Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée

Drive-by download

Dernière mise à jour : 2017-04-28T00:00 - 28.04.2017
02.07.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

"Drive-by download" est l'une des méthodes utilisées pour pénétrer un ordinateur à l'insu de son propriétaire, aux fins d'installations de cybercriminalités.

Drive-by downloadDrive-by downloadDrive-by download

Drive-by download est l'une des méthodes les plus utilisées par les cybercriminels pour pénétrer un ordinateur.

Drive-by download est employée, par exemple, dans les mécanismes publicitaires, ce qui conduit à bloquer totalement la publicité.

1.300.000 publicités malicieuses par jour

Selon une étude publiée par ZDNet le 18 mai 2010, 1.300.000 publicités malicieuses seraient vues chaque jour avec 59% d'entre elles utilisant un "drive-by-download" conduisant, dans 41% des cas, à des faux logiciels de sécurité (des rogues ou crapwares). Google donne des chiffres similaires en estimant que les faux antivirus comptent pour 50% des malwares vendus au travers de publicités malicieuses.
Research: 1.3 million malicious ads viewed daily


Des drive-by download partout !

Un site Internet sur 62, soit plusieurs dizaines à centaines de millions de sites Internet, contiennent une attaque du type « Drive-by Download » qui inscrit de force un à plusieurs parasites (adware, barre d'outils, hijackers, zombificateur, keylogger, spyware, backdoor (porte dérobée), voleur de mot de passe, rogue, crapware, scareware, etc. …) dans votre ordinateur tandis que vous croyez naviguer paisiblement sur le Web. Google rapportait, en 2007, qu'un site sur 10 hébergeait un Drive-by Download. En 2008, Sophos (un acteur majeur des antivirus) estimait que 6000 sites nouvellement infectés par un Drive-by Download apparaissaient chaque jour.

Drive-by download
Drive-by download

Drive-by download signifie deux choses, chacune conduisant au téléchargement et à l'installation, dans un ordinateur, d'un logiciel informatique, depuis l'Internet.
  1. Les téléchargements autorisés par l'utilisateur, mais sans que celui-ci en comprenne les buts et les conséquences.

    • Les téléchargements qui installent une contrefaçon piégée d'un programme connu. (Contre-mesure : les logiciels doivent toujours, et exclusivement, être téléchargés depuis le site d'origine de l'éditeur du logiciel, et depuis aucun autre site).

    • Les téléchargements volontaires de logiciels semblant répondre à l'attente de l'utilisateur, mais qui s'avèrent être des crapuleries (Contre-mesure : plus de 1.000 logiciels crapuleux, essentiellement de faux logiciels de sécurité, faux antivirus etc. ..., répertoriés dans la Crapthèque).

    • Les composants actifs de pages WEB, comme que les contrôles ActiveX ou les applications Java (Contre-mesure : désactiver totalement et définitivement la technologie Microsoft ActiveX, permettre constamment à JAVA de se mettre à jour, utiliser un antivirus temps réel (on_access)).

  2. Les téléchargements qui se produisent à l'insu de l'utilisateur.

    • Un cybercriminel infecte des sites WEB très visités, en exploitant une faille de sécurité des logiciels serveurs sur les ordinateurs où sont hébergés ces sites. Toutes les pages WEB de ces sites sont modifiées à l'insu de leurs propriétaires et de leurs visiteurs. Du code actif additionnel est injecté dans chaque page servie au visiteur. Ce code additionnel va exploiter une faille de sécurité du navigateur ou exploiter le fait que la technologie ActiveX n'a pas été désactivée ou que la machine virtuelle Java n'a pas été mise à jour etc. ... Cela va permettre au cybercriminel d'implanter un virus ou un logiciel espion (spyware), ou un logiciel malveillant ou une cybercriminalité comme les Rançongiciels (ransonware).

Un Drive-by download peut se produire :
  • Lorsque vous visitez un site web
  • Lors de l'affichage d'un message courriel (raison pour laquelle le volet de visualisation des messages doit toujours être fermé)
  • En cliquant sur une fausse fenêtre système ou un bouton d'une fausse fenêtre système, induit en erreur par son apparence et son contenu. Par exemple, par un faux rapport d'erreur du système d'exploitation.
  • En cliquant sur une publicité.
  • En cliquant sur une fenêtre pop-up trompeuse. Par exemple une fausse fenêtre anti-pop-up prétendant qu'une publicité a été bloquée.
  • Sans rien faire ! Si le paramétrage, dans le navigateur, n'avait pas été de toujours poser la question à l'utilisateur, lorsqu'un téléchargement est initié, celui-ci se serait passé à l'insu de l'utilisateur (dans ce cas, nous avons tenté d'enregistrer le fichier afin de l'analyser, mais il a été purement et simplement empêché de s'installer par l'antivirus) :

    Drive-by download
    Drive-by download - ici, la régie publicitaire DoubleClick, qui appartient à Google
Dans ces trois derniers cas, l'utilisateur a cliqué quelque part. Le «fournisseur» de l'attaque, s'il est identifié, peut alors prétendre, pour se défendre dans une zone où le droit est flou, que la personne a « consenti » au téléchargement, même si, en réalité, elle n'est pas consciente d'avoir lancé le téléchargement d'un logiciel indésirable ou malveillant. Ceci en vertu du principe " Il n'est pas porté atteinte à celui qui consent ".

Les sites Web qui exploitent la vulnérabilité "Windows Metafile" (éliminée par une mise à jour Windows depuis le 5 Janvier 2006) sont des exemples de drive-by download de ce genre. "Windows Metafile" (WMF) est un format d'images, comme GIF ou PNG... Ce format comporte une faille de sécurité : les images WMF peuvent embarquer du code arbitraire qui va s'exécuter avec les privilèges les plus élevés (Ring 0 - niveau SYSTEM).

Les niveaux de privilèges dans un système d'exploitation : ring0, ring1, ring2, ring3, ring 0, ring 1, ring 2, ring 3
Les niveaux de privilèges dans un système d'exploitation : ring0, ring1, ring2, ring3, ring 0, ring 1, ring 2, ring 3

Un cybercriminel va déployer des images "alléchantes" et prendre le contrôle total de tous les ordinateurs du monde qui n'ont pas appliqué le correctif à la faille de sécurité.

Les pirates utilisent des techniques (hook) permettant de masquer le code malveillant afin que les logiciels antivirus soient incapables de le reconnaître.

Le code embarqué dans une page WEB piégée peut être exécuté caché dans un iframe invisible, passant ainsi inaperçu, même aux yeux d'utilisateurs expérimentés.

Drive-by installerDrive-by installerDrive-by installer

Un drive-by installer (ou "installation") est un événement similaire à Drive-by download. Il se réfère à l'installation plutôt qu'au téléchargement (même si parfois les deux termes sont utilisés de façon interchangeable). Un Drive-by download doit installer le parasite téléchargé, sinon cela ne sert à rien, donc, il se comporte comme un téléchargeur et un installeur.

Les sites de téléchargement sont coutumiers du drive-by installer, sous le nom de Downloader. Lorsque vous cliquez pour télécharger quelque chose, en réalité vous téléchargez un "Downloader et Installeur". C'est lui qui va être analysé par l'antivirus et, bien entendu, il est propre. Une fois passée la barrière de l'antivirus, et classé dans les applications de confiance, le downloader/installeur va prendre en charge le téléchargement demandé, qui n'est plus identifié que par un code numérique intraçable par les antivirus, et va, simultanément, télécharger ce qu'il veut, silencieusement, à l'insu de tous et de tout. Absolument rien ne justifie l'utilisation d'un downloader (contrairement à ce qu'ils tentent de nous faire croire lorsqu'ils admettent utiliser un downloader, ce qui est généralement bien caché).

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Contre mesuresContre-mesures" Contre mesures "

Contre-mesures :

Appliquer, au moins une fois par semaine, ou, mieux, paramétré pour que cela s'exécute de manière automatique, sans délais, tous les points relatifs aux failles de sécurité du mémo :

Mises à jour périodiques d'un PC sous Windows.

Dont, entre autres choses :

  1. Appliquer tous les correctifs connus aux failles de sécurité des produits Microsoft avec Windows Update, paramétré en mode automatique pour les " Correctifs critiques ", tous les " Services Pack " et tous les " Services Release ".
    Windows Update
  2. Faire la même chose pour tous les autres produits non Microsoft avec Secunia PSI
    Secunia PSI
  3. Mettre à jour de tous les plugins (toutes les technologies) dans tous les navigateurs
    Mise à jour de tous les plugins dans tous les navigateurs
  4. Mettre à jour Java
    Mise à jour de Java
  5. Mettre à jour et paramétrer correctement Adobe Flash Player
    Mise à jour de Flash Player
  6. Mettre à jour Adobe Reader
    Mise à jour d'Adobe Reader (lecteur de documents .pdf)
  7. Régler et protéger les navigateurs et la navigation
    Protection du navigateur et de la navigation
  8. Désinstaller tous les programmes et toutes les technologies qui ne sont plus utilisés
    Revo Uninstaller
  9. Utiliser un antivirus temps réel (fonctionnant dans le mode On-access)
    Antivirus - Recommandé pour le particulier : Suite de sécurité Kaspersky PURE
  10. Utiliser un anti-malwares temps réel (fonctionnant dans le mode On-access)
    Anti-malwares - Recommandé dans tous les cas : Malwarebytes Anti-Malware Pro (MBAM)
  11. Bloquer tous les mécanismes publicitaires afin d'éviter d'être piégé par un Drive-by Download.
    Bloquer tous les mécanismes publicitaires

Avoir un très bon pare-feu activé

Arrêter et désactiver les services (Windows et non Windows) inutiles.

Outils d'analyse détectant si un document (Flash, JavaScript, PDF, etc. ...) tente d'exploiter une faille de sécurité dans le lecteur de ce documents (Flash Player, Acrobat Reader, etc. ...)


RéférencesRéférences" Références "


RessourcesRessources" Ressources "


 Requêtes similairesRequêtes similaires" Requêtes similaires "

Drive-by-download
Drive-by download
Drive by download
Drive-by-installer
Drive-by installer
Drive by installer
Téléchargement inattendu
Téléchargement indésiré
Téléchargement à mon insu
Téléchargement d'un logiciel à mon insu
Téléchargement autorisé sans en comprendre les conséquences
Téléchargement d'un exécutable inconnu
Téléchargement d'un programme contrefait
Téléchargement non autorisé d'un exécutable
Téléchargement non autorisé d'un ActiveX
Téléchargement non autorisé d'un composant ActiveX
Téléchargement non autorisé d'une applet Java