« Essayez cette astuce bizarre que les hackers russes détestent ». Le 17 mai, le journaliste réputé — et parfois décrié — Brian Krebs a publié un étrange article sur son blog. Son idée ? Changer les paramètres de son clavier sur Windows pour le ‘déguiser’ en clavier russe. L’objectif ? Se faire détecter comme un système russe par les malwares, souvent codés de sorte à épargner les victimes russes. Si le logiciel malveillant détecte qu’il est sur système russe, il ne finalisera pas son installation, voire se désinstallera de lui-même. Brian Krebs suppose que le déguisement du clavier permettrait d’abuser ce système, et ainsi d’offrir une protection contre les cybermenaces utile, bien qu’imparfaite.

Concrètement le journaliste propose de déployer le subterfuge de deux manières :

  • Télécharger (gratuitement) un des claviers virtuels de Windows dans une des langues des pays épargnés par les malwares russes. Problème : l’utilisateur risque de basculer involontairement son clavier en russe (ou autre) par de fausses manipulations. Il est facile de basculer dans l’autre sens, mais c’est une friction qui peut devenir pénible à l’utilisation.
  • Télécharger un script simple, qui applique le registre russe sans vraiment installer le clavier virtuel. Autrement dit, il n’applique qu’une couche superficielle, sans effectuer de changement opérationnel.
cell_tower.jpg

La couverture est parfaite, les cybercriminels ne vont rien voir. // Source : Russian Doge Meme

À peine publié, l’article a suscité de vives réactions. Fabian Wossar, directeur technique de Emsisoft, une des entreprises les plus mobilisées dans la réponse aux attaques rançongiciel, s’est fendu d’une longue critique : « Au sein de l’équipe de recherche sur les rançongiciels, nous blaguons souvent sur quelle nouvelle façon ‘innovante’ va nous être présentée comme la prochaine grande solution contre les rançongiciels. Un des runnings-gags récurrents de ces 8 dernières années vient d’être transformé en vraie recommandation récemment : changer la disposition de votre clavier en russe.»

Le chercheur explique qu’un simple changement superficiel ne va pas satisfaire les détections automatiques des malwares. « À moins que vous ne vouliez vraiment utiliser votre ordinateur en russe avec un clavier russe, vous vous ferez quand même attaquer », indique-t-il.  Surtout, il prévient que ce genre de vérification automatique pro-russe peut être désactivée par une simple commande. En conséquence, il suffit que les malfaiteurs réalisent que le nom de l’entreprise — disséminé un peu partout sur l’ordinateur — n’est pas Russe pour relâcher leur malware sur le système, même si l’utilisateur s’efforce d’écrire en russe.

Dans le pire des cas, celui d’une attaque rançongiciel, le subterfuge du clavier serait dans tous les cas dérisoire. Une fois le malware introduit sur le système, c’est déjà trop tard, car il n’a aucune raison de s’arrêter à un simple paramétrage de clavier. « Les hackers derrière le rançongiciel vont tout savoir sur votre entreprise. Ils sauront rapidement et définitivement si vous être une vraie entreprise russe ou non », achève Wossar.

Au-delà du clavier, la vraie question russe

Malgré ce raté, le raisonnement de Brian Krebs partait d’un constat véridique. Les gangs de cybercriminels prospèrent en Russie grâce au laissez-faire historique du pouvoir local. En échange, ils s’engagent — implicitement — à ne pas faire de victime dans la sphère d’influence russe. Concrètement, cet engagement se traduit par une liste de pays à ne pas attaquer, traduite en termes techniques dans le code de leurs logiciels malveillants. On parle ici des pays de la Communauté des états indépendants, qui regroupe 9 des 15 anciennes républiques soviétiques (Russie, Azerbaïdjan, Ouzbékistan, Biélorussie …), de pays qui l’ont quitté à différentes époques (Ukraine, Géorgie, Tadjikistan) ou encore de la Syrie.

Tant qu’une entreprise ou un résident de ces pays n’est pas touché, les pouvoirs locaux ne déclencheront jamais d’enquête. En échange, les Russes font quasi systématiquement la sourde oreille aux demandes de collaboration des forces de l’ordre européennes ou américaines.

Image d'erreur

Cybercriminels russes be like // Source : Hotline Bling Meme

Mais l’affaire Colonial Pipeline, d’où part la réflexion de Krebs, a pour une fois remis en question ce mode de fonctionnement. Et pour cause : l’attaque du gestionnaire d’oléoduc par le gang rançongiciel Darkside a mené à une nouvelle séquence diplomatique dans les relations déjà tendues entre les États-Unis et la Russie. Si le président américain Joe Biden a déclaré qu’aucun signe n’indiquait l’implication du pouvoir russe dans l’attaque, il a insisté pour dire que les hackers opéraient depuis le territoire russe. Une fois de plus, il a appelé les autorités locales à intervenir pour faire cesser l’activité du gang. Au lendemain de ses déclarations, les traces en ligne de l’infrastructure informatique de Darkside avaient disparu : l’hébergeur de leur site a réagi– pour une fois — à une demande des autorités.

À cause de l’activité de la victime, la cyberattaque a mobilisé les plus hauts responsables diplomatiques, ce qui a mis en difficulté la Russie dans à sa posture de laisser-aller habituelle. L’affaire a eu un tel impact que les principaux forums russes de hackers sont allés jusqu’à bannir les sujets rançongiciel de leur site, tout en maugréant sur la menace géopolitique attirée par l’attaque de Darkside. Autrement dit, ils ont craint une fermeture orchestrée par les autorités russes, qui les ignorent habituellement, et ont préféré montrer patte blanche.

Une précaution de plus, bien qu’inutile ?

Malgré les critiques sur son subterfuge du clavier russe, Brian Krebs défend sa position : « il y a-t-il vraiment un désavantage a adopter cette approche simple, gratuite, prophylactique ? (…) Le pire qu’il puisse arriver, c’est que l’utilisateur passe accidentellement les options de son menu en Russe ». Le journaliste est conscient que cette précaution sera inutile dans la grande majorité des cas. Mais pour lui, les rares incidents où le déguisement fonctionnera suffisent à justifier son déploiement. Fabian Wossar, de son côté, préfère rappeler qu’il faut d’abord mettre en avant les protections aux effets démontrés, comme la double authentification.

Bref, si elle est potentiellement utile contre des malwares très basiques, l’astuce du clavier est loin d’être le « vaccin » espéré contre les principaux logiciels malveillants russes. Mais certains s’amusent avec sarcasme de cette idée : et si pour échapper aux cybermenaces russes, il suffisait de délocaliser son activité en Russie ?

une comparateur meilleur vpn numerama

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !