Malware as a Service (MaaS)

Malware as a Service ("MaaS") : mise en place, par des cybercriminels, de l'infrastructure complète d'une malveillance louée à d'autres cybercriminels.

cr  01.04.2012      r+  21.08.2020      r-  18.04.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Depuis l'invention du Web, des criminels appelés cybercriminels se sont engouffrés dans ce service pour en exploiter les possibilités de manière malveillante.

La confiance dans le Web, qu'elle soit humaine (les utilisateurs) ou technologique (les navigateurs, les clients de messagerie), en est un facilitateur.

Les technologies protectrices des antivirus, antimalware, pare-feu, filtres, bacs à sable (sandbox), machines virtuelles, etc. sont, sans cesse, combattues, contournées, évitées.

Il y a deux grandes causes :

• L'internaute est la première faille, avec le virus PEBCAK et sa propension incommensurable à être manipulé par de l'ingénierie sociale, à croire ce qu'on lui dit.

• La découverte et l'exploitation des innombrables failles de sécurité. Il en est corrigées sans cesse (liste au jour le jour), mais les cybercriminels en découvrent sans cesse (c'est leur toute première activité) et, lorsque l'on voit les révélations d'Edward Snowden, on s'aperçoit que certaines failles peuvent être exploitées silencieusement durant des années (Equation Group, Shadow Brokers, TA505 avec Dridex).

Les capacités intellectuelles, informatiques et inventives vraiment brillantes des cybercriminels devancent sans cesse les chercheurs en sécurité qui ne font que courir après les exploits(au sens propre et au sens figuré) de ces bandits malveillants (Qu'est-ce qu'ils ont fait là ? Comment ont-ils fait cela ? Etc.)

Le but est toujours l'argent facile. Même les groupes cybercriminels d'états, comme la NSA ou le KGB (chaque pays espionne tous les autres), ont un but économique. Il est simplement plus élevé que celui du cybercriminel lambda : l'économie d'état par le vol de brevets, technologies, diplomatie, etc.

Les cybercriminels développent désormais des outils ultra technologiques (crypto-ransomware, botnets, ciblages, etc.) et se sont mis au service d'exploitants sans réelles connaissances informatiques : de simples criminels. Il y a donc deux opérateurs :

• Les criminels qui payent l'utilisation de plusieurs outils simultanés, spécialisés, et sont en prise directe avec les victimes qu'ils attaquent.

• Les cybercriminels, informaticiens extrêmement brillants, qui se font payer par les criminels pour la location (droit d'usage) d'un ou plusieurs outils ultras avancés, universels et très paramétrables (crypto-ransomware, botnets, listes de cibles, assistance au paramétrages des outils, furtivité, etc.). Les cybercriminels sont, simultanément, relativement à l'abri de l'exploitation criminelle de certains de leurs outils et des poursuites judiciaires qui en découlent (mais les constitutions de botnets relèvent simultanément de criminalités et de cybercriminalités).

Les cybercriminels mettent ainsi en place la totalité de l'infrastructure d'utilisation d'un outil informatique, comprenant le logiciel lui-même, son paramétrage en fonction du besoin exprimé par le groupe criminel et le moyen de l'utiliser (des machines de commande et contrôle [C&C] et des botnets plus ou moins étendus selon la cible géographique [le/les pays attaqué(s)] et la force de frappe souhaitée).

Leurs malwares sont ainsi des services rémunérateurs et ce sont ces services qu'ils louent pour un certain temps avec une certaine taille de botnets, vers certains pays ciblés et même vers certains profils de cibles, voire certaines listes de cibles (les hôpitaux, les banques, les administrations, etc.).

C'est la commercialisation de « Malwares en tant que Service », dit, en anglais, dans le jargon des informaticiens, « Malware as a Service » et son acronyme « MaaS » (on pense, évidemment, au pendant légal « Software as a Service » et son acronyme « SaaS » ou malveillant « Botnet as a Service » et son acronyme « BaaS »)).