Cette attaque ressemble à une autre offensive du même type, survenue en 2017 contre le logiciel CCLeaner. / Jenny Kane / AP

Des chercheurs en sécurité informatique ont découvert que des milliers d’ordinateurs de la marque Asus avaient été infectés par un virus à l’insu de leurs utilisateurs, a révélé lundi 25 mars le site spécialisé Motherboard.

Les pirates s’en sont d’abord pris à l’entreprise Asus elle-même afin de compromettre le processus qui permet à la société de mettre à jour à distance les logiciels présents sur les ordinateurs de sa marque.

Ces hackeurs, dont les motivations et l’identité précise sont inconnues, ont donc installé un programme malveillant en se faisant passer pour Asus. Le virus s’est retrouvé, entre juin et novembre 2018, sur des milliers d’ordinateurs à travers le monde. Kaspersky, l’entreprise de sécurité informatique à l’origine de la découverte, a baptisé cette opération « Shadow Hammer ».

La société n’est pas parvenue à déterminer le nombre exact d’ordinateurs infectés, mais l’estime à environ un million. Dans la plupart des cas, bien qu’il constituait une porte dérobée pour accéder à l’ordinateur infecté, le virus est resté inactif. Il ne prenait vie que dans une situation très précise : si l’ordinateur qu’il avait infecté faisait partie d’une liste d’environ six cents ordinateurs établie préalablement par les pirates. Dans ce cas, le virus évoluait et se dotait de nouvelles capacités. Kaspersky n’a pas été en mesure d’étudier le virus déployé lors de cette deuxième phase ni ne sait qui figurait exactement dans la liste, mais explique que cette dernière était composée d’adresses MAC (pour « media access control »), un identifiant dont dispose chaque appareil informatique qui se connecte à Internet.

Des pirates très compétents

Deux éléments montrent que les pirates étaient extrêmement compétents et évolués. D’abord, l’obtention d’une liste d’adresses MAC n’est pas une mince affaire. Kaspersky ne précise pas comment cette liste a été établie. Ensuite, le type de piratage : infecter une entreprise tierce pour atteindre sa cible finale est une opération complexe.

Selon les premières observations des experts, les pirates pourraient être liés à une attaque assez similaire qui avait visé en 2017 le logiciel CCleaner. Ils avaient là aussi infecté l’entreprise qui proposait ce logiciel pour y dissimuler leur logiciel malveillant. Kaspersky suppute même que les deux attaques font partie de la même opération, l’offensive contre CCleaner ayant peut-être permis d’obtenir la fameuse liste d’adresses MAC ciblées.

Les chercheurs de Kaspersky ont mis au point un portail permettant de vérifier si son ordinateur a été visé par la seconde phase du virus. Il faut cependant se munir de l’adresse MAC de son appareil.

Sis à Taïwan, Asus est un fabricant d’ordinateurs de premier plan. Il a démenti auprès de Kaspersky avoir été compromis, selon Motherboard. Kaspersky assure avoir présenté le résultat de ses recherches dès le mois de février.

Bien que les pirates aient profité de systèmes de mises à jour des logiciels pour déployer leur virus, il est toujours hautement recommandé de mettre à jour ses appareils – téléphones, ordinateurs, tablettes… – dès qu’il est possible de le faire. L’attaque « Shadow Hammer » est l’équivalent de se faire renverser par un chauffard alors que l’on emprunte un passage piéton au feu vert : cela ne signifie pour autant pas qu’il faut désormais ignorer la signalisation.