Qu’est-ce qu’un backdoor (porte dérobée) ? Comment les empêcher ?

Une porte dérobée, ou backdoor en anglais, est un moyen permettant à des utilisateurs légitimes ou illégitimes d’accéder à un système, un réseau ou un logiciel en contournant les mesures de sécurité classiques. Une porte dérobée peut être matérielle (comme une puce implantée dans un matériel) ou logicielle.

Un backdoor informatique fournit ainsi un accès intégral au programme, appelé root access, à l’utilisateur qui en détient la clé. Celui-ci bénéficie alors de tous les droits administrateur sur le système, comme l’accès à l’ensemble des données stockées, la modification ou la suppression des fichiers, voire une prise de contrôle totale du système.

L’exploitation d’une porte dérobée est donc un excellent moyen pour les cybercriminels de voler des informations personnelles et confidentielles, telles que les coordonnées financières d’un utilisateur. Une porte dérobée peut également servir à installer d’autres programmes malveillants sur un appareil, à l’exemple d’un logiciel enregistreur de frappe (ou keylogger) capable de récupérer des identifiants, des mots de passe et d’autres données privées.

Notez que les backdoors diffèrent des failles de sécurité parfois présentes dans les logiciels. Tandis que les failles sont des vulnérabilités accidentelles, autrement dit, des bugs pouvant être exploités par les criminels pour récolter des données et propager des malwares, les backdoors sont des accès laissés volontairement au sein d’un programme par les fabricants ou par les hackers.

Un programme backdoor est similaire à une porte laissée ouverte à l’arrière d’une maison, permettant à un cambrioleur de s’y introduire sans signe d’effraction.

Contrairement à d’autres types de logiciels malveillants, le backdoor a la particularité d’être discret, étant mis en place à l’insu de l’utilisateur légitime. Cela rend ce type de programme particulièrement sournois et dangereux, des informations pouvant être subtilisées sans que la victime ne s’en rende compte. De plus, certains de ces malwares ont la capacité de se répliquer de façon autonome, à la manière d’un ver informatique.

Les portes dérobées peuvent avoir un intérêt légitime : certains fabricants ou développeurs logiciels peuvent ainsi fabriquer une porte dérobée de façon délibérée pour conserver un accès en continu à leur technologie. On parle alors de backdoor propriétaire. Sa mise en place permet notamment de tester les applications, de faciliter la maintenance ou encore d’assister les utilisateurs en cas de problème, par exemple lorsqu’ils n’ont plus accès à leur compte.

La présence d’une porte dérobée peut donc résulter d’une installation volontaire par le constructeur, mais il arrive également qu’elle soit laissée de manière accidentelle par celui-ci. Dans les deux cas, il existe toujours un risque que ces backdoors tombent entre les mains de cybercriminels.

Néanmoins, dans la plupart des cas, les backdoors sont mis en place par les hackers eux-mêmes à l’aide d’un logiciel malveillant, généralement via l’introduction d’un cheval de Troie informatique. Pour ce faire, ils peuvent utiliser une personne tierce qui n’a pas conscience qu’elle installe un programme infecté.

Certaines tactiques d’ingénierie sociale peuvent notamment pousser un utilisateur à télécharger une application, un plug-in ou une barre d’outils dissimulant en réalité un programme backdoor, ou encore à cliquer sur un lien malveillant qui procédera à l’installation du programme en arrière-plan. Les pirates redoublent de créativité pour piéger les internautes grâce à différentes techniques d’hameçonnage, par le biais d’un faux site web particulièrement convaincant ou d’un message semblant provenir d’une entité de confiance.

L’un des premiers backdoors malveillants est apparu en 1998. Celui-ci a été créé par un groupe de hackers en vue d’exploiter des vulnérabilités présentes sur Windows. Le programme était installé automatiquement via un cheval de Troie à l’insu de l’utilisateur, offrant un accès à distance au pirate et le loisir de modifier les paramètres du système d’exploitation.

Plus récemment, en 2017, un plugin développé pour le CMS WordPress intitulé Simply WordPress a fragilisé la sécurité de plus de 300 000 sites web. Une fois installé, le programme ouvrait une porte dérobée garantissant un accès administrateur à tous les sites ciblés. Le pirate à l’origine du malware y intégrait alors des liens malveillants renvoyant vers son propre site web, afin d’en améliorer le référencement de manière détournée.

Les portes dérobées ont également causé des dommages à l’échelle d’organisations. En 2020, la société de logiciels SolarWinds, qui fournit des logiciels aux agences gouvernementales américaines, a été la cible de pirates informatiques. Les attaquants ont réussi à installer des portes dérobées au sein du logiciel, permettant aux hackers de contourner les protocoles de sécurité et d’espionner l’activité interne du gouvernement américain pendant près d’un an.

Une fois le backdoor installé, les cybercriminels peuvent utiliser un rootkit pour bénéficier d’un accès en continu au système infecté. Il leur est alors possible de prendre le contrôle de l’appareil pour y effectuer différentes actions malveillantes, par exemple :

• Installer un logiciel espion capable de récolter des informations confidentielles sur vous et vos habitudes de navigation, d’enregistrer les frappes sur votre clavier ou de prendre des captures d’écran ;
• Mettre en place un ransomware pour chiffrer vos données, puis vous réclamer une rançon pour en regagner l’accès ;
• Utiliser votre appareil pour grossir les rangs d’un botnet, c’est-à-dire un réseau d’ordinateurs piratés à distance, dans le cadre d’une attaque DDoS.

Vous l’aurez compris, les portes dérobées sont des armes redoutables ouvrant la voie aux pirates informatiques pour mettre en place des cyberattaques de toutes sortes. Comment faire face à cette menace aussi discrète que dangereuse ?

Malheureusement, il est très difficile de détecter et de supprimer une porte dérobée dans un programme. Certains outils de cybersécurité peuvent cependant vous aider à les éliminer.

• Utilisez un programme anti-malware, afin de détecter et de supprimer tout logiciel potentiellement malveillant sur votre appareil.
• Réinitialisez l’ensemble de votre système. Si cette manœuvre entraîne la suppression de toute donnée non sauvegardée, elle sera efficace pour vous débarrasser d’un malware susceptible de prendre le contrôle de votre appareil. Néanmoins, si la porte dérobée est codée au sein même de votre système d’exploitation, la réinitialisation risque de ne pas être suffisante.
• Supprimez manuellement le fichier infecté. Si vous parvenez à trouver le fichier à l’origine du backdoor, via une analyse antivirus par exemple, vous serez peut-être en mesure de le supprimer manuellement de votre appareil. Pensez à vider votre corbeille une fois que c’est fait.

Certaines mesures de sécurité sont incontournables pour éviter l’installation de portes dérobées dans votre système, et de manière générale, l’infection par un virus informatique et d’autres logiciels malveillants.

• Modifiez vos mots de passe par défaut, tels que celui de votre routeur Wi-Fi, et configurez des mots de passe forts et uniques pour chaque appareil ou service.
• Si possible, activez l’authentification multifacteurs pour renforcer la sécurité d’accès à vos comptes.
• Utilisez un gestionnaire de mots de passe pour stocker l’ensemble de vos mots de passe en toute sécurité.
• Surveillez minutieusement l’activité sur votre réseau et utilisez un pare-feu pour analyser toute activité suspecte.
• N’utilisez pas votre équipement professionnel pour vos activités personnelles en ligne. Même si vous ne visitez pas de sites web à haut risque, il est facile de cliquer accidentellement sur une publicité malveillante ou un lien de phishing, ce qui déclenche le téléchargement d’un logiciel malveillant. Un appareil professionnel peut constituer le point d’accès d’un pirate à l’ensemble du réseau de votre entreprise : il est donc de votre responsabilité de le protéger.
• Prenez garde aux applications et aux extensions que vous installez sur votre appareil. Nous l’avons vu, certains programmes en apparence anodins peuvent contenir des portes dérobées. Ne téléchargez vos applications que depuis les plateformes officielles.
• Utilisez des outils de sécurité efficaces pour vous prémunir contre l’infection par des logiciels malveillants. La fonctionnalité Protection Anti-menaces de NordVPN analyse vos téléchargements à la recherche de malwares et supprime instantanément tout fichier infecté.
• De la même manière, restez méfiant vis-à-vis des supports externes tels que les CD et les clés USB, qui pourraient être compromis et introduire un logiciel malveillant sur votre appareil.

Munissez-vous d’un VPN de qualité et protégez-vous des cyberattaques.