Sedexp : le malware fantôme dans votre banque depuis 2022

Imaginez un cambrioleur qui s’installe chez vous, se sert dans votre portefeuille chaque jour, pendant plus de deux ans sans que vous ne remarquiez rien. C’est l’angoissante réalité numérique que nous dévoile Sedexp, un logiciel malveillant d’une discrétion redoutable. Actif depuis 2022, ce voleur de données bancaires a opéré dans l’ombre des serveurs Linux, pillant silencieusement les informations de milliers d’utilisateurs sur des sites e-commerce.

Ce n’est qu’en août 2024 que les experts en cybersécurité de la société Stroz Friedberg ont enfin mis un nom sur cette menace invisible. Mais comment ce malware a-t-il pu rester sous les radars pendant si longtemps ? Découvrez les techniques sophistiquées de Sedexp et, surtout, comment se protéger face à ce type de cyberattaque de nouvelle génération.

Sedexp : un malware d’une discrétion inégalée

La plupart des logiciels malveillants laissent des traces, même infimes. Ils sont souvent bruyants, modifient des fichiers de manière évidente ou déclenchent les alarmes des antivirus. Sedexp, lui, a choisi la voie du camouflage et de l’imitation, ce qui en fait un adversaire particulièrement sournois.

Le camouflage, une arme redoutable

La première ruse de Sedexp est de se faire passer pour un processus légitime du système. Il se déguise sous le nom de « kdevtmpfs », un nom qui ressemble à s’y méprendre à un processus système authentique lié à la gestion des périphériques. Pour un administrateur système non averti, ce nom n’attire aucune attention particulière.

Il se fond au milieu des milliers de processus qui s’exécutent en permanence sur un serveur, tel un loup dans la bergerie. Cette technique d’usurpation d’identité lui a permis de tromper la vigilance des experts pendant des mois, voire des années.

Une discrétion à toute épreuve

Pour parfaire son invisibilité, Sedexp utilise une technique de dissimulation encore plus avancée : il se cache directement dans la mémoire vive du système. Cela signifie qu’il n’existe pas comme un fichier classique sur le disque dur.

Par conséquent, les outils de recherche traditionnels utilisés par les administrateurs, comme les commandes « `ls` » (lister les fichiers) ou « `find` » (trouver un fichier), sont totalement inefficaces. Le malware est présent et actif, mais il est comme un fantôme : impossible à voir avec les outils conventionnels.

Comment Sedexp s’infiltre et opère ?

L’ingéniosité de Sedexp ne s’arrête pas à son camouflage. Sa méthode d’infiltration et d’activation est tout aussi brillante et témoigne d’une connaissance approfondie du fonctionnement des systèmes Linux. Il ne s’attaque pas aux portes blindées, mais préfère utiliser des passages secrets que personne ne surveille.

La porte d’entrée : les règles « udev »

Pour comprendre son mode d’action, il faut s’intéresser à un mécanisme appelé « `udev` ». Pour faire simple, `udev` est une sorte de concierge qui gère tous les périphériques connectés à un ordinateur (clés USB, disques durs, etc.). Sedexp exploite ce service en y ajoutant sa propre règle, une instruction malveillante passée inaperçue.

Les solutions de sécurité traditionnelles surveillent rarement cette partie du système, la considérant comme une zone de confiance. C’est précisément cette confiance que Sedexp trahit pour s’installer durablement.

Le déclencheur inattendu : /dev/random

Une fois sa règle en place, le malware attend patiemment son heure. Son script ne se déclenche pas au démarrage du serveur, ce qui serait trop suspect. À la place, il a choisi un déclencheur beaucoup plus subtil : l’accès au fichier système « `/dev/random` ».

Ce fichier est utilisé en permanence par le système d’exploitation pour générer des nombres aléatoires, une opération essentielle pour la cryptographie et de nombreuses autres tâches. Chaque fois que le système a besoin d’un peu de hasard, il active sans le savoir le script de Sedexp. Cette astuce lui garantit une exécution fréquente et discrète, noyée dans le flot des activités normales du serveur.

Une menace hors des radars classiques

La sophistication de ces techniques est telle qu’elles ne sont même pas répertoriées dans le MITRE ATT&CK, une base de connaissances mondiale sur les tactiques des cybercriminels. Sedexp a donc utilisé des méthodes inédites, prenant de court une grande partie de l’industrie de la cybersécurité.

Conséquences et cibles : le vol silencieux de données

Un malware aussi discret ne peut avoir qu’un objectif : opérer sur le long terme pour maximiser ses gains. En restant indétecté pendant plus de deux ans, Sedexp a eu tout le loisir de collecter une quantité massive de données sensibles.

Le vol silencieux de vos données bancaires

La mission principale de Sedexp est de « gratter » (ou « scraper » en anglais) les informations qui transitent sur les serveurs qu’il a infectés. Lorsqu’un client effectue un achat sur un site e-commerce compromis, le malware intercepte au vol les données de la transaction : numéro de carte bancaire, date d’expiration, cryptogramme visuel (CVV), et parfois même des informations personnelles. Ces données sont ensuite exfiltrées vers des serveurs contrôlés par les pirates, pour être revendues sur le dark web ou utilisées pour des transactions frauduleuses.

Les serveurs Linux, une cible privilégiée

Ce n’est pas un hasard si Sedexp cible les serveurs Linux. Ces systèmes d’exploitation sont le moteur d’une immense partie d’Internet.

Ils hébergent des millions de sites web, notamment la grande majorité des plateformes de e-commerce. En réussissant à infecter un seul serveur, les pirates peuvent potentiellement accéder aux données de milliers, voire de millions de clients.

Comment se protéger d’une menace si discrète ?

La découverte de Sedexp est un rappel que la sécurité absolue n’existe pas. Cependant, des mesures de protection, à la fois pour les particuliers et les professionnels, peuvent considérablement réduire les risques.

Pour les particuliers : les gestes barrières essentiels

Même si l’attaque vise les serveurs, un rôle est à jouer pour protéger ses informations personnelles.

• Surveillez vos comptes : Vérifiez régulièrement vos relevés bancaires pour repérer toute transaction suspecte, même de faible montant.
• Utilisez l’authentification à double facteur (2FA) : Activez cette option sur tous vos comptes en ligne, en particulier ceux liés à des paiements. Elle ajoute une couche de sécurité essentielle.
• Privilégiez des mots de passe uniques et robustes : N’utilisez jamais le même mot de passe pour plusieurs sites. Un gestionnaire de mots de passe peut vous y aider.
• Soyez vigilant : Méfiez-vous des emails de phishing qui pourraient tenter de vous soutirer des informations suite au vol initial.

Pour les professionnels : renforcer la forteresse

Pour les administrateurs de sites e-commerce et de serveurs, la lutte est plus technique. Il est indispensable de surveiller les zones habituellement négligées, comme les règles `udev`.

L’utilisation d’outils de sécurité avancés, comme les solutions EDR (Endpoint Detection and Response), peut aider à détecter des comportements anormaux en mémoire, là où les antivirus classiques sont aveugles. Des audits de sécurité réguliers et la mise à jour constante de tous les composants du système sont également non négociables.

L’histoire de Sedexp nous enseigne une leçon essentielle sur la cybersécurité moderne : les menaces les plus dangereuses ne sont pas toujours les plus spectaculaires. Elles sont souvent silencieuses, patientes et incroyablement intelligentes. Ce malware nous force à repenser nos stratégies de défense, en nous rappelant que la vigilance doit être constante et s’étendre aux recoins les plus méconnus de nos systèmes.

Et vous, quelles sont vos habitudes pour sécuriser vos données bancaires lors de vos achats en ligne ?

Partagez vos astuces dans les commentaires.

Simone

Simone, rédactrice principale du blog, est une passionnée de l’intelligence artificielle. Originaire de la Silicon Valley, elle est dévouée à partager sa passion pour l’IA à travers ses articles. Sa conviction en l’innovation et son optimisme sur l’impact positif de l’IA l’animent dans sa mission de sensibilisation.