Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Downloader (programmes téléchargeurs)

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
22.10.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour - Différenciation entre Downloader et Repack dans les installations indésirables

Les "Downloader" (programmes gestionnaires de téléchargements) sont des programmes installés côté client (dans le PC d'un utilisateur) et qui prennent en charge le téléchargement de fichiers depuis des serveurs. Les "Downloader" peuvent être légitimes ou totalement parasitaires.

Downloader (programmes téléchargeurs)Downloader (programmes téléchargeurs)Ecrire à propos de : Downloader (programmes téléchargeurs)v

Downloader (prononcer "daʊn loadeur") est un mot valise anglais à partir de "download manager" signifiant "gestionnaire de téléchargements" ou "téléchargeur" ou "programme téléchargeur" ou "programme de téléchargement".

Un Downloader peut se présenter sous la forme d'un logiciel autonome ou sous la forme d'un plugin à un navigateur Internet.

Normalement, un Downloader est un utilitaire dont le travail consiste à prendre en charge le téléchargement d'un fichier en gérant les points de reprises en cas de coupure de transmission et en s'assurant de l'intégrité du téléchargement (comparaison entre original et téléchargement, par un Condensat ou Hashcode).

Les Downloader prennent en charge les protocoles http et https (protocole de visite des sites Web...) et ftp (protocole de transfert de fichiers). D'autres protocoles peuvent être utilisés par certains Downloader : SFTP - MMS - RTSP - Metalink - Magnet link - Podcast - RTMP - BitTorrent - eDonkey.

Compte tenu de leur position dans un ordinateur, les Downloaders non Open Source sont, par nature, suspects. D'innombrables sites de téléchargements (de logiciels ou de n'importe quoi d'autre) en profitent pour imposer l'utilisation d'un downloader piégé.

Durant le premier semestre 2010, CA (Computer Associates) a fait des statistiques sur les découvertes de nouvelles menaces par ses antivirus. Les Downloader sont les deuxièmes plus nombreuses menaces découverts. Remarquez que les (vrais) virus n'existent quasiment plus.

Downloader et sites de téléchargement (de logiciels ou autres)Downloader et sites de téléchargement (de logiciels ou autres)Downloader et sites de téléchargement (de logiciels ou autres)

Des philanthropes âpres aux gains

Les sites de téléchargement ne sont pas des philanthropes. Ce sont des sites cherchant à gagner de l'argent facilement, sur votre dos et sur le dos des développeurs (de logiciels, de musiques, de vidéos, etc. ...). Ce sont des sites de monétisation.

  • Vous croyez que le téléchargement est gratuit, mais non ! Vous êtes leur produit !
  • Vous croyez que leur service est gratuit, mais non ! Vous êtes leur service !

Pour se faire de l'argent, les sites de téléchargement ont deux moyens essentiels (outre la publicité dont sont couvertes les pages de leurs sites Internet) :

  • Utiliser un téléchargeur (un downloader) piégé (trapped downloader) au lieu de vous permettre de télécharger directement ce que vous recherchez.
  • Utiliser un installeur piégé (trapped installer).

Ils agissent dans trois domaines principaux leur rapportant de l'argent :

Ce qu'ils font :

  • Vous délivrer de la publicité durant votre téléchargement en utilisant un downloader comportant un adware. Chaque publicité affichée et, surtout, cliquée, leur rapporte de l'argent.
  • Vous délivrer de la publicité après votre téléchargement en implantant un adware persistant, impossible à éradiquer de manière simple par l'utilisateur.
    • L'adware peut être celui du site de téléchargement et chaque publicité affichée et, surtout, cliquée, leur rapporte de l'argent.
    • L'adware peut être celui d'un tiers (une régie publicitaire agressive...) et chaque implantation réussie de l'adware leur rapporte de l'argent (la régie paye le site de téléchargement).
  • Modifier votre réglage d'un moteur de recherche préféré au profit d'un autre moteur de recherche, souvent un moteur de recherche menteur. Cette modification persistante, appelée Hijack, est impossible à éradiquer de manière simple par l'utilisateur. Chaque modification réussie de votre moteur de recherche leur rapporte de l'argent.
  • Modifier la page de démarrage de vos navigateurs Web au profit d'un autre site. Cette modification persistante, appelée Hijack, est impossible à éradiquer de manière simple par l'utilisateur. Chaque modification réussie de votre page de démarrage leur rapporte de l'argent.
  • Implanter une barre d'outils (Absolument toutes les barres d'outils sont malveillantes. Elles servent à modifier les résultats de recherche au profit de leurs auteurs (faire mentir les moteurs traditionnels) et à espionner tous vos centres d'intérêts, faits et gestes (pudiquement appelé Tracking)). Chaque implantation réussie de la barre d'outils leur rapporte de l'argent.
  • Implanter des logiciels qui n'ont rien à voir avec ce que vous cherchez à télécharger, des PUPs, afin de vous conduire à les tester et les acheter. Chaque PUP dont l'implantation est réussie leur rapporte de l'argent. Chaque PUP dont vous passeriez commande (un ordre d'achat) leur rapporte aussi de l'argent.

Les downloaders comme les installeurs sont du code qui s'exécute dans votre ordinateur. S'ils peuvent faire tout ce qui est décrit ci-dessus, ils peuvent faire n'importe quoi d'autre. Le pire est qu'ils le font à votre demande ! Et, de temps en temps, c'est tout autre chose qui est implanté à votre insu, comme des spywares, des backdoors, des outils de tracking, de zombification ou n'importe quoi de malveillant.

Les downloaders comme les installeurs communiquent avec un serveur, par la force des choses. De l'information remonte vers les serveurs, sans que l'internaute n'en soit informé, sans qu'il sache quelles informations sont volées, collectées et envoyées, et sans qu'il puisse s'y opposer.

Un downloader, comme un installeur, camoufle totalement à l'utilisateur les actions exécutées durant la phase de téléchargement et installation.

Les sites suivants, au moins, utilisent à plus ou moins grande échelle des téléchargeurs piégés (trapped downloader) et malveillants, (en outre, transformés en adwares), et / ou des installeurs piégés (trapped installer) et malveillants (en outre, transformés également en adwares). Ces sites utilisent les bundle, repack, sponsoring, etc. ... et nous obligent à utiliser des downloader inutiles transformés en outre, en adwares, pour se faire de l'argent, beaucoup d'argent, peu importe ce que cela induit dans les ordinateurs de leurs visiteurs. Le fait qu'ils couvrent leurs sites de sceaux de confiance farfelus, inexistants, invérifiables, etc. ... les rends encore plus douteux. Ces sites (et tous ceux de même nature) ne doivent jamais être utilisés. Il faut toujours rechercher un téléchargement depuis le site de son auteur et uniquement depuis le site de son auteur. Personne n'a besoin des sites de téléchargement, auxquels nous n'avons rien demandé, et qui nous le font payer (au prétexte de la " monétisation de leur service ". Ils sont payés par les éditeurs de malveillances, de barres d'outils, de hijackers (usurpateurs de vos réglages), de moteurs de recherches trompeurs ou menteurs, de logiciels inconnus et inutiles, de PUPs, etc. ... chaque fois qu'ils arrivent à vous convaincre d'en installer un ! ) :

L'utilisation d'un Téléchargeur (Downloader) piégé est très proche, dans l'esprit, de l'utilisation d'un installeur piégé (Repack). Les sites de téléchargement ne se privent d'ailleurs pas d'utiliser les deux, Téléchargeur (Downloader) piégé puis Installeur piégé (Repack).

Circuit normal de la distribution de logiciels, sans sponsor ni repack
Circuit normal de la distribution de logiciels, sans sponsor ni repack

Circuit biaisé de la distribution de logiciels, avec repack de l'installeur et qui peut être précédé, sur un site de téléchargement, d'une autre malveillance, le Downloader.
Circuit biaisé de la distribution de logiciels, avec repack de l'installeur et qui peut être précédé, sur un site de téléchargement, d'une autre malveillance, le Downloader.

En 2011 / 2012, suite essentiellement au scandale du C|Net (Download.com), les internautes ont fait pression sur les éditeurs. Les éditeurs, comme s'ils n'étaient pas informés, ont alors brassé de l'air et se sont offusqués, à grands coups d'articles cherchant à se dédouaner et se blanchir, de l'usage, par les grands sites de téléchargement qu'ils utilisent, non seulement d'un Téléchargeur (Downloader), sans prévenir leurs utilisateurs, mais, également, de la modification de leurs logiciels par l'usage d'un installeur autre que le leur (technique du Repacking), à leur insu, truffé d'adwares, de barres d'outils (toolbar), de Hijackers, d'inscriptions de Moteurs de recherches menteurs, etc. ...

Résultat des courses : les grands sites de téléchargement font un bras d'honneur aux internautes et aux éditeurs de logiciels ! Ils continuent à utiliser un Téléchargeur (Downloader), sous leurs gros boutons " Télécharger ", bien visible et sur lequel tout le monde se précipite. Quelques-uns ont simplement ajouté, très discrètement, très petit, quasiment invisible et sans explication sur sa présence, un lien appelé " Lien direct " ou " Direct Download Link ", etc. ... qui ne veux rien dire à personne et disparaît petit à petit, jusqu'au prochain gros scandale.

Downloader - Solutions légitimesDownloader - Solutions légitimesDownloader - Solutions légitimes

Il existe des Downloader légitimes, que vous choisissez et installez. Retenons JDownloader, un logiciel libre, gratuit et Open source.

http://jdownloader.org/download/offline


Downloader - Solutions criminellesDownloader - Solutions criminellesDownloader - Solutions criminelles

Le plus connu des téléchargeur (Downloader) cybercriminels fut le Downloader du logiciel de copie de fichiers pirates (films, musiques, etc. ...) KaZaA. Ce Downloader téléchargeait et installait immédiatement le cheval de Troie KaZaA qui embarquait de nombreux virus, hijackers, adwares... Ce Downloader installait également d'autres parasites qui prenaient à leur tour en charge d'autres téléchargements et installations d'autres virus, dans un système pyramidal de compromission des ordinateurs.

Est-ce que le programme que je viens de télécharger est réellement le programme recherché ou est-ce un simple downloader ?Est-ce que le programme que je viens de télécharger est réellement le programme recherché ou est-ce un simple downloader ?Est-ce que le programme que je viens de télécharger est réellement le programme recherché ou est-ce un simple downloader ?

Un principe de base, que vous devez respecter, est de ne télécharger un programme qu'à partir du site officiel de son auteur / créateur.

Qu'en est-il lorsque le téléchargement se fait à partir d'un site de téléchargement ? Vous n'avaez pas de moyen simple et immédiat pour savoir si le site visité vous propose un téléchargement directe depuis le site du créateur de l'objet à télécharger, ou s'il passe par un logiciel téléchargeur (Downloader).

  • Une méthode consiste à comparer la taille connue du logiciel avec la taille du fichier qui vient d'être téléchargé.
    • La taille réelle de l'objet à télécharger est généralement donnée par l'éditeur officiel de l'objet, sur son site (ou sur des sites fiables donnant la taille des fichiers à télécharger).
    • La taille du fichier téléchargé est trouvée dans l'Explorateur Windows.
    Si ce n'est pas la même taille, c'est douteux (vérifier si on parle bien de la même version et analyser ici), et si c'est franchement plus petit, c'est un téléchargeur (Downloader) (analyser ici mais, généralement, le téléchargeur (Downloader) est un truc qui apparaît bien propre).

    Les navigateurs annoncent la taille de l'objet qui va être téléchargé, avant que le téléchargement ne commence. Dans cet exemple, on souhaite télécharger le navigateur Opera depuis le site 01net.com, mais le navigateur utilisé (ici Firefox), annonce que l'objet qui va être téléchargé pèse 615 KO. Ce ne peut pas être le navigateur Opera. Même sans être un utilisateur averti, on se doute bien qu'un navigateur est quelque chose de beaucoup plus " gros " que cela (La version d'Opera, au moment de cet exemple, pèse 29,6 Mo (31 126 536 octets). L'objet qui va être téléchargé n'est donc pas l'objet sollicité mais un téléchargeur (Downloader).

    L'objet qui va être téléchargé est bien trop petit pour correspondre à l'objet sollicité. C'est un téléchargeur (Downloader) - 17.07.2013
    L'objet qui va être téléchargé est bien trop petit pour correspondre à l'objet sollicité. C'est un téléchargeur (Downloader) - 17.07.2013

    Quel est le problème ? Eh bien, c'est programme qui est téléchargé et que l'on va exécuter. On ne sait pas ce que c'est, ni ce qu'il fait. Oh, oui, il va prendre en charge le téléchargement de l'objet sollicité, mais, que va-t'il faire d'autre ?

Le downloader joue à l'installeurLe downloader joue à l'installeurLe downloader joue à l'installeur

Complètement anormalement, et généralement dans des cas de propagation de virus et de cybercriminalités, le téléchargeur (Downloader) peut prendre immédiatement en charge l'installation de l'objet sollicité (ou tout autre chose, on n'en sait rien) et / ou pratiquer divers enregistrements dans le Registre Windows.

Le téléchargeur (Downloader) se complète alors d'une fonction d'installeur (ou lance automatiquement l'exécution de l'installeur du téléchargement qui n'interagit pas avec l'utilisateur (on ne sait pas ce qui se passe). Ce genre de comportement empêche l'utilisateur d'analyser quoi que ce soit avec un antivirus ou tout autre outil ou service de sécurité.

De nombreux sites de téléchargements, très bien référencés dans les moteurs de recherche (ils apparaissent dans les tout premiers résultats de recherches), obligent à passer par de tels téléchargeur (Downloader). Le site de téléchargement vient, probablement, de contaminer et compromettre l'ordinateur en déployant quelque chose, un adware et / ou une barre d'outils. Le site de téléchargement est rémunéré (on dit " sponsorisé ") par l'éditeur de l'adware et / ou par l'éditeur de la barre d'outils à chaque installation.

Dans certains cas, ne concernant pas les grands sites de téléchargement ayant pignon sur rue, mais des sites purement criminels (hack, crack, warez, etc. ...) , le téléchargeur (Downloader) va implanter des cybercriminalités de type Zombi ou backdoor ou calcul distribué ou cheval de Troie, etc. ... qui, eux-mêmes, peuvent prendre en charge le téléchargement et l'installation de nouveaux virus et cybercriminalités, dans un système pyramidal.

Un downloader n'est pas un Cheval de TroieUn downloader n'est pas un Cheval de TroieUn downloader n'est pas un Cheval de Troie

Une erreur commune consiste à qualifier un downloader de Cheval de Troie. En tant que parasite, et comme sa classe de parasites l'indique, un Downloader n'est pas un Cheval de Troie. Les Chevaux de Troie embarquent une charge active (un ou des parasites), ce qui n'est jamais le cas des téléchargeur (Downloader) car ils doivent être vu comme des logiciels "propres" par les antivirus, c'est leur manière de traverser les couches de sécurité.

Si l'utilisateur persiste à vouloir utiliser le downloader pour télécharger un logiciel ou un objet convoité, au lieu d'aller directement sur le site de son éditeur, le downloader doit être autorisé, par l'utilisateur, à traverser le pare-feu dans les deux sens. Il est alors impossible de savoir ce qu'il fait réellement, ni ce qui est téléchargé, ni ce qui est envoyé vers l'extérieur.

Contrairement aux trojans (Chevaux de Troie) qui embarquent une charge active avec eux, les downloader n'embarquent que les liens, cryptés, stockés dans leur corps, vers les charges actives qu'ils ont le devoir de télécharger (downloader) et installer.

  • Ceci leur permet d'être plus petits et donc de "passer" plus facilement.
  • Ceci permet aussi de les modifier très facilement, tant au niveau des liens embarqués qu'au niveau de leurs propres signatures ce qui les rend plus furtifs.
Typiquement (et historiquement), une demande de téléchargement de KaZaA (le plus célèbre logiciel de téléchargement, avant que " Torrent " n'existe), commence par le téléchargement d'un petit downloader qui prend en charge le téléchargement en lui-même et l'installation d'un vaste ensemble pyramidal de cybercriminalités qui firent les beaux jours de nombreux anti-spywares à une époque où ce type de logiciel était à peine naissant.

Un autre cas de figure est celui de Microsoft qui ne sait pas mettre un fichier en téléchargement sans nous faire passer par un downloader. C'est le cas de Windows Update. C'est le cas de Microsoft Windows Defender Online - WDO (ex Microsoft Standalone System Sweeper - MSSS). Pour télécharger cet outil antivirus sous sa forme ISO (qui permet de le démarrer depuis un support amovible bootable, comme un CD, un DVD ou une clé USB afin de décontaminer une machine totalement compromise par ailleurs), Microsoft oblige à passer par un downloader. Ce dernier va mettre entre 40 minutes et plus de deux heures à télécharger l'iso là où tous les autres éditeurs de la planètes mettent entre 3 et 4 minutes ! (Comparaison des temps de téléchargement d'outils similaires chez 16 éditeurs, entre les 4 et 11 mais 2012, lors de la préparation d'une version de SARDU). Que fait ce downloader entre temps ?!

Downloader - Microsoft "WDO" utilise un Downloader qui met entre 40 minutes et 2h05' (plusieurs vérifications faites) à télécharger un iso de 244 MO là où BitDefender met 10 minutes à télécharger un iso de 388 MO ! Le Downloader de Microsoft est suspect de balayer la totalité de la machine sur laquelle s'installe WDO et de faire remonter toute l'information à Microsoft !
Downloader - Microsoft "WDO" utilise un Downloader qui met entre 40 minutes et 2h05' (plusieurs vérifications faites) à télécharger un iso de 244 MO là où BitDefender met 10 minutes à télécharger un iso de 388 MO ! Le Downloader de Microsoft est suspect de balayer la totalité de la machine sur laquelle s'installe WDO et de faire remonter toute l'information à Microsoft !

Le problème est quadruple :

  1. Le fait que le downloader soit présent sur une machine signifie qu'elle a été pénétrée. Il y a donc une faille de sécurité à chercher.
  2. Le downloader en lui-même qui est un parasite à éradiquer
  3. La ou les parasites qu'il a pu télécharger et installer. Il convient de scanner intégralement la machine ou le réseau.
  4. Il faudra s'assurer que les données ne sont pas compromises et changer tous les mots de passe

Eradication des Downloader - Lien permanentEradication des DownloaderEcrire
Seuls les Downloader hostiles seront détectés.
Antivirus gratuit installé localement, sur la machine
Antivirus commercial installé localement, sur la machine
Antivirus en ligne
Antivirus sur un support amovible bootable (Rescue CD / Rescue USB)

Comprendre de quoi il retourne - Téléchargements avec ou sans Downloader - Lien permanentComprendre de quoi il retourne - Téléchargements avec ou sans DownloaderEcrire
  1. Procédure normale, naturelle, de téléchargement :
    Dans une procédure normale de téléchargement, lorsque vous demandez le téléchargement d'un fichier, de quelque nature qu'il soit,
    vous recevez le fichier, un point, c'est tout.

    Pour vous assurer qu'il a été reçu correctement vous pouvez regarder le hashcode du fichier calculé par l'émetteur (il faut que l'émetteur du fichier l'ait publié) et le comparer au hashcode que vous calculez vous-même avec un outil comme SummerProperties.

    Une fois le téléchargement terminé, vous pouvez couper la connexion Internet dont vous n'avez plus besoin pour utiliser votre fichier (le lire, l'ouvrir, l'installer si c'est un programme, le copier, le déployer sur plusieurs machines, en faire ce que vous voulez...). Tout doit se passer normalement, connexion coupée.

  2. Procédures inhabituelles de téléchargement par "downloader" :
    Certains éditeurs de logiciels ne permettent pas l'usage de la procédure "naturelle". Ils souhaitent marquer à la culotte (traquer - épier - tracer) les utilisateurs de leurs fichiers.

    Le téléchargement auquel vous procédez se passe en deux temps. Il vous est envoyé un petit programme, un "downloader", qui prend en charge le téléchargement du fichier demandé. La connexion Internet doit rester ouverte et des flots d'informations (on ne sait lesquelles) sont transmis de votre ordinateur vers le serveur de l'éditeur.

    Dans le même temps, un temps camouflé par le téléchargement apparent, le "downloader", qui est une application en train de s'exécuter sur votre machine, fait ce qu'il veut !

    C'est ainsi que le célèbre et très demandé outil de téléchargement de films et musiques piratés, KaZaA, était installé par un "downloader". En plus d'installer KaZaA, installait et verrouillait une quinzaine de parasites de toutes natures en même temps (chaque installation de KaZaA, et il y en a eu des millions, rapportait à l'éditeur de KaZaA une quinzaine de ventes, à l'insu des internautes, de barres d'outils espionnes, d'adwares (logiciels incrustant de la publicité partout et espionnant pour pratiquer le Profiling et le Marketing Comportemental) etc. ...

    D'autres éditeurs, plus propres, utilisent cette méthode sous divers arguments comme : "Ainsi nous sommes sûr de vous livrer la dernière version de notre logiciel dans sa bonne déclinaison compte tenu de votre langue et de votre version de Windows... Nous avons également inclus la capacité de reprise du téléchargement en cas de coupure et le contrôle d'intégrité du téléchargement etc. ... ". Même l'Open Source "Open Office" a utilisé cette procédure !

    Il convient de souligner la courtoisie d'un éditeur : MicroWorld Technologies Inc.
    Il convient de souligner la courtoisie de MicroWorld Technologies Inc. pour sa procédure de téléchargement de eScan Rescue Disk, qui prévoie un downloader (bloqué si la navigation est bien réglée - dans l'exemple ci-dessous avec Firefox et le module additionnel NoScript), mais prévoie également la réticence des utilisateurs à utiliser un downloader.

    Le lien figurant sur la page de MicroWorld eScan est celui d'un outil de téléchargement (un "downloader") écrit en Java et téléchargé depuis les serveurs d'Akamaï (la plus importante société d'hébergement au monde avec les seveurs les plus rapides du monde). Cet outil permet la gestion de points de reprise d'un téléchargement en cas de coupure de communication. Il est accompagné d'une signature numérique, ce qui permet de passer les outils de sécurité suspicieux avec les téléchargements non signés. Si, pour des raisons évidentes de sécurité, vous refusez que soit installé un "downloader" sur votre machine, il faut utiliser le lien direct, clairement affiché sur la page de MicroWorld eScan). Dans une bonne configuration de navigation (ici avec Firefox et le module additionnel NoScript), le "downloader" (l'applet JAVA) est bloqué.
    :

    Downloader - MicroWorld Technologies Inc. a la courtoisie de proposer une solution alternative au téléchargement par downloader
    MicroWorld Technologies Inc. a la courtoisie
    de proposer une solution alternative au
    téléchargement par downloader
    Downloader - MicroWorld Technologies Inc. a la courtoisie de proposer une solution alternative au téléchargement par downloader
    SARDU - MicroWorld Technologies Inc. a la
    courtoisie de proposer une solution alternative
    au téléchargement par downloader


    Le cas des mises à jour de Microsoft
    Si vous n'utilisez pas Windows Update et souhaitez télécharger les correctifs pour les appliquer localement, Microsoft tente, par défaut, de télécharger un downloader que vous devez lancer, connexion ouverte, pour qu'il prenne en charge le téléchargement des correctifs et leurs installations ! Vous êtes cernés ! Soit c'est Windows Update de Microsoft qui vous espionne, soit c'est le downloader de Microsoft qui vous espionne !

    Le téléchargeur (downloader) va demander à votre pare-feu (que vous avez installé, bien sûr !) le droit de sortir, droit que vous lui accorderez mais vous n'oublierez pas, dès l'installation terminée, de retourner dans votre pare-feu pour lui interdire de se connecter à nouveau à votre insu. Vous tenterez de regarder dans la "Liste de démarrage" de votre ordinateur, et dans le gestionnaire de planification de tâches, s'il tente de se lancer, afin de l'en dissuader.

    La contre-mesure à cette procédure consiste, chaque fois que cela est possible, à télécharger la version dite "réseau" de l'application ou du correctif. Dans ce cas, afin de vous permettre de déployer une application ou un correctif sur plusieurs machines (et parce que bon nombre d'ordinateurs ne sont tout simplement pas connectés à l'Internet), le téléchargement est "naturel". Mais rien n'empêche l'éditeur, une fois l'application ou le correctif installé, de vous obliger à vous connecter pour vous "enregistrer" (terme ambigu s'il en est !). Avez-vous remarqué le nombre de correctifs Microsoft qui vous demandent d'accepter des clauses alors qu'il s'agit de simples correctifs à des failles critiques de Microsoft dans ses logiciels pour lesquels nous avons déjà accepté des clauses (sans pouvoir les discuter, d'ailleurs !).

  3. Procédure parasitaire de téléchargement :
    Le downloader s'est installé à votre insu (exploitation d'une faille de sécurité, téléchargement involontaire en visitant une page Web piégée...). C'est un parasite pur. Son rôle est de télécharger d'autres parasites qui, parfois, sont eux-mêmes, également, des downloader en sus de leur activité principale (virus, trojans, adware, keylogger, spyware etc. ...) dans un système pyramidal.
    Vous devez décontaminer votre machine.
    Vous devez corriger toutes les failles de sécurité.
    Vous devez régler votre navigation sur l'Internet
    Vous devez disposer d'un bon antivirus à jour et correctement paramétré.


Downloader - Attitude après la découverte d'un parasite - Lien permanentDownloader – Contre-mesures – Attitude après la découverte d'un parasite.Ecrire

En cas d'attaque (soit le downloader en lui-même est une cybercriminalité, soit il a installé une ou plusieurs cybercriminalité) :

Quelle attitude avoir et quelles actions entreprendre après la découverte d'un parasite ?

Il faut agir dans 3 directions différentes simultanément. La présence d'un parasite, voire même d'un truc apparemment anodin mais inattendu, ne doit pas être prise à la légère (y compris la présence de simples documents tels des cours de crack ou de hack ou de carding (Anarchie, Carding, Cracking, etc. ...)). L'éradication du parasite ne constitue pas, à elle seule, la phase de décontamination. Elle doit être le déclencheur d'une réflexion, faute de quoi, le virus PEBCAK ouvre une nouvelle brèche.

  1. Il faut éradiquer le parasite
    La première chose à faire est, bien entendu, de corriger immédiatement les effets de la contamination en supprimant la contamination elle-même.

  2. Il faut rechercher les causes en amont
    Chercher, en amont, les causes de la présence du parasite : Pourquoi ? Comment ? Quand ? Où ?... et corriger le tir.

  3. Il faut prévoir les conséquences en aval
    Chercher, en aval, les conséquences éventuelles de l'action du parasite à l'encontre de la machine, des données, du réseau, de l'entreprise, de nous même etc. ... Compromission des mots de passe, des moyens de paiement, des contrats en cours avec les prospects, des tarifs négociés avec les fournisseurs, détournement de clientèle, risque de révélation de données confidentielles, risque de perte d'un savoir faire non protégé par un brevet etc. ...

Opérations à engager :

L'administrateur réseau ou l'ingénieur en charge de la sécurité devra, tout aussi bien qu'un particulier sur sa machine personnelle :

  1. Eradiquer le parasite :
    Il y a trois possibilités :

    1. Installer et exécuter un antivirus local, si la machine le supporte encore.
      Antivirus

    2. Installer et exécuter un antivirus en ligne, si la machine le supporte encore.
      Antivirus en ligne (et toutes analyses en ligne d'un ordinateur)

    3. Booter à partir d'un support amovible (Rescue CD ou Rescue USB).
      A faire si la machine est compromise au point de ne plus pouvoir exécuter d'outils de décontamination (même tapoter sur la touche de fonction F8 au démarrage et démarrer Windows en mode sans échec avec prise en charge du réseau n'est plus possible - présence de Root Kit...).
      Préparer, sur un support amovible (CD, DVD, Clé USB...), un à plusieurs outils de décontamination et booter à partir de ce support. Voir l'excellent outil SARDU pour une préparation d'un support multiboot pouvant embarquer tous les RESCUE CD existant et d'autres outils sur un seul support !

  2. Rechercher, en amont, la faille ayant permis l'introduction de ce parasite :
    La présence de ce parasite signifie qu'une faille de sécurité a permis son introduction.

  3. Rechercher, en aval, les conséquences possibles et prendre les mesures nécessaires :
    En fonction de la nature du parasite (de sa classe), nous prendrons les mesures nécessaires. Par exemple :

    • Si le parasite trouvé vise les mots de passe, il faut immédiatement imaginer qu'ils sont tous compromis. Nous sommes donc en présence d'une nouvelle faille de sécurité sur tous les comptes internes et externes (réseaux, banques...). Il convient donc de tous les changer immédiatement (construire des mots de passe - tester la solidité des mots de passe).
    • Si le parasite a volé des documents confidentiels, il convient peut-être d'utiliser des outils de veilles sur l'Internet pour détecter l'émergence de données copiées ou similaires...
    • Etc. ...

Opérations connexes :

  1. Essayer de remonter à la source : en vertu du vieil adage policier "chercher à qui le crime profite", chercher en remontant dans les logs, une identification éventuelle d'un l'utilisateur (poste de travail, login, adresse IP etc. ...) et les données qui ont pu être révélées. Se prémunir juridiquement en portant plainte immédiatement. Ici, on piétine la notion "simpliste" de "vie privée" en privilégiant l'usage et la conservation de journaux, mais, sans leurs présences, toute analyse et recherche d'une attaque devient problématique. Ce n'est pas l'existence de fichiers de "log" qui pose problème, c'est l'usage que l'on en fait et les personnes qui y ont accès.

  2. Rechercher la présence d'autres parasites.

  3. Si le parasite concerne le crack de licences internes (de logiciels...), on pourra, éventuellement, se prémunir juridiquement, en prévenant les éditeurs et, d'autre part, porter plainte, à titre conservatoire.

  4. Si le parasite concerne le crack (password cracking) ou le vol (password stealing) de mots de passe ou autres données cryptées on recherchera aussi la possibilité de fuite de la clé de cryptage elle-même. On sera attentif aux mots de passe écrits sur un Post-it collé sur l'écran ! On suspectera le personnel licencié assouvissant une vengeance... (dans ce dernier cas, les mots de passe auraient dû être changés dès l'envoi de la convocation à l'entretien préalable au licenciement puis changés à nouveau dans la minute qui suit l'entretien préalable et une nouvelle fois au moment du dernier départ physique de la personne licenciée, à l'issue du préavis. Entre-temps, tous ses accès auraient dû être supprimés ou extrêmement restreints).

  5. En entreprise, on retirera tous les outils matériels susceptibles de permettre une lecture ou une copie. Ils seront disposés en service à accès contrôlé, sur des machines disposées dans une pièce distincte, accessible sur justification et autorisation. Tous les périphériques amovibles sont concernés, y compris les disques durs montés en tiroirs extractibles, les lecteurs de disquettes, les lecteurs de bandes, les lecteurs/graveurs de CD/DVD/Blue Ray, tous les ports de cartes mémoire (Flash cards, Memory sticks), tous les ports USB etc. ... On sera particulièrement méfiant à l'égard des dispositifs USB conformes U3 (dont les menaces de type PodSlurping). D'une manière générale, toute personne qui communique, toute machine qui communique et suspecte !

  6. Les mots de passe des BIOS seront extrêmement durci (construire des mots de passe - tester la solidité des mots de passe) sur une carte-mère rendue inaccessible par l'usage de boîtiers verrouillés et disposants d'un contact d'ouverture déclenchant une alerte réseau grâce à une petite tâche active en permanence (la machine ne devant jamais être éteinte). Les accès à tous les autres périphériques bootables seront inhibés au niveau du BIOS si les périphériques ne sont pas ôtés physiquement de la machine.

  7. En entreprise, on retirera ou restreindra tous les outils logiciels susceptibles de permettre une copie dont le protocole FTP, les outils FTP, les clients et serveurs P2P, les accès aux machines et répertoires du réseau...

  8. L'introduction du parasite sur la machine infectée ayant pu se faire à distance cela peut signifier, selon la nature du parasite, qu'un individu l'y a introduit non pas pour l'exploiter mais pour le cacher. C'est une mesure de sécurité élémentaire chez ceux qui manipulent des documents ou utilitaires très critiquables : ils ne les planquent pas chez eux mais chez les autres. Donc, pour revenir les chercher ou les utiliser, l'individu a probablement ménagé une porte : on recherchera du côté des RATs et des backdoor.

RessourcesRessourcesRessources

Downloader

Généralistes (gratuits)

Généralistes (commerciaux)

Spécialisés

Plugins downloader Mozilla (Firefox...) sous Microsoft Windows


Quel Plugin Mozilla (FireFox...) pour tel type MIME


 RequêtesRequêtesRequêtes

Downloader
Gestionnaire de téléchargement