laissez-nous nous charger de votre sécurité
english deutsch français polski russian magyar
Produits
Acheter
Support
Partenaires
Nouveautés
A propos

Nouveautés

Accueil
Communiqués de presse
Directions d'Agnitum
Récompenses
Salle de presse
Contacts presse

Exploitation des failles Web : du problème à la solution

Résumé

Cet article aborde le problème de l'exploitation des failles Web et des dangers qui y sont associés. De plus, il détaille les étapes nécessaires que les utilisateurs devraient effectuer pour réduire au minimum leur exposition aux risques que présente l'exploitation des failles.

Préambule

La diffusion de logiciels malveillants est l'un des problèmes les plus importants qui affectent l'utilisation d'Internet aujourd'hui. À la différence des anciens virus qui vous sautent au visage, les logiciels malveillants d'aujourd'hui sont silencieux et furtifs. Ce qui suit est une expérience vécue bien trop de fois par bon nombre d'utilisateurs d'ordinateurs :

Après avoir surfé sur le Web pendant deux mois sur un nouvel ordinateur portable, de bureau ou sur un vieil ordinateur avec une nouvelle installation de Windows, vous remarquez qu'il commence à se comporter bizarrement. Il affiche des fenêtres intempestives, il signale des erreurs de Windows et des programmes, il a des problèmes au démarrage et tout un tas d'autres activités étranges jamais rencontrées auparavant. Malheureusement, vous ne vous êtes équipé d'aucun logiciel de sécurité avant d'aller surfer, mais vous essayez de compenser le temps perdu et la sécurité amoindrie en installant un antivirus. Sans surprise, la première analyse indique des menaces actives en mémoire et plusieurs logiciels malveillants sur votre disque dur. Vous essayez de comprendre ce que vous avez fait ou là où vous êtes passé pour attraper tout ça. Avez-vous (ou un autre membre de votre famille ou un collègue) téléchargé des fichiers exécutables depuis des sites suspects, participé à des échanges « peer-to-peer », répondu à du pourriel ou à des messages d'hameçonnage ? Ça pourrait être n'importe quoi, n'importe où, n'importe quelle personne autorisée à se servir de votre ordinateur. Le véritable problème est de savoir comment empêcher cette infection invisible de se reproduire.

Présentation de l'exploitation des failles

Bien qu'il n'y ait aucune définition universelle de l'exploitation des failles il s'agit, en substance, de n'importe quel logiciel conçu pour mettre à jour ou exploiter les vulnérabilités d'autres logiciels. L'exploitation des failles Web agit en tirant profit des défauts d'un navigateur, des modules complémentaires d'un navigateur et autres applications utilisant le Web, notamment Word, Acrobat et d'autres programmes « standard ».

L'exploitation des failles Web peut désigner un certain nombre de différentes choses (téléchargements accessoires, installation de logiciels malveillants « en cachette », infections silencieuses ou sans intervention) mais, au final, ils signifient tous la même chose. Votre ordinateur se fait infecter en surfant simplement sur le Web, même sans que vous téléchargiez véritablement de fichier. L'exploitation des failles Web permet aux logiciels malveillants de s'installer silencieusement sur votre ordinateur sans que vous vous en rendiez compte et peut être à l'origine du vol de données, de l'agrandissement de réseau de « bots » (ordinateurs fantômes contaminés), défauts de fonctionnement d'ordinateur et autres problèmes sérieux.

Cycle de vie de vulnérabilité

Le diagramme ci-dessous illustre le cycle de vie de la vulnérabilité d'un logiciel et celle de l'exploitation des failles qui dépend de lui1.

Voir le diagramme

  1. L'application est publiée.
  2. Un chercheur immoral ou un pirate malveillant découvre une vulnérabilité dans l'application, mais n'en informe pas l'éditeur. Au lieu de cela, il fournit ces informations à des auteurs de logiciels malveillants contre de l'argent ou toute autre rémunération. Les auteurs de logiciels malveillants créent le code malveillant pour exploiter la vulnérabilité. Ces menaces ne sont pas connues des sociétés éditant des anti-logiciels malveillants et, par conséquent, aucune détection n'existe. C'est ce que l'on appelle généralement des logiciels malveillants de type « zéro jour ».
  3. L'éditeur de l'application vulnérable apprend l'existence des défauts par les canaux publics. Ceci peut se produire par divers moyens. C'est généralement le résultat de la découverte d'un pirate qui est ébruitée dans les forums clandestins, des transmissions entre utilisateurs ou associés, ou par l'enquête parallèle menée par des chercheurs faisant preuve de déontologie.
  4. Le code de preuve-de-concept ne porte pas de charge malveillante, mais sert simplement à prouver la viabilité de la découverte et que, sans correctif, la vulnérabilité serait susceptible d'être exploitée par les véritables logiciels malveillants. Une preuve-de-concept (POC) est principalement employée pour convaincre l'éditeur que la vulnérabilité est exploitable.
  5. Une fois que l'éditeur a évalué la vulnérabilité et qu'il a conclu qu'un correctif est nécessaire, il commence à développer un correctif de sécurité.
  6. L'éditeur crée un correctif qui atténue la vulnérabilité. Une mise à jour de sécurité est distribuée au moyen du processus de la mise à jour standard pour cette application.
  7. L'utilisateur installe le correctif du fournisseur pour protéger l'application contre l'exploitation de cette vulnérabilité.

Quelque part entre les étapes deux et sept, l'exploitation des failles émerge et commence à infecter les utilisateurs vulnérables. Cette période s'appelle la fenêtre d'opportunité, lorsqu'un pirate peut « posséder » les systèmes des utilisateurs sans qu'ils le sachent en tirant profit des vulnérabilités trouvées qui n'ont pas été corrigées.

1Quand un chercheur en sécurité signale une vulnérabilité à un éditeur de logiciels sans rendre cette information disponible à quiconque, la probabilité de l'exploitation de la vulnérabilité est considérablement réduite. Après que l'éditeur a atténué la vulnérabilité au moyen d'un correctif, les détails du défaut peuvent être révélés publiquement sans mettre des utilisateurs en danger à condition que les utilisateurs aient mis à jour leur système avec le correctif. La recherche montre que les utilisateurs qui n'appliquent pas rapidement de correctif à leur machine courrent un risque bien plus grand de se faire infecter par l'exploitation des failles à partir du Web.

Fonctionnement de l'exploitation des failles

Dès que les pirates apprennent l'existence d'une vulnérabilité, ils se mettent à écrire des logiciels malveillants pour l'exploiter. Ceci peut impliquer un effort collectif de plusieurs groupes de pirates ou un pirate seul très compétent ; ce dernier peut également être celui qui a découvert la vulnérabilité.

Parfois, des boîtes à outils d'exploitation des failles sont publiées et vendues au marché clandestin. Elles coûtent entre 500 et 1000 $ et sont assorties de mises à jour à bas prix envoyées aux acheteurs chaque fois que de nouvelles exploitations visant de nouvelles vulnérabilités sont disponibles et sont ajoutées au pack (comme le ferait un éditeur de logiciel légal). Parmi les exemples flagrants de ces boîtes à outils, vous trouverez les programmes WebAttacker et MPack fabriqués en Russie. Ils contiennent un ensemble d'exploitations qui tirent profit des vulnérabilités connues de certaines fonctionnalités de plug-ins et de navigateurs (de la vulnérabilité du curseur animé de Microsoft jusqu'au débordement de la mémoire tampon d'Apple QuickTime, en passant par plusieurs vulnérabilités d'ActiveX d'IE, de JavaScript et autres extensions).

Une fois que les agresseurs ont mis la main sur une exploitation, ils doivent l'implanter de sorte que les utilisateurs visitant un certain site, délibérément ou accidentellement, seront automatiquement infectés sans le savoir. Les exemples de site corrompus sont nombreux mais, généralement, les pirates utilisent une ou plusieurs des approches suivantes :

  • Ils utilisent le spam pour attirer les utilisateurs vers un site entretenu par le pirate. Obliger les utilisateurs à visiter le site Web « contagieux » implique également la mystification sophistiquée des DNS, des attaques de subversion psychologique et toute autre tactique prédatrice.
  • Ils créent un ensemble de sites « contagieux » dont le nom ressemble aux entités légitimes. Ils ont, par exemple, enregistré une adresse Web avec une petite différence orthographique (comme microsooft.com, dowload.com).
  • Ils compromettent les sites Web qui appartiennent aux véritables entités et insèrent un code malveillant avant que l'opérateur du site puisse bloquer l'intrusion. C'est ce qui vient d'arriver récemment au site de Bank of India.
  • Ils insèrent des liens vers des éléments audiovisuels sur des sites de « social networking » (des réseaux de convivialité) comme FaceBook ou MySpace qui pointent vers un code piégé externe qui exploite des vulnérabilités dans les plug-ins tiers nécessaires à l'exécution de ce code.

Gagner de l'argent avec l'exploitation des failles : le modèle commercial

Les exploitations de failles peuvent rapporter un certain revenu à leurs créateurs. Certaines sources estiment que la cybercriminalité a dépassé le commerce illégal de la drogue en termes de profits. Une grande partie de cet argent provient de la vente des exploitations de failles. Les exploitations peuvent rapporter à leurs créateurs de plusieurs façons :

  1. Infecter l'ordinateur des utilisateurs avec toutes sortes de logiciels malveillants pouvant être utilisés pour produire des revenus par le biais de chantage, de la vente de faux anti logiciels-espions ou d'informations personnelles saisies par l'intermédiaire d'enregistreurs de frappe, etc.
  2. La vente des exploitations de failles à d'autres criminels.
  3. En tant que moyen d'extorsion pour faire chanter un éditeur de logiciels.

Lutter contre les menaces de l'exploitation des failles

Il existe un certain nombre de mesures simples que vous pouvez adopter pour protéger votre système contre l'exploitation des failles :

  1. Maintenir votre système à jour et toujours utiliser les dernières versions des navigateurs.
  2. Désactiver les fonctions de programmation inutiles comme ActiveX ou l'autoriser uniquement pour les sites préfiltrés et les sites de confiance.
  3. Ne pas visiter de site inconnu ou potentiellement peu fiable.
  4. Utiliser des programmes qui examinent le contenu des sites Web en temps réel avant de permettre à l'utilisateur d'y accéder. Des programmes comme Link Scanner Pro vérifient le code HTML du site cible pour s'assurer qu'aucune menace cachée n'est intégrée. L'extension Finjan SecureBrowsing met en place l'évaluation du code en plus de l'évaluation de la réputation du site pour évaluer l'accès à des menaces potentielles.
  5. Utiliser un pare-feu qui protège contre les logiciels malveillants de type « zéro jour » en bloquant toute activité réseau et de programmes locaux inadéquate. Outpost Firewall Pro 2008 inclura la capacité de créer et de personnaliser une base de données des sites sur liste noire dont l'accès sera bloqué.

Conclusion

L'exploitation de failles occasionne un risque véritable et quantifiable pour votre ordinateur, mais tant que vous serez pourvu de connaissances, de bon sens et du bon type de logiciel, vous pourrez être assuré que les exploitations ne viendront pas gâcher votre vie numérique.

Faire la connaissance de l'auteur

 

Igor Pankov a toujours été fasciné par les ordinateurs, l’Internet, et la liberté des connaissances aux bouts des doigts...
En savoir plus...

Inscrivez-vous dès aujourd'hui !
Profitez des bulletins d'informations gratuits :

Directions Agnitum (actualités sur les produits)

Entrez votre adresse email :

RSS feed
Termes d'utilisation    Rechercher    Plan du site    Nous contacter    Politique de confidentialité    Contacts presse    
Outpost Security Suite PRO   Outpost Firewall PRO   Outpost Antivirus PRO   Outpost Network Security
Tous droits réservés © 1999–2010, Agnitum Ltd.