient généralement destinés à l'usage exclusif du fabricant, ils sont souvent conçus pour être impossibles à désactiver et aucune porte dérobée ne reste secrète pour toujours, ce qui expose ces failles de sécurité aux attaquants.
  • Web Shells : Un shell web est une page web conçue pour recevoir des données de l'utilisateur et les exécuter dans le terminal du système. Ces portes dérobées sont généralement installées par les administrateurs de systèmes et de réseaux afin de faciliter l'accès à distance et la gestion des systèmes de l'entreprise.
  • Exploits de la chaîne d'approvisionnement : L'application Web et d'autres logiciels intègrent souvent des bibliothèques et du code de tiers. Un pirate peut incorporer un code de porte dérobée dans une bibliothèque dans l'espoir qu'elle soit utilisée par une entreprise ( application), ce qui permet d'accéder par une porte dérobée aux systèmes qui utilisent le logiciel.

Comment prévenir une attaque par porte dérobée

Voici quelques bonnes pratiques pour se protéger contre l'exploitation des portes dérobées :

  • Modification des informations d'identification par défaut : Les comptes par défaut font partie des types de portes dérobées les plus courants. Lorsque vous configurez un nouvel appareil, désactivez les comptes par défaut si possible et, si ce n'est pas le cas, changez le mot de passe pour un autre que celui par défaut.
  • Déployer les solutions de sécurité des postes : Les portes dérobées sont généralement mises en œuvre sous la forme de chevaux de Troie logiciels malveillants. Un Sécurité des postes peut détecter et bloquer les logiciels malveillants connus ou identifier de nouvelles menaces sur la base d'un comportement inhabituel.
  • Surveillance du trafic sur le réseau : Les portes dérobées sont conçues pour fournir un accès à distance aux systèmes par des moyens alternatifs qui contournent les systèmes d'authentification. La surveillance d'un trafic réseau inhabituel peut permettre de détecter ces canaux clandestins.
  • Analyse de l'application Web : Les portes dérobées peuvent être déployées sous forme de shells web ou intégrées dans des bibliothèques ou des plugins tiers. Une analyse régulière de la vulnérabilité peut aider à identifier ces portes dérobées dans l'infrastructure web d'une organisation.

Prévenir les attaques par porte dérobée avec Check Point

Les portes dérobées permettent aux attaquants d'accéder sans autorisation aux systèmes d'une organisation. Pour en savoir plus sur cette menace et d'autres cybermenaces importantes, consultez le site de Check Point. 2023 Cyber Security Report.

Check Point Harmony Endpoint assure la prévention des menaces et la détection de nombreux types de logiciels malveillants, y compris les portes dérobées. Pour en savoir plus sur les capacités d'Harmony Endpoint, cliquez sur les liens suivants s'inscrire à un démo gratuit aujourd'hui.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK