Lors de la conférence Security Analyst Summit organisée il y a peu par Kaspersky, nos chercheurs ont présenté un rapport détaillé sur le logiciel espion FinSpy (alias FinFisher) et ses méthodes de distribution, dont certaines jusqu’alors inconnues. Vous pouvez obtenir plus de renseignements sur leurs découvertes en lisant cet article publié sur Securelist. Ainsi, nous analysons ce que le malware FinSpy est capable de faire et nous vous expliquons comment vous en protéger.
Qu’est-ce que FinSpy (FinFisher) ?
FinSpy, un logiciel espion utilisé par les forces de l’ordre et les organismes gouvernementaux du monde entier, a été détecté pour la première fois en 2011 lorsque des documents à son sujet sont apparus sur WikiLeaks. Le code source a été publié en ligne en 2014 mais l’histoire de FinSpy ne s’arrête pas là. Après une restructuration et jusqu’à ce jour, le malware infecte encore des dispositifs dans le monde entier.
FinSpy est polyvalent, avec des versions pour ordinateur (Windows, macOs et Linux) mais aussi pour les dispositifs mobiles qui fonctionnent sous Android ou iOS. Ces capacités changent selon la plateforme mais, dans tous les cas, le malware a recours à différents moyens pour transmettre secrètement ces paquets de données à son commanditaire.
Propagation de FinSpy
Ce logiciel espion accède aux machines Windows de diverses façons.
Par exemple, il peut se cacher dans des paquets de distribution infectés, dont certains programmes d’installation pour TeamViewer, VLC Media Player, WinRAR et bien d’autres. Le téléchargement et l’exécution d’une application modifiée déclenchent une chaîne d’infection à plusieurs étapes.
De plus, nos chercheurs ont trouvé le chargeur du malware dans des composants qui se chargent avant le système d’exploitation : l’UEFI (Unified Extensible Firmware Interface, l’interface qui permet la communication entre le système d’exploitation et le micrologiciel) et le MBR (Master Boot Record, nécessaire pour lancer Windows). Dans un cas comme dans l’autre, le démarrage de l’ordinateur installe FinSpy.
Un smartphone ou une tablette peut aussi attraper FinSpy via un lien reçu par message. Dans certains cas, par exemple si l’iPhone de la victime n’est pas débridé, le cybercriminel a besoin d’accéder physiquement au dispositif, ce qui complique la tâche. Il semblerait que cet accès physique soit également nécessaire pour infecter les machines Linux mais nous n’en sommes pas certains.
Quelles données FinSpy vole-t-il ?
FinSpy a de très grandes capacités en termes d’espionnage de l’utilisateur. Par exemple, la version pour ordinateur du malware peut :
- Activer le microphone et enregistrer ou reproduire tout ce qu’il entend ;
- Enregistrer ou retransmettre en temps réel tout ce que l’utilisateur tape sur son clavier ;
- Activer la caméra et enregistrer ou reproduire les images capturées ;
- Voler les fichiers avec lesquels l’utilisateur interagit : accès, modification, impression, réception, suppression, etc. ;
- Faire des captures d’écran ou enregistrer une partie de l’écran où l’utilisateur clique ;
- Voler les e-mails des clients qui utilisent Thunderbird, Outlook, Apple Mail et Icedove ;
- Intercepter les contacts, les conversations, les appels et les fichiers sur Skype.
De plus, la version Windows de FinSpy peut écouter les appels VoIP, intercepter les certificats et les clés de chiffrement de certains protocoles, ou télécharger et exécuter les outils judiciaires de collecte de données. En outre, la version Windows de FinSpy peut infecter les smartphones BlackBerry puisque même cette plateforme quelque peu exotique de nos jours n’est pas épargnée.
Quant à la version mobile de FinSpy, elle peut écouter et enregistrer les appels (vocaux ou en VoIP), lire les SMS et surveiller l’activité de l’utilisateur sur les applications de messagerie instantanée comme WhatsApp, WeChat, Viber, Skype, Line, Telegram, Signal et Threema. La version du logiciel espion pour les dispositifs mobiles envoie aussi aux escrocs la liste des contacts de la victime, ses appels, son calendrier, ses données de géolocalisation et bien d’autres renseignements.
Comment éviter FinSpy ?
Malheureusement il est difficile de se protéger complètement d’un logiciel espion d’un niveau gouvernemental. Cela étant dit, vous pouvez prendre des précautions pour vous protéger de FinSpy et d’autres applications d’espionnage :
- Ne téléchargez les applications qu’à partir de sources fiables, qu’il s’agisse de programmes pour votre smartphone, votre ordinateur de bureau ou votre ordinateur portable. De plus, les utilisateurs Android devraient interdire l’installation de programmes à partir de sources inconnues pour réduire les risques d’infection ;
- Prenez le temps de réfléchir avant de cliquer sur les liens qu’une personne inconnue vous envoie par e-mail ou par message. Si vous devez cliquer, vérifiez d’abord vers quelle page le lien vous redirige ;
- Ne débridez pas votre smartphone ou votre tablette. Les intrusions sont beaucoup plus faciles après avoir rooté votre dispositif Android ou jailbreaké votre appareil iOS ;
- Ne laissez pas vos appareils sans surveillance lorsque n’importe qui peut y accéder ;
- Installez une solution de protection fiable sur tous vos appareils.