Assistance rapide de Windows : des pirates se font passer pour Microsoft

Des pirates détournent actuellement la fonction Assistance rapide de Windows pour obtenir l'accès à l'ordinateur de leurs victimes cible en les contactant par téléphone… et en se présentant comme l'assistance technique de Microsoft !

Les menaces informatiques se renouvellent continuellement et il faut sans cesse redoubler de vigilance pour se prémunir contre les nouvelles escroqueries et techniques de piratage mises au point par des acteurs malveillants. Plus que les failles de sécurité logicielles et matérielles, qui sont régulièrement corrigées par les constructeurs et les développeurs au gré des mises à jour de leurs produits, ce sont les attaques par manipulation qui constituent le plus grand danger pour la plupart des utilisateurs. En jouant sur un mélange de peur, d'urgence et de persuasion, les attaquants amènent leur cible à leur révéler elle-même des données sensibles, comme des identifiants ou des codes secrets, et parviennent même à obtenir l'accès complet à l'ordinateur de leur victime, pour y installer de dangereux logiciels.

C'est exactement la méthode employée actuellement par un groupe de pirates qui visent les utilisateurs de Windows : ils contactent leurs cibles par téléphone, en se présentant comme des membres de l'équipe informatique de l'entreprise ou même de l'assistance technique de Microsoft, afin de pousser leur victime à leur donner accès à son ordinateur via un outil parfaitement légitime de Windows, la fonction Assistance rapide.

Windows Assistance rapide : un piratage basé sur la manipulation

L'équipe Microsoft Threat Intelligence, le groupe de personnes chargé de détecter et d'analyser les menaces informatiques au sein de la firme de Redmond, a récemment publié une note de sécurité suite à la découverte de l'utilisation malveillante d'une fonction de Windows, Quick Assist ou Assistance rapide, par le groupe de pirates Storm-1811, via une technique d'ingénierie sociale appelée le vishing. Ce nom, contraction de vocal et phishing et qui peut se traduire par hameçonnage vocal en français, désigne le fait de contacter une cible potentielle par téléphone et de la pousser à révéler des informations sensibles ou à effectuer des actions compromettants la sécurité de ses appareils informatiques. La fonction Assistance rapide est, quant à elle, un outil de Windows permettant de donner à un tiers l'accès à distance à son ordinateur, afin d'obtenir de l'aide ou de résoudre des problèmes. C'est une fonction bien pratique pour le dépannage à distance mais qui présente évidemment des risques si elle utilisée par une personne malintentionnée.

Dans le cas présent, les attaquants commencent par inonder de courriels indésirables la messagerie électronique de leur cible, avant de l'appeler au téléphone en se présentant comme le service informatique de son entreprise ou même l'assistance technique de Microsoft, et de lui offrir leur aide pour remédier au problème de spam. Mise en confiance, la victime est alors invitée à donner l'accès à son ordinateur via la fonction Assistance rapide de Windows, à l'aide d'un code fournit par l'attaquant lui-même, ce qui suscite moins de méfiance qu'une demande de transmission de mot de passe. Une fois l'accès obtenu, les pirates lancent alors l'exécution de différents scripts, qui téléchargent et installent divers logiciels malveillants, pour surveiller l'activité réseau de l'ordinateur, lire l'écran, enregistrer les frappes au clavier et, au bout du compte, chiffre les données de l'utilisateur afin de réclamer une rançon. Des conséquences potentiellement dramatiques donc.

Windows Assistance rapide : les recommandations pour limiter les risques

Bien que ce type d'attaque vise principalement les entreprises, qui sont les plus susceptibles de détenir des données sensibles et de payer des rançons, les particuliers n'en sont pas entièrement à l'abri. Dans un cas comme dans l'autre, Microsoft formule quelques recommandations pour limiter les risques d'intrusion et de compromission de ses appareils Windows à l'aide de cette méthode. La première et la plus évidente est simplement de bloquer ou de désinstaller complètement la fonction Assistance rapide sur les ordinateurs où elle n'est pas utilisée. Dans un parc informatique professionnel, cette désinstallation sera faite directement par le service concerné, mais vous pouvez parfaitement supprimer vous-même la fonction Assistance rapide sur votre ordinateur personnel si vous n'en avez pas l’utilité. Sur Windows 11, rendez-vous dans Paramètres > Applications > Applications installées, trouvez l'outil Assistance rapide dans la liste et désinstallez-le comme n'importe quelle application.

Ensuite, s'agissant d'une attaque par manipulation, la meilleure défense demeure la formation et la sensibilisation des utilisateurs aux techniques d'ingénierie sociale. Les arnaques s'appuyant sur le fait d'usurper l'identité d'une personne ou d'une institution prétendant vous offrir leur aide sont devenues légion : faux conseiller bancaire qui vous prévient de mouvements frauduleux sur votre compte, faux policier qui vous réclame le paiement de prétendues contraventions ou fausse assistance technique qui vous propose de résoudre un problème agaçant sur votre ordinateur, toutes ces méthodes reposent sur le même principe, tromper votre vigilance.

Dans le cas de la fausse assistance informatique, un bon principe est de ne jamais donner accès à distance à son ordinateur à une personne si vous n'avez pas initié vous-même la communication et, lorsque c'est possible, de donner ce type d'accès uniquement à des personnes que vous connaissez physiquement. Si vous avez initié un accès à distance et que vous êtes pris du moindre doute, coupez immédiatement et sans sommation la connexion en cours et faites remonter sans attendre l'incident aux services concernés. Personne ne vous en voudra, bien au contraire : vos collègues du service informatique préfèreront toujours un excès de prudence à une intrusion potentiellement catastrophique dans le système d'information de l'entreprise !