Passer au contenu

Module 1

Compétences interpersonnelles pour détecter les logiciels malveillants

Dernière mise à jour le: 12 Septembre 2024

GitHub Modifier cette page sur GitHub

Cas d’utilisation

Avant de commencer à analyser un logiciel malveillant, vous devez configurer un environnement sûr pour le faire. En définitive, les logiciels malveillants font de mauvaises choses aux systèmes sur lesquels ils fonctionnent. Vous ne voulez pas l’exécuter sur votre système principal. De plus, vous voudrez probablement empêcher le logiciel malveillant de se connecter aux serveurs C&C (commande et contrôle) de l’auteur de la menace. Les deux conditions signifient que vous devez configurer une machine virtuelle à utiliser lors de l’analyse des logiciels malveillants.

Objectifs

Après avoir terminé ce sous-thème, les participants seront en mesure de soutenir ceux qui pourraient avoir reçu ou cliqué sur des liens malveillants ou des e-mails d’une manière plus responsable.

Les participants devraient également être en mesure de faire ce qui suit :

  • Expliquer la portée des travaux et les renseignements qui seraient recueillis
  • Fournir une assurance au client sur sa sécurité et la sécurité de ses données
  • Préparer une simple entente de confidentialité avec un client, au besoin
  • Naviguer dans une discussion de triage pour aider à déterminer quand une enquête plus approfondie et un travail de détection sont nécessaires

Section Principale

Connaissances de base

Le Security Education Companion contient une multitude de conseils sur les façons réfléchies, prudentes et de réduction des risques permettant d’interagir en tant qu’assistant technologique. Si vous n’êtes pas déjà familiarisé(e) avec ce type de contenu, nous vous conseillons vivement de consulter le document Formation en matière de sécurité 101.

Après avoir lu les ressources ci-dessus, vous devriez être en mesure de faire ce qui suit :

  • Comprendre l’importance de l’évaluation des risques dans chaque interaction.
  • Comprendre les risques d’utiliser les appareils des gens ou d’avoir accès à leurs comptes.
  • Comprendre les risques de s’engager dans un discours alarmiste.
  • Comprendre vos propres limites, tant sur le plan de la capacité technique que de votre aptitude à soutenir une personne ou une collectivité donnée et les risques inhérents à le faire.
  • Éviter d’injecter des préférences concernant les plateformes, la technologie, l’open-source par rapport aux solutions propriétaires, etc. dans les interactions d’assistance.

Connaissances propres au parcours

Une fois que vous avez les connaissances de base ci-dessus, prenez le temps de réfléchir aux compétences interpersonnelles particulières qui pourraient être nécessaires pour ce parcours d’apprentissage spécifique. Chaque parcours d’apprentissage et chaque intervention sont légèrement différents. Chacun peut apporter des récits ou des préoccupations différentes aux apprenants.

Vous devriez être capable de :

  • Vous rappeler comment ceux qui créent des logiciels malveillants visent non seulement à obtenir des données, mais aussi à effrayer les gens en leur faisant croire qu’ils sont constamment surveillés. Les attaques de logiciels malveillants ciblant la société civile servent souvent à la fois à la collecte de données et à l’intimidation
  • Avoir conscience que de nombreuses personnes ciblées auront des données très sensibles sur leurs appareils, ce qui pourrait concerner à la fois leur vie personnelle et leur vie professionnelle. La détection et l’investigation des logiciels malveillants seront un processus stressant pour elles, car elles devront s’inquiéter des informations à leur sujet qui pourraient avoir été divulguées aux cybercriminels et elles devront céder le contrôle des appareils aux protecteurs numériques qui les soutiennent, ce qui pourrait les rendre encore plus vulnérables. Préparez-vous à discuter de vos pratiques de traitement des données, y compris de la façon dont vous chiffrez le lecteur sur lequel vous effectuez la détection et de la façon dont vous prévoyez de traiter et de supprimer leurs données une fois le processus terminé ;
  • Comprendre que de nombreuses personnes travaillant dans la société civile sont conscientes des risques auxquels elles sont personnellement confrontées, tout en étant extrêmement préoccupées par la famille, les amis et les sources dont les données pourraient avoir été divulguées ou qui pourraient être ciblés.
  • Parlez aux gens des risques potentiels impliqués dans le processus de détection de logiciels malveillants (les cybercriminels pourraient le découvrir, ils pourraient perdre l’accès à leurs appareils, le processus pourrait ne pas donner de résultats satisfaisants, etc.).
  • Comprendre que les connaissances techniques, les niveaux de compétences et les ressources varient considérablement d’une personne à l’autre. Un groupe de la société civile pourrait trouver facile de verrouiller les appareils et de réduire les risques d’infections par des logiciels malveillants, tandis que d’autres pourraient avoir du mal à trouver des appareils qui reçoivent encore des mises à jour logicielles.
  • Préparez-vous à expliquer comment la même méthode d’analyse peut parfois produire beaucoup de données et parfois très peu, et soyez capable de gérer les attentes en conséquence.
  • Sachez que certains groupes de la société civile aimeraient signer un accord de confidentialité ou un accord similaire avant de partager une grande partie de leurs données ou appareils.

Notez que les autres sous-thèmes de ce parcours d’apprentissage contiennent également des conseils sur le développement des compétences interpersonnelles afin de fournir un soutien réfléchi et réducteur de préjudices sur ce sujet.

Comprendre : réduction des dommages et sécurité opérationnelle

Au moment où un échantillon de logiciel malveillant a été partagé avec vous, il est possible que des dommages aient été causés à la personne ciblée. Le logiciel malveillant peut avoir capturé des données et la personne ciblée peut également être affectée par l’impact psychosocial d’être ciblée ou surveillée. Il est important de soutenir la personne ciblée tout en évitant de causer des dommages lors d’une interaction active avec du contenu malveillant.

La réduction des dommages pour la personne ciblée devrait commencer par recueillir des renseignements sur les mesures qu’elle a prises et les circonstances dans lesquelles elle a interagi avec ses appareils. Vous pourriez poser différentes séries de questions aux personnes que vous connaissez bien, comme vos collègues, et aux destinataires que vous connaissez moins bien. Certaines questions méritent d’être posées : quel est son modèle de menace ? S’agit-il d’un blogueur anonyme ? Un dissident en exil qui tente de dissimuler son emplacement ?

Les réponses à ces questions aideront à la fois à fournir un soutien utile en matière de réduction des dommages et à faciliter vos enquêtes. À mesure que vous progressez dans l’analyse et la compréhension du contenu malveillant, informez la personne ciblée des avancées, en particulier dans la mesure où cela est pertinent pour la réduction des risques.

Pour assurer une sécurité opérationnelle afin de vous protéger lorsque vous travaillez avec des e-mails malveillants, complétez le sous-thème 3 (manipulation sécuritaire des liens et de l’infrastructure) du parcours d’apprentissage sur la détection, l’enquête et le suivi des infrastructures malveillantes.

Comprenez : détection, résultats négatifs et paranoïa

Les logiciels espions sont une attaque extrêmement invasive contre les individus, les familles, les communautés et les mouvements. Comprenez que l’information et l’analyse (qu’elles soient positives ou négatives) que vous fournissez à un client peuvent être extrêmement importantes et éclairer les décisions relatives aux risques qu’il prendra avec ses appareils. À ce titre, il est important de faire preuve de clarté sur la portée et l’importance réelles de tout travail de détection et de détermination que vous lui fournissez.

En dehors des environnements de périphériques hautement contrôlés et surveillés, les plateformes de systèmes d’exploitation modernes restent difficiles à évaluer entièrement pour en ce qui concerne les failles et les infections, en particulier dans le cas où des attaques sophistiquées peuvent être utilisées. À ce titre, vous n’êtes jamais en mesure de déterminer à 100 % l’absence de logiciels malveillants sur un appareil. Vous pouvez seulement dire qu’en utilisant la technique que vous avez déployée, et avec les compétences dont vous disposez, vous n’avez pas pu trouver de logiciels malveillants. Cela ne signifie pas que les logiciels malveillants sont absents, seulement que les tests utilisés n’en ont identifié aucun.

En même temps, nous savons que la paranoïa est un phénomène courant dans lequel le sentiment de surveillance (justifiée ou non) est une expérience mentale négative persistante pour les activistes, les journalistes, les dirigeants ou les autres clients avec lesquels vous travaillez. Il est nécessaire de tracer une ligne fine pour déterminer un équilibre entre la fourniture de preuves techniques utiles pour mettre à jour les probabilités que la surveillance se produise, tout en évitant d’alimenter un sentiment de fausse confiance ou une peur non fondée d’une surveillance personnalisée.

Trier la situation ainsi que l’appareil

Le triage est l’étape nécessaire dans laquelle vous recueillez l’information et l’utilisez pour décider quand investir du temps dans une enquête plus approfondie. Bien qu’un triage efficace repose sur les connaissances et les instincts techniques, il exige également des compétences interpersonnelles pour mobiliser le client avec empathie, prendre ses préoccupations au sérieux, écouter activement et comprendre la situation dans laquelle il se trouve.

Au cours des conversations initiales, cherchez à vérifier ce qui suit :

  • Y a-t-il une raison particulière pour laquelle il veut que son appareil soit vérifié, ou s’agit-il d’une crainte générale, d’une curiosité, d’un soupçon ou d’un acte de prudence ?
  • Des raisons et des explications précises vous aideront à cibler votre recherche, par exemple :
    • Changement des performances de l’appareil
    • Un incident physique, tel qu’un dispositif manipulé par quelqu’un d’autre, ou saisi et rendu par les forces de l’ordre
    • Un incident numérique, tel qu’un logiciel ou une application en cours d’installation, ou un lien suspect cliqué
    • Un avertissement, un indicateur ou une alerte de sécurité

Il existe de nombreuses explications alternatives pour les mauvaises performances de l’appareil, telles qu’un matériel ancien ou défectueux, les bugs logiciels, le manque de mises à jour, les configurations indésirables. Bien sûr, l’infection et l’exploitation de failles de sécurité des logiciels malveillants peuvent également coexister avec ces explications. Ainsi, le fait de trouver des erreurs de configuration, remarquer des logiciels obsolètes ou les faibles ressources de l’appareil ne suffit pas à rejeter l’hypothèse de la présence d’un logiciel malveillant.

Utilisez une combinaison de questions et d’interactions interpersonnelles avec votre client, ainsi que l’accès à l’appareil (si cela est possible et approprié) pour déterminer quand un suivi détaillé est nécessaire. Et lorsqu’il vous est impossible de mener des enquêtes par vous-même, soit en raison de votre temps, de vos ressources et de vos capacités limitées, il est toujours souhaitable de partager des ressources qui permettront à votre contact de prendre des mesures pour examiner et sécuriser ses appareils.

La configuration exacte dont vous avez besoin dépend de votre méthode d’analyse et du système d’exploitation du logiciel malveillant que vous analysez. Dans la plupart des cas, vous pouvez commencer avec une machine virtuelle Linux préconstruite comme REMnux. Consultez le Chapitre 6 du Guide d’intervention sur le terrain pour la société civile et les médias pour obtenir des instructions étape par étape sur la façon de la configurer. Pour des choses plus spécifiques (par exemple, l’analyse dynamique des logiciels malveillants iOS), vous aurez besoin d’outils supplémentaires (par exemple, un iPhone ou un iPad débridé). Les machines virtuelles présentent parfois des vulnérabilités qui permettent aux logiciels exécutés dans la machine virtuelle d’attaquer le système d’exploitation hôte. La plupart des logiciels malveillants ne sont pas sophistiqués à ce point, mais en cas de doute, il est plus sûr d’analyser les logiciels malveillants sur un appareil physique distinct qui est effacé par la suite.

Pour configurer REMnux, nous vous recommandons de suivre les étapes décrites dans le Chapitre 6 du Guide d’intervention sur le terrain pour la société civile et les médias et de télécharger la MV1. C’est un moyen facile de commencer qui fournit une excellente isolation entre votre système hôte et l’environnement REMnux. Veillez à ne pas partager de données sensibles de votre système d’exploitation hôte dans la machine virtuelle. Conformément aux instructions ci-dessus, prenez un instantané de votre machine virtuelle une fois qu’elle a été configurée et avant de commencer à travailler sur un logiciel malveillant. Vous pouvez utiliser des instantanés pour rétablir l’état de votre machine virtuelle avant d’analyser différents logiciels malveillants et pour isoler différents clients les uns des autres. Pour obtenir plus d’informations sur les instantanés de MV en général, consultez cet article.

Lors de l’analyse des logiciels malveillants, vous pourriez constater que vous avez besoin d’outils supplémentaires dans votre machine virtuelle d’analyse. Installez-les et configurez-les, mais notez ce que vous faites. Une fois votre analyse terminée, vous pouvez charger votre instantané de machine virtuelle « propre », installer et configurer l’outil, puis créer un nouvel instantané « propre » pour votre prochaine analyse de logiciels malveillants.

Afin de déplacer les fichiers malveillants, la pratique standard consiste à les placer dans des fichiers ZIP chiffrés. Dans ce cas, la qualité du chiffrement n’a pas d’importance. Le but n’est pas de garder le logiciel malveillant secret, mais plutôt de l’empêcher de le déclencher par inadvertance sur d’autres systèmes et d’empêcher les systèmes anti-malware de le détecter ou de le supprimer. N’hésitez pas à inclure le mot de passe dans le nom du fichier ZIP.

Pratique

Réfléchissez à ce qui suit et discutez-en avec des pairs, des collègues, des amis ou un mentor. Le cas échéant, parlez à un « client » avec qui vous avez déjà travaillé pour lui demander ses commentaires et son expérience sur certaines de ces questions.

  • Décrivez comment le fait de toucher et d’accéder à l’appareil d’un tiers peut présenter des risques imprévus.
  • Imaginez que vous aidez quelqu’un avec des données sensibles sur son appareil. Comment aborderiez-vous la discussion avec cette personne concernant votre accès et le traitement des données ?
  • Pourquoi est-il impossible de dire qu’un appareil est exempt de logiciels malveillants ?
  • Comment la compréhension du modèle de menace spécifique d’une personne affecte-t-elle vos efforts de réduction des risques, par exemple s’il s’agit d’un blogueur anonyme ou d’un dissident en exil ?
  • Comment vous y prenez-vous pour fournir des preuves techniques factuelles en fonction de votre capacité, tout en équilibrant la nécessité de ne pas tomber dans l’excès de confiance tout en évitant la paranoïa ?
  • Décrivez vos propres capacités et limites en matière de détection de logiciels malveillants. Après avoir fait une première tentative de description, essayez d’ajouter plus de nuances et d’exactitude à votre description.
    • Quels pourraient être les risques si vous procédez sans cette reconnaissance de vos limites ?
  • Jouez une interaction dans laquelle vous signalez à un client la recherche de logiciels malveillants actifs sur un appareil.

Contrôle de compétence

Avec un mentor ou un pair

  • Expliquez à votre mentor/pair ou à votre groupe de pairs vos réponses aux questions de pratique ci-dessus.
  • Jouez certaines des interactions décrites dans les questions de pratique ci-dessus :
    • Discussion initiale avec un client
    • Discuter de son modèle de menace
    • Décrire un résultat négatif (pas de logiciel malveillant), y compris une explication des limites de l’évaluation
    • Informer au sujet d’un résultat positif (logiciel malveillant détecté)
  • Si possible, demandez à quelqu’un de surveiller vos interactions réelles et le processus d’intervention en cas d’incident avec un client, et de fournir des commentaires sur la façon dont vous gérez les éléments interpersonnels de l’interaction.

Ressources d’apprentissage

Formation en matière de sécurité 101

Gratuit

Une ressource communautaire populaire sur la façon d’enseigner et de parler de la sécurité numérique

Langues: Anglais
Visitez le site

Notes

  1. REMnux n’est pas disponible sur les processeurs ARM, tels que les ordinateurs Apple Silicon. Bien qu’il soit possible de virtualiser entre les architectures CPU en utilisant des émulateurs tels que QEMU ou UTM (VirtualBox ne prend actuellement pas en charge les architectures ARM), les performances seront lentes et cela n’est pas conseillé. Il serait plus judicieux de choisir une autre distribution Linux qui prend en charge votre matériel et d’installer les paquets logiciels nécessaires pour réaliser les activités, s’ils ne sont pas déjà inclus dans le système d’exploitation. Kali Linux est une distribution Linux populaire qui inclut ou prend en charge de nombreux outils également présents dans REMnux. Si vous avez un appareil Apple Silicon, vous pouvez utiliser UTM pour exécuter l’image d’installation Kali pour Apple Silicon (ARM64). Des guides de prise en main sont disponibles à la fois sur les sites de UTM et de Kali. Au moment de la rédaction, un bug affectant le processus d’installation nécessite une étape supplémentaire lors de l’installation consistant à attacher un écran de terminal série virtuel - les deux guides décrivent ce processus. Vous pouvez également obtenir une version ARM de Kali pour le Raspberry Pi, avec la plupart des modèles de Raspberry Pi pris en charge. ↩︎