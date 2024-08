Come toujours, Internet n’a peur de rien. Le 14 décembre dernier, les chercheurs en cybersécurité de Trend Micro ont révélé qu’un hacker avait enfin osé franchir une frontière morale et éthique jusque-là globalement respectée : l’utilisation d’un mème pour infecter la machine d’autrui. S’il faut bien reconnaître que son sytème est ingénieux, il marque potentiellement un point de non-retour. La transformation des mèmes en instruments d’infection pourrait nous diriger vers un Internet fait de défiance et de suspicion mutuelle, dans lequel la moindre image virale reçue serait consultée avec une précaution de démineur. L’histoire se souviendra peut-être que tout a débuté en 2018 à cause d’un compte Twitter, de Morpheus et de la stéganographie.

Au centre de l’arnaque, un compte Twitter anonyme créé en 2017. Jusqu’ici parfaitement inactif, il se réveille les 25 et 26 octobre derniers pour partager deux variations du mème « What if I told you… », qui utilise Morpheus pour partager des informations (plus ou moins) intéressantes. Des mèmes parfaitement banaux, pas particulièrement drôles, qui dissimulent des instructions dans les métadonnées de l’image grâce à une technique appelée stéganographie.

Techniquement, le mème ne contient pas le malware en lui-même. Pour que tout dérape, la machine doit d’abord avoir été infectée par un cheval de Troie à accès à distance (remote access Trojan, ou RAT). La seule instruction de ce programme : rester discret en se contentant de surveiller l’activité du compte Twitter en question, télécharger les mèmes sur la machine de la victime (sans lui demander son avis, bien sûr) puis décoder les instructions contenues dans les métadonnées. Les deux images postées contenaient la commande « /print », qui ordonne au malware de faire des captures d’écran de la machine infectée, généralement pour essayer de récupérer des données personnelles ou des identifiants.

Une capture d’écran du compte incriminé. Image : Trend Micro

Selon les chercheurs de Trend Micro, l’ingénieux hacker aurait également pu glisser d’autres commandes, comme « /clip » (qui permet de copier le contenu du presse-papiers), « /processos » (qui permet d’obtenir la liste des processus en activité) ou « /docs » qui permet de récupérer les noms de fichiers situés dans des dossiers spécifiques. Une fois les informations récupérées, le malware reçoit l’adresse du serveur de destination à partir d’un post Pastebin. Pas une attaque de grande ampleur, mais un vrai boulot de ninja. Il aurait tout de même fallu être bien malchanceux pour tomber dans un tel piège : les deux mèmes vérolés n’étaient clairement pas assez drôles pour se répandre. Et de toute façon, ils n’en ont pas eu le temps.

Twitter, prévenu par Trend Micro, a fermé le compte malveillant le 13 décembre dernier. Ce n’est pas la première fois que des grandes plateformes comme Twitter, Google ou Pastebin sont utilisées pour communiquer avec des malwares dormants ou des botnets, qui éveillent beaucoup moins les soupçons des antivirus s’ils se connectent à twitter.com plutôt qu’à l’adresse IP d’un serveur chelou à Hong Kong. Twitter et son flux d’actualité permettent également à un hacker de planifier des séquences d’attaques aux commandes parfois complexes — la stéganographie a déjà démontré qu’une image postée dans un tweet pouvait contenir un .zip sans être détectée, et jusqu’aux oeuvres complètes de Shakespeare. Le réseau social connaît le truc, mais ne peut rien contre sans pourrir la vie de ses utilisateurs. Pire : selon les chercheurs, quiconque est derrière tout ça est encore en phase de test, et des versions perfectionnées de la même attaque devraient donc émerger sous peu. On avait dit « pas les mèmes », les gars, sérieux….

