Vous êtes ici : Accueil > Sécurité informatique > Chapitre 3
2 personnes en ligne - 21/03/2010 -
Les autres nuisibles
Après les virus, plusieurs sortes de nuisibles plus ou moins dangereux sont apparus. Nous allons en présenter quelques uns.
• Le cheval de Troie
Petit retour sur la mythologie avant de continuer : afin de récupérer Hélène, Agamemnon lance les grecs contre Troie. Cependant, les protections de la cité étant trop résistante, il fallait trouver un autre moyen : Ulysse d'Itaque imagina une ruse : un grand cheval de bois... L'armée grec feint de se retirer et laissa le cheval en cadeau, les troyens le prirent dans l'enceinte de leur cité sans savoir qu'il y avait des soldats à l'intérieur... A la nuit tombée, les troupes sortirent du cheval et ouvrèrent les portes de Troie, pour permettre aux grecs d'entrer. Après dix ans de siège, Troie tomba.
Le principe des chevaux de Troie en informatique est le même : vous avez un logiciel qui semble légitime, et dans ce dernier il y a un petit programme : le cheval de Troie. Lorsque vous lancez le logiciel « légitime », le fichier caché à l'intérieur s'installe à l'insu de l'utilisateur en tentant de prendre les droits de l'administrateur. Un cheval de Troie ne se reproduit pas, de cette façon ce n'est pas un virus. Le terme anglais est trojan.
Faites donc attention aux fichiers que vous téléchargez : ne prenez vos logiciels que sur des sites de confiance comme Clubic.com ou encore CommentCaMarche.net et vous vous protégerez déjà bien contre les chevaux de Troie. Les versions piratées de logiciels comme on en trouve souvent sur les réseaux de peer-to-peer contiennent peut-être des chevaux de Troie (après tout, on ne sait rien des intentions de celui qui a mit à disposition la version piratée...).
• Les vers (ou worms)
Il s'agit de petits programmes qui se reproduisent. A l'inverse du virus, il n'a pas besoin d'un programme hôte pour se répliquer. Niveau propagation, ce type de menace se sert des réseaux (Internet, intranet...) et des courriels (attentions donc aux pièces jointes des expéditeurs inconnus !).
Il utilise les failles dans les logiciels et dans le système pour s'infiltrer parmi nous (d'où l'importance cruciale des mises à jours). Un ver peut donner à un pirate un accès à distance via une porte dérobée.
Pour vous donner une idée de l'ampleur que peut prendre un ver, appuyons-nous sur l'exemple de Conflicker qui totalise plus de 9 millions de PC infectés dans le monde depuis fin 2008. Début janvier 2009, ce ver infecte le réseau Intramar de la marine nationale française. Vous pouvez lire cet article pour un complément d'information : "Les armées attaquées par un virus informatique" de Liberation.fr.
Une erreur commune est de considérer les vers comme des virus (d'ailleurs l'erreur a été faite rien que dans le titre de l'article ci-dessus, puisque Conflicker est bien un ver, pas un virus. Ceci pour vous montrer que même à Libération on peut se tromper ^^).
• Les portes dérobées
Egalement appelée backdoor, la porte dérobée est un type de cheval de Troie. Il s'agit en faite d'une fonctionnalité cachée aux yeux du public (et donc connue par peu de gens), permettant de prendre le contrôle à distance d'un système. Utile pour diriger des réseaux de PC zombies.
• Les composeurs (ou dialer)
Du temps où l'ADSL n'existait pas, lorsqu'on se connectait au Net, la ligne téléphonique devenait inutilisable et il fallait payer l'accès à un certains coût par minute. Le principe du composeur est de composer un numéro surtaxé avec votre ligne afin d'engraisser le compte en banque de l'attaquant. De nos jours, si vous avez l'ADSL, vous n'avez plus rien à craindre (en effet, il n'y a rien à payer à la minute avec l'ADSL).
• Les mémoriseurs de frappe
De l'anglais keylogger, ce sont des logiciels qui permettet d'enregistrer tout ce que vous tapez sur votre clavier et de transmettre le tout à un utilisateur distant. Quelle utilité me direz-vous ? Si vous saisissez des mots de passe, des coordonnées bancaires ou autres données sensibles, c'est plus facile à récupérer ;).
Dans certains cas, leur utilisation est légale (surveillance de la navigation de vos enfants sur le Web...), mais les dérives peuvent devenir vite gênantes pour nos données personnelles.
• Les publiciels (ou adwares)
Il s'agit tout simplement des logiciels qui affichent de la publicité partout sur votre écran. Au début c'est sympa, mais au bout d'un moment cela devient vite encombrant (imaginez des fênetres de publicités qui s'ouvrent sur votre bureau toute les 5 minutes...).
A l'installation d'un logiciel, le contrat d'utilisation (ou CLUF, souvenez-vous : le texte que personne ne lit à l'installation, qui fait des pages et des pages :p) peut vous avertir que vous allez recevoir de la publicité. Dans ce cas vu que vous êtes d'accord, c'est légal et vous ne devez pas retirer le publiciel (appuyer sur le bouton « I agree » ou « Je suis d'accord » équivaut à une signature pour les logiciels).
• Les logiciels espion (ou spywares)
On en trouve dans certains logiciels gratuits ou payants, il servent à collecter des informations sur vos habitudes de navigation (c'est-à-dire sur quels sites Web vous allez, à quelle fréquence... Tout cela pour vous envoyer de la publicité ciblée).
Comme tout logiciel malveillant qui se respecte, les spywares s'installent à votre insu et agissent dans l'ombre. Si le contrat d'utilisation d'un logiciel que vous avez installé indique qu'un spyware sera installé, alors vous devez le laisser (en le supprimant, vous ne pourrait peut-être même plus utiliser le logiciel en question).
Pour supprimer ces nuisibles, on utilise un antispywares. Il en existe pas mal, mais ceux que je recommande sont : Spybot S&D et A-squared Free. Ces deux logiciels sont aussi en mesure de vous supprimer une grande partie des maliciels listés sur cette page (chevaux de Troie, vers, portes dérobées, composeurs, mémoriseurs de frappes et publiciels, en plus des spywares).
• Les rogues
Signifiant en anglais « escroc », ce sont des logiciels à part entière, avec pour but de vous soutirer de l'argent. Comment font-ils ?
Les rogues les plus connus sont les faux-antivirus. Pour présenter leur manière de procéder, imaginez que vous recherchez un antivirus sur le Net, vous cherchez dans un moteur de recherche et vous tombez sur un site Web avec une présentation parfaite, magnifique... Sur ce site, en page d'accueil il y a un lien énorme pour télécharger un antivirus « fiable » avec un taux de détection de 100%, une protection en temps-réel dernier cri et tout et tout. Vous vous dite que ça a l'air intéressant et vous le prenez pour l'installer. Au premier scan c'est l'horreur : vous découvrez que votre PC est infecté de partout, mais avec d'autres antivirus vous ne trouvez rien du tout. Le seul bémol quand vous essayez de supprimer les virus, le faux-antivirus vous dit qu'il faut payer pour avoir cette fonctionnalité (et c'est là que tout se joue ^^). Allez-vous payer ou pas ? Croyant votre PC vérolé...
En fait, tous ces virus sont fictifs et le stratagème consiste à vous faire croire que le faux-antivirus est votre seul espoir. Ensuite, vous payer et après... Rien. Le faux-antivirus n'affichera plus de virus, mais ne vous protégera pas puisque ce n'est pas un vrai antivirus. Cela s'appelle de l'ingénierie sociale (ou l'art de tromper ses victimes). Pour couronner le tout, la désinstallation d'un rogue est souvent très difficile.
Pour savoir si vous avez des rogues sur votre système, il existe un utilitaire pratique : RogueRemover. Ce logiciel permet aussi la désinstallation automatique des rogues rencontrés, vous évitant des manipulations fastidieuses.
• Les rootkits
- Qu'est-ce que les rootkits et que font-ils ?
Ce sont de petits programmes apparus en 1997 sur les systèmes Linux et qui ont débarqué sur Windows en 2005 (grâce à Sony, cette affaire fut retentissante et la société a été critiquée pour son acte. Pour comprendre vous pouvez lire cet article : "Sony-BMG et son "rootkit" espion" de BigBrotherAwards.eu.org). Ces programmes sont capables de modifier le noyau du système d'exploitation afin de se camoufler, ils deviennent ainsi invisibles dans l'explorateur et dans la MFT (Master File Table, une sorte de gros index des fichiers de votre disque dur) et indétectables par les antivirus et autres moyens conventionnels d'analyse du système. Ainsi, la plupart du temps, si l'on est infecté par des rootkits, on ne le sait pas car le système paraît propre.
- Ont-ils une autre utilité que de se cacher ?
Alors là, c'est carrément clair ! Quelques jours après que l'affaire du rootkit de Sony éclata au yeux du monde, voici qu'apparu le "Premier virus utilisant le rootkit Sony". Comme quoi, un rootkit peut vraiment poser problème...
Sachez que les auteurs de ces programmes furtifs s'en servent pour camoufler d'autres programmes, tels que des portes dérobées, des spywares, des virus... Ils peuvent aussi cacher des clés dans le registre1 ou des processus (qui seraient dans ce cas non visibles dans le gestionnaire des tâches). Ils sont aussi capable de désactiver les antivirus, les antispywares et même les pares-feu. Le rootkit le plus célèbre est probablement Hacker Defender, au fonctionnement assez particulier. En effet, ce maliciel se mettait à jour pour contrer les mises à jour de détection d'antivirus ou d'antirootkits, ainsi il persiste sur votre système en attendant des ordres du pirate qui l'a programmé.
- Pourquoi les hackers au chapeau noir font-ils ceci ?
En prenant le contrôle de votre système à distance, le pirate peut lancer des attaques sur le Net. Par exemple, il peut lancer un déni de service2 contre un site3 par votre intermédiaire sans que vous ne le sachiez et c'est de votre adresse IP4 que l'on verra l'attaque partir. Ainsi, le pirate ne se fait pas repérer et vous pouvez être accusé du délit à sa place. Il peut le faire par plaisir ou par défi technique aussi, il y a plein de raisons à cela, je ne vous ai donné que quelques exemples. A noter qu'il est parfaitement possible de programmer des rootkits qui ne peuvent être détecté, ni supprimé par un outil de lutte spécialisée (les antirootkits). De plus, supprimer un rootkit du système est délicat et peut le rendre très instable. Vous serez peut-être amené à réinstaller votre système dans le pire des cas.
Notes :
1 : la base de registre est un élément fondamental au bon fonctionnement de Windows dans lequel la configuration du système est stockée.
2 : un déni de service a pour effet de mettre une machine hors service pendant des heures.
3 : un site victime d'un déni de service devient indisponible et cela met à mal l'économie de l'entreprise visée (les clients ne peuvent plus se connecter donc vont chercher ailleurs, ce qui a pour conséquence une perte du chiffre d'affaire).
4 : votre adresse IP (Internet Protocol) est votre identifiant sur Internet. Votre fournisseur d'accès est tenu par la loi de garder vos IP pendant un an lors de vos connexions.
Dans le chapitre suivant, nous nous pencherons sur un phénomène qui s'est fait connaître sur le Web en peu de temps...
Navigation :
→ Aller au chapitre précédent : « Les virus »
→ Aller au chapitre suivant : « L'ingénieurie sociale »
Ce sont de petits programmes apparus en 1997 sur les systèmes Linux et qui ont débarqué sur Windows en 2005 (grâce à Sony, cette affaire fut retentissante et la société a été critiquée pour son acte. Pour comprendre vous pouvez lire cet article : "Sony-BMG et son "rootkit" espion" de BigBrotherAwards.eu.org). Ces programmes sont capables de modifier le noyau du système d'exploitation afin de se camoufler, ils deviennent ainsi invisibles dans l'explorateur et dans la MFT (Master File Table, une sorte de gros index des fichiers de votre disque dur) et indétectables par les antivirus et autres moyens conventionnels d'analyse du système. Ainsi, la plupart du temps, si l'on est infecté par des rootkits, on ne le sait pas car le système paraît propre.
Alors là, c'est carrément clair ! Quelques jours après que l'affaire du rootkit de Sony éclata au yeux du monde, voici qu'apparu le "Premier virus utilisant le rootkit Sony". Comme quoi, un rootkit peut vraiment poser problème...
Sachez que les auteurs de ces programmes furtifs s'en servent pour camoufler d'autres programmes, tels que des portes dérobées, des spywares, des virus... Ils peuvent aussi cacher des clés dans le registre1 ou des processus (qui seraient dans ce cas non visibles dans le gestionnaire des tâches). Ils sont aussi capable de désactiver les antivirus, les antispywares et même les pares-feu. Le rootkit le plus célèbre est probablement Hacker Defender, au fonctionnement assez particulier. En effet, ce maliciel se mettait à jour pour contrer les mises à jour de détection d'antivirus ou d'antirootkits, ainsi il persiste sur votre système en attendant des ordres du pirate qui l'a programmé.
En prenant le contrôle de votre système à distance, le pirate peut lancer des attaques sur le Net. Par exemple, il peut lancer un déni de service2 contre un site3 par votre intermédiaire sans que vous ne le sachiez et c'est de votre adresse IP4 que l'on verra l'attaque partir. Ainsi, le pirate ne se fait pas repérer et vous pouvez être accusé du délit à sa place. Il peut le faire par plaisir ou par défi technique aussi, il y a plein de raisons à cela, je ne vous ai donné que quelques exemples. A noter qu'il est parfaitement possible de programmer des rootkits qui ne peuvent être détecté, ni supprimé par un outil de lutte spécialisée (les antirootkits). De plus, supprimer un rootkit du système est délicat et peut le rendre très instable. Vous serez peut-être amené à réinstaller votre système dans le pire des cas.
→ Aller au chapitre suivant : « L'ingénieurie sociale »
Réalisé par Keanjyto le samedi 07 mars 2009 à 09h21
Version imprimable
Dernière révision du chapitre le : 21/02/2010 à 13h47Page générée en 0,009 seconde
Haut de la page - Ce site est grâcieusement hébergé par Webou.net - Code & design par Keanjyto - Certains droits réservés 2008-2010
