Les logiciels de prise de contrôle à distance utilisés dans des attaques ciblées ou de grande ampleur ont pendant un certain temps ignoré l’état de l’art en matière de chiffrement des communications. C’est notamment le cas du code Lingbo qui utilise le protocole HTTP pour dialoguer [1].
Les mécanismes d’encapsulation protocolaires commencent à être rencontrés, en particulier pour contourner les politiques de filtrage et pour assurer un certain niveau de furtivité. Certains codes, tels que HydraQ ou Poison Ivy [2], chiffrent leurs communications. Ils sont toutefois vulnérables à des mécanismes de détection relativement simples.
HydraQ, par exemple, communique en utilisant TCP en dérivant une clé de chiffrement de ses 4 premiers octets. Dans les premières versions, ces 4 octets avaient pour valeur « 9002 » [3] (cette valeur a été changée dans d’autres versions, puis une encapsulation dans le protocole HTTP a été enfin ajoutée).
L' INTELLIGENCE CYBER par Jean-Paul Pinte 
Laisser un commentaire