Articles IT et Télécoms

Les méthodes d’infections virales ou comment votre ordinateur se fait-il piéger à votre insu ?

A chaque jour qui passe, des centaines de nouveaux codes malveillants sont détectés par les éditeurs de logiciels de sécurité. Malgré cette prolifération apparemment incontrôlable des menaces, il est important de comprendre, pour mieux se protéger, que les pirates utilisent toujours les mêmes techniques. Typologie des méthodes employées et conseils de protection.

Depuis la création, en 1983, d’un des premiers virus par un dénommé Fred Cohen, des dizaines de milliers de virus ont vu le jour pour le plus grand dépit des utilisateurs dont les ordinateurs ont été infectés.

Les attaques virales, si elles ont longtemps été l’apanage quasi exclusif des PC sous Windows, concernent de plus en plus Mac OSX. On a vu ainsi Apple reconnaître récemment que son système avait été l’objet d’une attaque ayant touché plus de cinq cent mille machines et finalement devoir admettre que son système n’était pas aussi invulnérable qu’ils l’auraient souhaité.

Les smartphones commencent à être touchés, particulièrement les terminaux Android qui sont les plus visés à ce jour, car les plus nombreux et sans doute également les plus faciles à pénétrer.

La multiplication des programmes malicieux et leur diversité ont obligé les spécialistes à préférer les termes de « codes malveillants ».

Typologie des attaques

Celles-ci sont principalement de trois types : les virus, les vers et les chevaux de Troie.

Le virus : Il s’agit d’un programme autoreproducteur à caractère offensif qui agit en trois phases :

  • l’infection dont nous parlerons dans cet article.
  • l’incubation visant à limiter ou empêcher sa détection par l’utilisateur ou l’antivirus et parfois de disparaitre une fois l’opération terminée.
  • la maladie : la charge finale est activée et le mode de déclenchement peut dépendre de nombreux facteurs : date symbolique, frappe sur le clavier de certaines touches…

Le ver : à la différence d’un virus, il est capable de se dupliquer et de se diffuser tout seul via des services de messagerie instantanée ou de courrier électronique. Le principal vecteur de propagation est la pièce jointe à un email.

Le cheval de Troie : Composé de deux parties, un module serveur (soldats grecs cachés dans le célèbre animal) et un module client (armée grecque entrant dans la ville).

Le serveur est dissimulé dans un programme anodin et donne au pirate l’accès aux différentes ressources du PC; il peut ainsi en prendre le contrôle à distance (transfert de fichiers, exécution d’un code malveillant, destruction de données…).

Installé sur le PC du pirate, le module client utilise la commande Ping (en quelque sorte un sonar repérant les machines émettant des paquets IP) pour rechercher sur le web des PC infectés par le module serveur.

Modes d’infection

  • Le téléchargement d’un contenu apparemment anodin

Les pièces jointes aux emails représentent l’un des principaux vecteurs d’infection.

Les internautes étant de plus en plus sensibilisés aux menaces liées à des photos ou des vidéos comiques ou aguicheuses, les pirates camouflent maintenant des codes malveillants dans des documents bureautiques. L’objectif est double : ne pas éveiller les soupçons des utilisateurs et ne pas être repéré par l’antivirus.

« Il est possible d’infecter un ordinateur très simplement en plaçant un cheval de Troie via Office 2010 ou Open Office », explique Éric Filiol, un des meilleurs experts français en sécurité. Des tests effectués dans son laboratoire ont démontré que les antivirus ne repéraient aucun fichier suspect !

Cette technique redoutable permet notamment d’organiser des attaques ciblées, c’est-à-dire visant une personne ou une entreprise en particulier. L’opération est encore plus efficace, voire imparable, si l’attaquant a mené au préalable une mission de social engineering consistant à récupérer des informations précises quant à l’organigramme de l’entreprise et les us et coutumes des cibles…

« Dans tous les cas, c’est la victime qui clique sur le fichier pour l’ouvrir volontairement. Mais un pirate peut aussi profiter d’un mot de passe défaillant ou d’un moment d’inadvertance pour installer un code malveillant sur l’ordinateur de sa victime, soit en y accédant physiquement, soit en y accédant à distance », précise Éric Freyssinet, Lieutenant-colonel (Gendarmerie Nationale), chef de la division de lutte contre la cybercriminalité.

  • Les supports amovibles

Il s’agit principalement de la clé USB qui renferme un fichier infecté. La propagation peut rapidement s’étendre si l’ouverture automatique du contenu des supports amovibles est activée sur le système d’exploitation. Les salariés doivent donc être vigilants. Mais les mises en garde régulières ne semblent pas efficaces. Cet été, la société néerlandaise DSM (produits chimiques) a été victime d’une tentative d’attaque réalisée à partir d’une clé USB qu’un des salariés avait ramassée sur le parking près de son bureau…

  • Les réseaux sociaux

Selon différentes études menées par des éditeurs de solutions de sécurité, environ 10 % des liens publiés sur les murs de Facebook pointent vers des applications malveillantes. Principal ressort employé par les pirates : la curiosité. Ce fut le cas en avril 2011 lorsqu’un virus s’est répandu via une fausse application appelée « Qui a consulté ton profil ? ». Lorsqu’on cliquait sur le lien, un processus invitait automatiquement tous les amis à un événement.

  • Les failles dans les logiciels et les systèmes d’exploitation

Les navigateurs web, mais aussi les clients de messagerie sont capables d’afficher des « contenus enrichis ». Or, ces programmes et leurs extensions (Flash et Java en particulier) sont susceptibles de présenter des failles.

Les vers profitent également de ces failles pour se propager. Ainsi, Conficker, encore très présent aujourd’hui sur Internet alors qu’il est apparu en 2008, utilise trois modes de propagation : une vulnérabilité d’un des protocoles de communication réseau sous Windows, mais aussi le partage de répertoires sur les réseaux locaux ou encore le partage de supports amovibles.

Les risques de propagation sont accrus lorsqu’il s’agit de failles dites « zero day » c’est-à-dire découvertes et rendues publiques avant la publication de correctifs. Ce fut le cas en septembre 2012 lorsque la firme de sécurité Rapid7 a repéré un bug non corrigé dans Internet Explorer 7, 8 et 9 pouvant être exploité sous Windows XP, Vista et Windows 7.

Comment se protéger ?

Si le « risque zéro » n’existe pas, il convient de mettre en place des bonnes pratiques afin de limiter les risques d’infection, et surtout, de propagation.

La première règle est de mettre à jour les systèmes d’exploitation et les logiciels installés sur les ordinateurs.

Cette précaution vaut aussi pour les terminaux mobiles. Même si le risque est encore aujourd’hui limité, ils peuvent être infectés par un code malveillant (vol de données, appels automatiques vers des numéros surtaxés…).

La seconde règle consiste à installer un antivirus sur les PC et à activer son pare feu.

L’anti-virus doit être configuré de façon à actualiser automatiquement sa base virale dès le lancement du système d’exploitation. Il doit aussi être réglé pour scanner toutes les pièces jointes et les supports amovibles comme les clés USB. Concernant celles-ci, la désactivation des fonctions de démarrage automatique (clé USB ou réseau) est indispensable pour réduire les risques d’infection.

Enfin, les utilisateurs doivent être vigilants en s’interdisant de cliquer sur des pièces jointes ou des liens envoyés par des inconnus et en évitant de télécharger un système d’exploitation ou un logiciel (gratuit ou propriétaire avec une licence) sur des sites de peer-to-peer. Si cette opération est nécessaire, Il faut toujours privilégier la plateforme officielle de l’éditeur.

Discussion

Les commentaires sont fermés.

%d blogueurs aiment cette page :