Trickgate, un outil de cybercriminalité sophistiqué, a été découvert par les chercheurs de Check Point fin janvier. Disponible sur le darknet, Trickgate permet de contourner les logiciels de protection EDR, qui sont largement utilisés par les entreprises pour détecter les logiciels malveillants et prévenir les attaques. Les cybercriminels utilisent Trickgate pour déployer des malwares discrètement, sans être détectés par les EDR. Selon Adrien Merveille, expert en cybersécurité chez Check Point, Trickgate est comparable à une enveloppe dans laquelle les malwares sont cachés, les rendant invisibles pour la plupart des mécanismes de protection.
Le fait que Trickgate ait été conçu pour contourner les EDR n’est pas une surprise, car les hackers craignent les EDR, qui sont capables de détecter les malwares dès leur apparition et de les bloquer. Les EDR ont été largement déployés ces dernières années dans les entreprises, ce qui explique pourquoi Trickgate a été développé pour les contourner. Les cybercriminels ont réussi à rester sous les radars des veilleurs de la cybersécurité en modifiant régulièrement la forme de Trickgate pour qu’il reste anonyme.
Bien que Trickgate soit un outil sophistiqué, cela ne signifie pas que les EDR sont obsolètes. Les EDR sont composés de plusieurs moteurs qui identifient différents éléments dans le contexte d’une attaque, ce qui est essentiel pour détecter les différents types de malwares. Les EDR seront toujours nécessaires, mais leur évolution est inévitable. Cependant, aucun système de sécurité ne peut garantir une protection à 100%, selon Adrien Merveille.
Les professionnels de la cybersécurité ne sont pas alarmés par la découverte de Trickgate. Philippe Hameau, RSSI qui a eu à mettre en place des EDR, estime que ce nouveau vecteur n’est pas une menace pour les EDR et que cela incite les professionnels à se concentrer davantage sur les vecteurs d’attaques. Franck Rouxel, co-président de l’Agora RSSI, rappelle que la sécurité ne se limite pas aux outils de protection, mais nécessite une architecture solide pour opérer et entretenir les réseaux informatiques.