Aperçu de la situation

  • En 2023, 70 % des organisations ont déclaré avoir découvert au moins une porte dérobée sur leurs systèmes (source : Cybersecurity Ventures).
  • Les portes dérobées ont été impliquées dans 30 % de toutes les violations de données en 2023 (source : Verizon Data Breach Investigations Report).

Les portes dérobées constituent une menace critique en matière de cybersécurité, car elles permettent aux attaquants de contourner les défenses standard et d'accéder secrètement aux systèmes. Contrairement aux attaques frontales qui déclenchent des alarmes évidentes, une porte dérobée est un point d'entrée caché qui contourne les contrôles normaux d'authentification et de sécurité. Une fois insérée, une porte dérobée peut accorder un accès persistant et de haut niveau à des utilisateurs non autorisés, permettant le vol de données, la surveillance et d'autres attaques, tout en restant souvent non détectée pendant de longues périodes. Ce rapport fournit une vue d'ensemble approfondie des portes dérobées pour les professionnels de la cybersécurité - couvrant les définitions, les fondements techniques, les types de portes dérobées, les exemples historiques d'attaques, les techniques de détection et les meilleures pratiques pour la prévention et l'atténuation (y compris les plates-formes modernes comme Vectra AI pour la détection avancée des menaces). L'objectif est de doter les équipes de sécurité d'une connaissance approfondie des menaces et des défenses contre les portes dérobées.

Qu'est-ce qu'une porte dérobée (définition et explication technique) ?

En cybersécurité, une porte dérobée est généralement définie comme une méthode secrète permettant de contourner l'authentification ou la sécurité normale d'un système, d'un réseau ou d'un logiciel, et d'accorder ainsi à l'attaquant un accès à distance non autorisé. Par essence, elle fonctionne comme une "trappe" secrète dans un logiciel ou un matériel : une entrée alternative qui n'est pas protégée par les mécanismes de sécurité habituels. Les portes dérobées peuvent être introduites intentionnellement (par exemple par des développeurs ou des initiés malveillants) ou par inadvertance (par le biais de vulnérabilités ou de mauvaises configurations).

Mécanismes techniques

Une porte dérobée peut prendre de nombreuses formes techniques. Il peut s'agir d'une section de code cachée dans une application, d'un programme malveillant distinct fonctionnant avec des privilèges élevés, d'une modification du micrologiciel ou même d'un compte secret intégré dans un système d'exploitation . Certaines portes dérobées sont aussi simples qu'un malware qui ouvre un port réseau en écoute pour accepter des commandes, tandis que d'autres sont plus subtiles - par exemple, les portes dérobées cryptographiques qui affaiblissent intentionnellement les algorithmes de chiffrement. Dans le cas notoire de Dual_EC_DRBG, le générateur de nombres aléatoires a été conçu avec une relation cachée entre ses constantes cryptographiques ; un attaquant qui connaissait le secret pouvait prédire tous les futurs nombres "aléatoires" qu'il produisait , subvertissant ainsi efficacement la sécurité du chiffrement. Ce type de porte dérobée algorithmique montre comment même des composants mathématiques peuvent être détournés pour compromettre la sécurité.

Installation et persistance

Les attaquants installent des portes dérobées par diverses méthodes. Les vecteurs les plus courants sont les malware de Troie diffusés par phishing ou par téléchargement, l'exploitation de vulnérabilités logicielles non corrigées, l'utilisation abusive d'informations d'identification par défaut ou la compromission de la chaîne d'approvisionnement par l'insertion d'un code malveillant lors du développement d'un logiciel ou de la distribution d'une mise à jour. Une fois installée, une porte dérobée établit généralement une persistance (par exemple en modifiant les scripts de démarrage ou le micrologiciel) pour survivre aux redémarrages et aux mises à jour. De nombreuses portes dérobées utilisent également des techniques furtives (comme les rootkits qui cachent des processus ou se font passer pour des services légitimes) pour éviter d'être détectées. Avec une porte dérobée en place, les attaquants peuvent généralement exécuter des commandes avec des privilèges élevés, surveiller l'activité des utilisateurs, exfiltrer des données et même se propager latéralement à d'autres systèmes - tout en contournant les contrôles de sécurité normaux et en restant souvent remarquablement difficiles à détecter.

Types de portes dérobées

Les portes dérobées peuvent être classées en fonction de la couche ou du composant qu'elles ciblent. Vous trouverez ci-dessous les principaux types de portes dérobées, chacun présentant des caractéristiques et des risques distincts :

Portes dérobées au niveau du système

Ces portes dérobées opèrent au niveau du système d'exploitation ou du noyau, ce qui permet souvent à l'utilisateur d'avoir le contrôle de la machine cible en tant que root ou administrateur. Elles peuvent être introduites via des rootkits - des malware furtifs qui s'accrochent au noyau du système d'exploitation pour dissimuler leur présence. Les portes dérobées au niveau du système peuvent également prendre la forme de comptes utilisateurs OS non documentés ou de services écoutant sur des ports secrets. Parce qu'elles fonctionnent avec des privilèges élevés, elles peuvent être très puissantes et persistantes. Par exemple, une porte dérobée en mode noyau peut intercepter des appels système pour dissimuler des activités malveillantes ou permettre à un attaquant de se connecter avec un mot de passe principal inconnu des utilisateurs légitimes. Ces portes dérobées sont parmi les plus dangereuses car elles sapent effectivement la sécurité fondamentale du système d'exploitation.

Portes dérobées au niveau de l'application

Une porte dérobée au niveau de l'application est un code malveillant intégré dans une application ou un composant logiciel. Les attaquants peuvent modifier une application (ou inciter un développeur à inclure une dépendance altérée) de manière à ce qu'elle contienne une fonctionnalité cachée permettant de contourner l'authentification ou de siphonner des données. Parce que la porte dérobée opère dans le contexte d'une application de confiance, elle peut ne pas être évidente pour les utilisateurs ou les administrateurs. Par exemple, une application web peut avoir un mode "debug" caché ou une interface d'administration (un crochet de maintenance) laissée par les développeurs qui peut être activée comme une porte dérobée. Les portes dérobées d'application sont généralement limitées à la portée de ce logiciel, de sorte que leur impact peut être plus restreint que celui d'une porte dérobée au niveau du système, mais elles présentent toujours des risques sérieux en exposant potentiellement les données sensibles de l'application ou les comptes d'utilisateurs. En particulier, certains malware créent des portes dérobées dans les applications de serveurs web, ce qui permet aux attaquants d'exécuter des commandes sur le serveur par le biais de requêtes HTTP.

Portes dérobées matérielles ou micrologicielles

Il s'agit de portes dérobées placées dans des dispositifs matériels ou des microprogrammes de bas niveau, souvent lors d'attaques de la chaîne de fabrication ou d'approvisionnement. Les portes dérobées matérielles peuvent être extrêmement furtives et persistantes. Il s'agit par exemple de cartes réseau, de routeurs ou de cartes mères modifiées avec une logique cachée qui accepte des commandes spéciales, ou d'implants de microprogrammes dans le BIOS/UEFI ou dans les contrôleurs de périphériques. Parce qu'elles résident sous le système d'exploitation, les portes dérobées matérielles peuvent échapper aux logiciels de sécurité traditionnels. Un exemple historique est la proposition de puce Clipper dans les années 1990 (une puce de cryptage avec une porte dérobée intégrée pour le séquestre des clés gouvernementales). Plus récemment, des malware tels que VPNFilter ont ciblé le micrologiciel des routeurs, installant des portes dérobées qui survivaient aux redémarrages et permettaient aux attaquants d'espionner le trafic réseau. En outre, des inquiétudes ont été exprimées concernant les portes dérobées dans le matériel critique comme les accélérateurs cryptographiques ou les moteurs de gestion (par exemple, le sous-système AMT d'Intel) qui pourraient accorder aux attaquants un contrôle quasi-total s'ils étaient exploités. Les portes dérobées au niveau du matériel sont difficiles à détecter et à supprimer - souvent, la seule solution consiste à remplacer le matériel compromis.

Trojans d'accès à distance (RAT) et outils d'administration à distance

Un RAT est un programme malware qui permet à un attaquant de prendre le contrôle administratif à distance d'un système par le biais d'une porte dérobée. Les RAT se déguisent généralement en fichiers inoffensifs ou en logiciels légitimes, mais une fois exécutés, ils ouvrent un lien de communication secret entre l'attaquant et l'ordinateur de la victime. Cela permet à l'attaquant d'émettre des commandes, de surveiller l'utilisateur (par exemple via l'enregistrement des frappes ou l'activation de la webcam), de voler des fichiers et même de manipuler le système en temps réel. Des RAT tels que Back Orifice (1998), SubSeven et Poison Ivy sont devenus célèbres à la fin des années 90 et dans les années 2000 pour avoir secrètement donné aux pirates un contrôle total sur les machines Windows . Les RAT modernes sont souvent livrés par le biais de courriels d'phishing ou de téléchargements "drive-by" et s'exécutent discrètement en arrière-plan, essayant souvent d'échapper à la détection en imitant le comportement normal d'un processus ou en utilisant le chiffrement pour leur trafic réseau. Les RAT étant essentiellement des portes dérobées (fournissant un point d'accès à distance non autorisé), ils sont un outil courant dans les intrusions. Les professionnels de la sécurité considèrent toute infection détectée par un RAT comme une violation grave en raison de l'étendue du contrôle qu'il confère aux attaquants. (Il convient de noter que les portes dérobées peuvent également être classées d'autres manières, par exemple en fonction de l'intention (portes dérobées de maintenance malveillantes ou légitimes) ou du stade de l'attaque (préinstallation ou post-exploitation). En outre, les portes dérobées cryptographiques méritent d'être mentionnées : il s'agit de faiblesses introduites intentionnellement dans les algorithmes ou les protocoles de chiffrement. Le cas Dual_EC_DRBG évoqué plus loin est un excellent exemple de porte dérobée cryptographique dans un algorithme. Quel que soit le type, toutes les portes dérobées ont en commun un chemin d'accès qui contourne la sécurité normale).

Exemples notables de portes dérobées

Exemples historiques notables d'attaques par porte dérobée Les portes dérobées ont joué un rôle dans de nombreux cyberincidents très médiatisés. Nous présentons ci-dessous plusieurs exemples notables qui illustrent la manière dont les portes dérobées sont implantées et l'impact qu'elles peuvent avoir :

Attaque de Supply Chain SolarWinds "SUNBURST" (2020)

L'incident SolarWinds est l'une des attaques de la chaîne d'approvisionnement les plus tristement célèbres de l'histoire récente. Les attaquants (attribués à l'APT29 russe, alias Cozy Bear) ont compromis le processus de construction du logiciel de gestion informatique Orion de SolarWinds et ont inséré une porte dérobée cachée dans une mise à jour logicielle de routine. Lorsque les clients (plus de 18 000 d'entre eux) ont installé la mise à jour trojanisée, la porte dérobée - surnommée SUNBURST - s'est activée et a permis aux attaquants d'accéder à distance aux réseaux de ces organisations. Cette porte dérobée a été utilisée à des fins de reconnaissance secrète et d'exfiltration de données, et elle est restée indétectée pendant de nombreux mois en 2020. Des cibles de grande valeur comme des agences gouvernementales américaines (Homeland Security, Treasury, etc.) et des entreprises technologiques (Microsoft, FireEye) ont été touchées. La brèche a finalement été découverte par FireEye en décembre 2020 lorsqu'ils ont remarqué un comportement anormal dans leur propre réseau et l'ont tracé jusqu'au logiciel Orion. L'affaire SolarWinds a souligné le danger des portes dérobées dans les logiciels tiers - en exploitant la confiance dans les mises à jour automatiques, les attaquants ont tiré parti d'une seule porte dérobée pour potentiellement infiltrer des milliers d'organisations à la fois.

Porte dérobée de chiffrement Dual_EC_DRBG (2004-2013)

Dual_EC_DRBG est un générateur de nombres pseudo-aléatoires cryptographiques qui a été normalisé par le NIST en 2006 - et dont on a découvert par la suite qu'il comportait une porte dérobée soupçonnée d'avoir été conçue par la NSA. L'algorithme utilise les mathématiques de la courbe elliptique et comprend un ensemble de constantes (points sur une courbe elliptique) qui, si elles sont choisies de manière malveillante, pourraient permettre à quiconque connaît le secret derrière ces constantes de prédire les nombres aléatoires générés. En 2007, des chercheurs ont démontré pour la première fois que les constantes pouvaient être une trappe cachée, permettant de prédire la sortie du RNG après avoir observé un petit échantillon de données de sortie. Malgré ces avertissements, l'algorithme est resté une norme approuvée pendant des années. Des fuites de documents de la NSA en 2013 (les fuites Snowden) ont fortement suggéré que la NSA a délibérément conçu Dual_EC_DRBG pour qu'il soit faible, dans le cadre de son programme Bullrun visant à affaiblir les normes de chiffrement. Il a ensuite été rapporté que RSA Security avait reçu un contrat secret de 10 millions de dollars de la NSA pour utiliser Dual_EC_DRBG comme générateur aléatoire par défaut dans sa bibliothèque cryptographique BSAFE - une décision qui donnerait à la NSA une porte dérobée potentielle dans n'importe quel produit utilisant cette bibliothèque. Une fois cette décision rendue publique, le NIST a retiré Dual_EC_DRBG et les principaux fournisseurs l'ont abandonné. La saga Dual_EC_DRBG est un exemple marquant de porte dérobée au niveau de l'algorithme : un composant ostensiblement sécurisé a été détourné pour permettre à ceux qui sont au courant de briser la sécurité. Elle a soulevé de graves problèmes de confiance dans l'industrie en ce qui concerne l'influence du gouvernement sur les normes.

Porte dérobée ScreenOS de Juniper Networks (2015)

En 2015, Juniper Networks a révélé qu'un code non autorisé avait été trouvé dans ScreenOS (le système d'exploitation de ses pare-feu NetScreen) qui introduisait deux portes dérobées. La première porte dérobée était un mot de passe principal administratif qui permettait aux attaquants de se connecter à distance aux pare-feux avec tous les privilèges. La seconde était une porte dérobée de chiffrement probablement liée à Dual_EC_DRBG : le VPN de Juniper utilisait Dual_EC pour le caractère aléatoire, et les attaquants avaient modifié la constante Dual_EC dans ScreenOS - vraisemblablement pour la remplacer par une constante dont ils connaissaient la clé secrète, ce qui leur permettait de déchiffrer le trafic VPN  . Les chercheurs ont noté qu'il s'agissait d'un "exemple classique" d'exploitation de la faiblesse Dual_EC créée par la NSA . L'incident de Juniper a démontré le danger de l'exploitation de portes dérobées imposées par le gouvernement : même si la NSA n'était pas directement l'attaquant, quelqu'un d'autre a réutilisé la faiblesse pour ses propres activités d'espionnage  . Elle a également mis en évidence la manière dont un acteur sophistiqué peut glisser un code malveillant dans le code source d'un produit (une menace interne/de la chaîne d'approvisionnement), créant ainsi un accès par porte dérobée difficile à détecter. Juniper a rapidement publié des correctifs pour supprimer le code malveillant, mais l'incident a soulevé de nombreuses questions quant à l'intégrité de ses processus de sécurité du code.

Orifice arrière (1998)

Mauvaise utilisation d'un outil d'administration à distance : Back Orifice a été publié en 1998 par un groupe de pirates informatiques (Cult of the Dead Cow) en tant qu'outil "légitime" d'administration à distance pour Windows, mais il est rapidement devenu tristement célèbre en tant que malware. Il fonctionnait essentiellement comme un RAT/une porte dérobée qui permettait de prendre le contrôle à distance des systèmes Windows 95/98. Les attaquants incitaient les utilisateurs à exécuter Back Orifice, qui fonctionnait alors furtivement et permettait à l'attaquant de faire des choses comme des captures d'écran, des frappes au clavier ou de manipuler des fichiers sur le PC de la victime. Ce premier exemple a montré comment un outil d'administration à distance pouvait être transformé en porte dérobée, exposant ainsi les risques sérieux d'un tel accès caché. Une fois installé, Back Orifice pouvait compromettre complètement la confidentialité et l'intégrité d'un système. Les professionnels de la sécurité ont ainsi appris que tout outil permettant un accès à distance doit être étroitement contrôlé, car la frontière entre un utilitaire d'administration utile et un cheval de Troie à porte dérobée peut être très mince.

Parmi les autres exemples notables de portes dérobées, citons Stuxnet (2010), qui a utilisé plusieurs portes dérobées dans des systèmes industriels iraniens dans le cadre de sa charge utile ; la violation de Sony Pictures (2014), où les attaquants ont installé des portes dérobées pour maintenir l'accès et exfiltrer de grandes quantités de données  ; et des portes dérobées au niveau du matériel, comme les implants de carte mère présumés signalés (de manière controversée) en 2018. Chaque incident souligne les diverses façons dont les portes dérobées peuvent se manifester - via des mises à jour logicielles, des malware, une subversion cryptographique ou une manipulation matérielle - et les conséquences potentiellement dévastatrices lorsqu'elles sont utilisées.

Prévenir les portes dérobées

La prévention des portes dérobées nécessite une approche globale et multicouche de la sécurité. Voici plusieurs stratégies que les équipes SOC peuvent mettre en œuvre pour minimiser le risque d'installation et d'exploitation de portes dérobées :

1. Mises à jour régulières des logiciels et gestion des correctifs

Il est essentiel de maintenir tous les logiciels à jour pour éviter les portes dérobées. Les attaquants exploitent souvent les vulnérabilités connues des logiciels obsolètes pour installer des portes dérobées.

  • Mettre régulièrement à jour les systèmes d'exploitation, les applications et les microprogrammes.
  • Mettre en œuvre un processus de gestion des corre ctifs pour garantir l'application en temps voulu des correctifs de sécurité.

2. Contrôles d'accès rigoureux

Limiter l'accès aux systèmes et aux données sensibles peut réduire le risque que des initiés installent des portes dérobées.

  • Appliquer le principe du moindre privilège (PoLP): Ne donner aux utilisateurs que l'accès nécessaire à l'exercice de leurs fonctions.
  • Utilisez l'authentification multifactorielle (MFA) pour ajouter une couche de sécurité supplémentaire.
  • Examiner et mettre à jour régulièrement les autorisations d'accès pour s'assurer qu'elles sont appropriées.

3. Segmentation du réseau

La division d'un réseau en segments peut contenir la propagation d'une attaque et rendre plus difficile le déplacement latéral des attaquants.

  • Mettre en place une segmentation du réseau pour isoler les systèmes critiques et les données sensibles.
  • Utiliser des VLAN et des pare-feu pour contrôler le trafic entre les segments.

4. Détection et surveillance des menaces avancées

Déployer des outils avancés pour détecter les activités suspectes susceptibles d'indiquer la présence d'une porte dérobée et y répondre.

  • Utilisez des solutions de détection des menaces basées sur l'IA pour identifier les anomalies et les comportements inhabituels.
  • Mettre en œuvre des outils de détection et de réponse ( endpoint ) pour surveiller les terminaux afin de détecter les signes de compromission.
  • Effectuer une surveillance continue du réseau afin de détecter les accès non autorisés et les exfiltrations de données.

5. Pratiques de développement de logiciels sécurisés

Veiller à ce que les logiciels internes et tiers respectent des pratiques de codage sécurisées afin de minimiser les vulnérabilités susceptibles d'être exploitées.

  • Procéder à des évaluations régulières de la sécurité et à des examens du code au cours du processus de développement.
  • Utiliser des outils automatisés pour rechercher les vulnérabilités et les failles de sécurité dans le code.
  • Mettre en œuvre des normes de codage sécurisées et assurer la formation des développeurs.

6. Formation et sensibilisation des employés

Sensibiliser les employés aux meilleures pratiques de sécurité et aux menaces potentielles peut réduire le risque de menaces individu et d'attaques par ingénierie sociale.

  • Organiser régulièrement des formations de sensibilisation à la sécurité pour tous les employés.
  • Simuler des attaques de phishing pour apprendre aux employés à reconnaître et à signaler les courriels suspects.
  • Encourager une culture de la sécurité dans laquelle les employés se sentent responsables de la protection des biens de l'organisation.

7. Planification de la réponse aux incidents

Préparez-vous à d'éventuels incidents liés à des portes dérobées grâce à un solide plan d'intervention en cas d'incident.

  • Élaborer et mettre à jour régulièrement un plan de réponse aux incidents comprenant des procédures de détection, d'isolation et de suppression des portes dérobées.
  • Effectuer régulièrement des exercices d'entraînement et de simulation pour s'assurer que l'équipe d'intervention est prête à faire face à des incidents réels.
  • Établir des protocoles de communication pour notifier les parties prenantes et coordonner les efforts d'intervention.

En mettant en œuvre ces stratégies, les équipes SOC peuvent réduire de manière significative le risque d'installation et d'exploitation de portes dérobées, améliorant ainsi le niveau de sécurité global de leur organisation.

Comment Vectra AI peut aider

Vectra AI excelle dans la détection et l'atténuation des portes dérobées grâce à des capacités avancées de détection et de réponse aux menaces basées sur l'IA. En surveillant en permanence le trafic réseau et les comportements du système, Vectra AI identifie les activités inhabituelles qui peuvent indiquer la présence d'une porte dérobée. Notre plateforme fournit des informations exploitables et des réponses automatisées pour neutraliser rapidement les menaces. Pour découvrir comment Vectra AI peut améliorer votre posture de sécurité, nous vous invitons à assister à une démonstration autoguidée de notre plateforme.

Plus d'informations sur les fondamentaux de la cybersécurité

Foire aux questions

Qu'est-ce qu'une porte dérobée en cybersécurité ?

Comment les portes dérobées sont-elles installées ?

Quels sont les risques associés aux portes dérobées ?

Comment les organisations peuvent-elles détecter les portes dérobées ?

Quelles sont les stratégies efficaces pour empêcher l'installation de portes dérobées ?

Les portes dérobées peuvent-elles être légitimes et, dans l'affirmative, comment sont-elles gérées ?

Comment les organisations réagissent-elles à la détection d'une porte dérobée ?

Quel rôle joue le chiffrement dans la protection contre les menaces liées aux portes dérobées ?

Comment le paysage des menaces évolue-t-il avec l'avènement de l'IdO et des appareils intelligents ?

Quels sont les développements futurs attendus dans la lutte contre les portes dérobées ?