Blog de conseil aux entreprises
Mandiant a élaboré une méthode ingénieuse pour contourner l’isolement des navigateurs en utilisant des QR codes.
Sécurité des données
Mandiant a élaboré une méthode ingénieuse pour contourner l’isolement des navigateurs en utilisant des QR codes.
Sécurité des données

Mandiant a élaboré une méthode ingénieuse pour contourner l’isolement des navigateurs en utilisant des QR codes.

Mandiant a élaboré une méthode ingénieuse pour contourner l’isolement des navigateurs en utilisant des QR codes

Mandiant a récemment révélé une technique innovante permettant de contourner l’isolement des navigateurs en utilisant des QR codes. Cette méthode permet la transmission de commandes depuis des serveurs de commandement et de contrôle (C2) vers des appareils compromis. L’isolement des navigateurs, une mesure de sécurité qui sépare la navigation web de l’appareil utilisateur en exécutant le navigateur dans un environnement sécurisé, est mis à mal par cette approche astucieuse qui utilise des codes QR pour transmettre des informations.

Comprendre l’isolement des navigateurs

L’isolement des navigateurs est une technique de sécurité cruciale qui vise à protéger les utilisateurs en exécutant leurs sessions de navigation dans un environnement virtualisé ou dans le cloud. Cette approche, qui ne transmet que le contenu visuel des pages web sur les dispositifs locaux, limite l’accès direct des malwares aux données de l’utilisateur. Cependant, Mandiant a découvert que cette protection pouvait être contournée par l’intégration de QR codes dans les pages web.

Technique Élaborée par Mandiant

Les spécialisée de Mandiant ont mis au point une méthode où les données de commande provenant des serveurs C2 sont intégrées dans des QR codes affichés sur des pages web légitimes. Lorsqu’un implant malveillant est actif sur un appareil compromis, il utilise un navigateur sans tête pour rendre la page web, capturer une capture d’écran et décoder le QR code pour en extraire les données nécessaires. Cela permet ainsi au malware de communiquer avec le serveur contrôlé par l’attaquant.

Cycle de Communication C2

Le processus élaboré par Mandiant implique un cycle de communication en plusieurs étapes. Tout d’abord, l’implant « dort » pour un certain temps avant de répéter le cycle. Il envoie une requête pour obtenir la page web depuis le serveur C2 via un navigateur local sans tête, et le serveur C2 retourne une page HTML valide contenant un QR code. Ensuite, le navigateur à distance envoie une boucle de streaming visuel de la page rendue à l’appareil local. Le malware attend que la page soit complètement rendue avant de capturer une capture d’écran des informations affichées, le QR code compris.

Limites et Défis de la Méthode

Bien que cette technique démontre la vulnérabilité des technologies d’isolement du navigateur, Mandiant a également souligné plusieurs limitations. Tout d’abord, la capacité maximale de données d’un QR code se limite autour de 2 953 octets, mais en raison de la qualité médiocre du streaming visuel, la capacité utilisable est réduite à environ 2 189 octets. De plus, le processus génère un retard considérable, rendant certaines opérations de commandement et de contrôle impraticables.

Implications de la Technique

Mandiant souligne que bien que la méthode prouve que l’isolement des navigateurs présente des faiblesses, cela ne doit pas amener les organisations à abandonner cette mesure de sécurité. Les problèmes de latence, ainsi que d’autres obstacles comme la réputation des domaines et la prévention des pertes de données, rendent cette technique moins efficace pour les opérations offensives dans des environnements sécurisés. La combinaison des technologies traditionnelles avec des recommandations de sécurité est primordiale pour les entreprises.

Utilisation Possible dans d’Autres Contextes

Cette méthode pourrait avoir des implications au-delà de la simple sécurité des navigateurs. Les codes QR sont largement utilisés dans de nombreux aspects de la vie quotidienne, comme les transactions financières et les activités de marketing. Une compréhension approfondie de leur fonctionnement et des risques associés est essentielle pour protéger les utilisateurs. Par ailleurs, l’intensification de l’adoption des codes QR dans le monde numérique amène à réfléchir sur l’équilibre entre sécurité et libertés individuelles.

Pour conclure, la recherche de Mandiant sur les codes QR démontre la nécessité d’adopter une approche de défense multi-couches pour lutter contre les menaces en ligne. Les organisations doivent avoir une sécurité adéquate qui va au-delà de l’isolement du navigateur et intégrant des pratiques comme la formation à la sécurité des employés. En étant toujours vigilant et en utilisant des solutions de cybersécurité robustes, les entreprises peuvent mieux protéger leurs infrastructures.